资源描述
入侵检测系统研究
摘要:该文首先介绍了入侵检测系统的发展过程,阐述了入侵检测系统的概念、功能、模型、分类。详细研究了入侵检测系统的检测技术及应用方法,提出了入侵检测系统的发展前景。
关键词:入侵检测系统;基于主机的入侵检测系统;基于网络的入侵检测系统;
0 引言
随着网络技术的飞速发展和广泛应用,网络安全正成为阻碍网络进一步发展的重要问题。计算机网络安全技术的滞后已经成为全社会都关注并急待解决的一个问题。无论来自于内网还是来自于外网的攻击,都变得日益复杂和多样化。仅仅依靠防火墙所采用的静态防御手段已不能满足网络安全的需要,首先,防火墙本身容易受到攻击;其次,防火墙对于网络内部出现的问题束手无策。作为对防火墙的必要补充,一种积极主动的安全保护技术——入侵检测技术受到人们越来越多的关注。
1入侵检测系统概述
1.1入侵检测系统(IDS)的概念
入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
1.2入侵检测系统的主要功能有:
A) 监测并分析用户和系统的活动;
B) 核查系统配置和漏洞;
C) 评估系统关键资源和数据文件的完整性;
D) 识别已知的攻击行为;
E) 统计分析异常行为;
F) 操作系统日志管理,并识别违反安全策略的用户活动。
1.3入侵检测的主要技术
A)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该过程可以很简单,也可以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
B)异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
C)协议分析
协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。
1.4入侵检测系统的分类:
根据信息源的不同,分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。本文分析的为目前使用广泛的网络入侵监测系统。
2入侵检测系统模型
2.1第一步,获取libpcap和tcpdump。
2.2第二步,构建并配置探测器,实现数据采集功能。
2.3第三步,建立数据分析模块。
2.4第四步,构建控制台子系统。
2.5第五步,构建数据库管理子系统。
2.6第六步,联调,一个基本的IDS搭建完毕。
以上几步完成之后,一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来,还需要保持各个部分之间安全、顺畅地通信和交互,这就是联调工作所要解决的问题。
首先,要实现数据采集分析中心和控制管理中心之间的通信,二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息,数据采集分析中心接收控制管理中心发来的配置、管理等命令。注意确保这二者之间通信的安全性,最好对通信数据流进行加密操作,以防止被窃听或篡改。同时,控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作,如警报信息查询、网络事件重建等。
联调通过之后,一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能,尤其是提高系统的检测能力。
3入侵检测系统面临的问题
入侵检测系统有如此重大的作用,但在国内的应用远远谈不到普及,一方面是由于用户的认知程度较底,另一方面是由于入侵检测是一门比较新的技术,还存在一些技术上的困难,不是所有厂商都有研发入侵检测产品的实力。目前的入侵检测产品大多存在这样一些问题:
(1). 误报和漏报的矛盾
入侵检测系统对网络上所有的数据进行分析,如果攻击者对系统进行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻击是否需要报警,这就是一个需要管理员判断的问题。因为这也代表了一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对真正的攻击作出反映。和误报相对应的是漏报,随着攻击的方法不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
(2). 隐私和安全的矛盾
入侵检测系统可以收到网路的所有数据,同时可以对其进行分析和记录,这对网络安极其重要,但难免对用户的隐私构成一定风险,这就要看具体的入侵检测产品是否能提供相应功能以供管理员进行取舍。
(3). 被动分析与主动发现的矛盾
入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。
(4). 海量信息与分析代价的矛盾
随着网路数据流量的不断增长,入侵检测产品能否处理高效处理网路中的数据也是衡量入侵检测产品的重要依据。
(5). 功能性和可管理性的矛盾
随着入侵检测产品功能的增加,可否在功能增加的同时,不增大管理的难度。例如,入侵
检测系统的所有信息都储存在数据库中,此数据库能否自动维护和备份而不需管理员的干预?另外,入侵检测系统自身安全性如何?是否易于部署?采用何种报警方式?也都是需要考虑的因素。
(6). 单一的产品与复杂的网络应用的矛盾
入侵检测产品最出的目的是为了检测网络的攻击,但仅仅检测网络中的攻击远远无法满足目前复杂的网应用需求.通常,管理员难以分清网路问题:是由于攻击引起的还是网络故障。入侵检测检测出的攻击事件又如何处理,可否和目前网络中的其他安全产品进行配合。
4入侵检测系统的发展趋势
(1).分析技术的改进
入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。
(2).内容恢复和网络审计功能的引入
入侵检测的最高境界是行为分析。但行为分析前还不是很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功能。
(3).集成网络分析和管理功能
入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的方向。
(4).安全性和易用性的提高
入侵检测是个安全产品,自身安全极为重要。因此,目前的入侵检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增强,例如:全中文的图形界面,自动的数据库维护,多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。
(5).改进对大数据量网络的处理方法
随着对大数据量处理的要求,入侵检测的性能要求也逐步提高,出现了千兆入侵检测等产品。但如果入侵检测检测产品不仅具备攻击分析,同时具备内容恢复和网络审计功能,则其存储系统也很难完全工作在千兆环境下。这种情况下,网络数据分流也是一个很好的解决方案,性价比也较好。这也是国际上较通用的一种作法。
(6).防火墙联动功能
入侵检测发现攻击,自动发送给放火墙,防火墙加载动态规则拦截入侵,称为防火墙联动功能。目前此功能还没有到完全实用的阶段,主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的攻击,如Nimda等,联动只在这种场合有一定的作用。无限制的使用联动。如未经充分测试,对防火期的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高,联动功能日益趋向实用化。
5结束语
入侵检测系统作为防火墙的有效补充,IDS在智能化和分布式两个方面取得了很大的进展。资料挖掘、人工免疫、信息检索、容错等技术也渗透和融合到了IDS中。不过,目前还存在漏警率和虚警率较高等若干问题,告警的实时响应差。本文系统的研究了入侵检测这一新型的网络技术,未来的入侵检测技术必将结合其他的网络管理软件,发挥其不可估量的作用和价值。
参考文献
[1]唐正军,李继华编著.入侵检测技术.清华大学出版社.2004.
[2]薛英花,吕述望.入侵检测技术研究.计算机工程应用.2005.
[3]John Vollbrecht,David Rago,Robert Moskowitz.Wireless LAN Access Conrol and Authentication[EB/OL].
URL:
[4]M.Roesch,Snort-Lightweight Intrusion Detection for Networks,http://www.snort.org/docs.2004.
展开阅读全文