资源描述
浅谈入侵检测技术
摘 要
随着Internet的迅猛发展和网络社会的到来,网络将会无所不在地影响社会的政治、经济、文化、军事和社会生活等各个方面,网络安全已成为世界各国共同关注的焦点。入侵检测是保护计算机系统安全的重要手段.攻击分类研究对于系统地分析计算机系统脆弱性和攻击利用的技术方法有着重要的意义,这有助于构造高效的入侵检测方法。入侵检测系统通过监视计算机系统或网络中发生的事件,并对它们进行分析,能够发现入侵和威胁等异常事件并且对其做出反应。它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护, 最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。
关键词:入侵检测、 入侵检测系统
33
Abstract
Along with the Internet rapid growth, the network will omni presently influence the society on politics, economics, culture, military and social life etc. The network security has become the focus of every country. Attack detection is an important approach to enhancing computer system security. The study of attack classification has a significant role to analyze computer system vulnerability and technique used for attack and can help to build effective detection methods. Invade to examine the system to pass to keep watch on the calculator system or networks in the affairs of the occurrence, and carry on the analysis to them, can discover to invade and threaten to wait the excrescent affairs and as to it's do a reaction. It can carry on the monitor to the network under the condition of not affect the network function, thus providing against the inner part attack stone, the exterior attack stones to operate with mistake of solid hour protect, guarantee the system safety most significantly. It raised the function that can't act for in safe technique of network, is an importance that the safety defends of the system to constitute the part.
Keywords: Intrusion Detection,ID 、 Intrusion Detection System, IDS
前 言
在信息化社会中,计算机通信网络在政治、军事、金融、商业、交通、电信、文教等方面的作用日益增大。社会对计算机网络的依赖也日益增强。随着计算机技术、数字通信技术、网络技术的发展,世界已经进入了数字化、信息化的时代。计算机网络已由单个的局域网发展到目前的跨区域的、国际性的计算机网络。随着网络的开放性、共享性及互联性的扩大,特别是Internet的出现,网络的重要性和对社会的影响也越来越大。随着网络上各种新业务的兴起,比如电子商务、电子现金、数字货币、网络银行等兴起,以及各种专用网的建设,使网络安全问
题显得越来越重要。
对于企业内部网来说,入侵的来源可能是多种多样的,比如说,它可能是企业内部心怀不满的员工、网络黑客,甚至是竞争对手。攻击者可能窃听网络上的信息,窃取用户的口令、数据库的信息,还可以篡改数据库的内容,伪造用户身份,否认自己的签名。更为严重的是攻击者可以删除数据库的内容,摧毁网络的节点,释放计算机病毒,直到整个企业网络陷入瘫痪。因此,能否成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为网络管理员所面临的一个重要问题。
入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。什么是入侵检测呢?简单地说,从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素,并对威胁做出相应的处理,就是入侵检测。相应的软件或硬件称为入侵检测系统。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,从而提供对 内部攻击、外部攻击和误操作的实时保护。
本文介绍现今热门的网络安全技术-入侵检测技术,先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品及实例分析。
由于入侵检测技术涉及很多很深的领域,加上本人水平有限,不当之处有很多,敬请老师不吝指正。
目 录
第一章 引言……………………………………………………………2
第二章 入侵检测技术…………………………………………………4
2.1 入侵检测技术原理 ………………………………………………………4
2.1.1入侵检测技术第一步——信息收集…………………………4
2.1.2 入侵检测技术的第二步——信号分析 …………………………7
2.1.3 实现一例 ………………………………………………………8
2.2 入侵检测技术功能概要 ………………………………………………10
2.3入侵检测技术技术分析 …………………………………………………9
2.3.1入侵分析按其检测技术规则分类 …………………………10
2.3.2 一些新的分析技术 ……………………………………10
第三章 入侵检测系统 ……………………………………………13
3.1入侵检测系统简介………………………………………………………13
3.1.1 什么是入侵检测系统 ……………………………………13
3.1.2 入侵检测系统的作用 ……………………………………13
3.2 入侵检测系统类型 ……………………………………………13
3.2.1主机型入侵检测系统 ……………………………………13
3.2.2 网络型入侵检测系统 ……………………………………14
3.2.3 混和入侵检测系统 ………………………………………15
3.2.4 误用检测 ………………………………………………15
3.2.5 异常检测 ………………………………………………17
3.3入侵检测系统的检测信息来源 ……………………………18
第四章 入侵检测技术技术发展方向 ……………………………19
4.1 技术发展方向 ……………………………………19
4.2 主要的IDS公司和及其产品 ……………………………………20
第五章 入侵检测系统的应用 ………………………………………22
5.1 典型应用说明 …………………………………………………22
5.1.1 简单的小的OA系统入侵检测的简单应用 ……………………22
5.1.2 企业级大规模用户的应用 …………………………………23
5.2 入侵检测存在的问题 …………………………………………24
5.3 入侵检测实例分析………………………………………………………
结论 ………………………………………………………………26
致谢……………………………………………………………………27
参考文献 ……………………………………………………………28
第一章 引 言
随着Internet高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息, 然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。
在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,黑客攻击日益猖獗,防范问题日趋严峻:
● 据Warroon Research的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入。
● 据美国FBI统计,美国每年因网络安全造成的损失高达75亿美元。
● Ernst和Young报告,由于信息安全被窃或滥用,几乎80%的大型企业遭受损失
● 在最近一次黑客大规模的攻击行动中,雅虎网站的网络停止运行3小时, 这令它损失了几百万美金的交易。而据统计在这整个行动中美国经济共损失了十多亿美金。由于业界人心惶惶,亚马逊(A)、AOL、雅虎(Yahoo!)、eBay的股价均告下挫,以科技股为主的纳斯达克指数(Nasdaq)打破过去连续三天创下新高的升势,下挫了六十三点,杜琼斯工业平均指数周三收市时也跌了二百五十八点。遇袭的网站包括雅虎、亚马逊和B、MSN.com、网上拍卖行eBay以及新闻网站CNN.com,估计这些袭击把Internet交通拖慢了百分二十。
目前我国网站所受到黑客的攻击,还不能与美国的情况相提并论,因为我们在用户数、用户规模上还都处在很初级的阶段,但以下事实也不能不让我们深思:
1993年底,中科院高能所就发现有"黑客"侵入现象,某用户的权限被升级为超级权限。当系统管理员跟踪时,被其报复。1994年,美国一位14岁的小孩通过互联网闯入中科院网络中心和清华的主机,并向我方系统管理员提出警告。
1996年,高能所再次遭到"黑客"入侵,私自在高能所主机上建立了几十个帐户,经追踪发现是国内某拨号上网的用户。同期,国内某ISP发现"黑客"侵入其主服务器并删改其帐号管理文件,造成数百人无法正常使用。
进入1998年,黑客入侵活动日益猖獗,国内各大网络几乎都不同程度地遭到黑客的攻击:
7月,江西169网被黑客攻击,造成该网3天内中断网络运行2次达30个小时,工程验收推迟20天;同期,上海某证券系统被黑客入侵;
8月,印尼事件激起中国黑客集体入侵印尼网点,造成印尼多个网站瘫痪,但与此同时,中国的部分站点遭到印尼黑客的报复;同期,西安某银行系统被黑客入侵后,提走80.6万元现金;
9月,扬州某银行被黑客攻击,利用虚存帐号提走26万元现金。
每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入新世纪之后,上述损失将达2000亿美元以上。
看到这些令人震惊的事件,不禁让人们发出疑问:"网络还安全吗?"
试图破坏信息系统的完整性、机密性、可信性的任何网络活动都称为网络入侵。防范网络入侵最常用的方法就是防火墙。防火墙(Firewall)是设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合,它属于网络层安全技术,其作用是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。
但是,防火墙只是一种被动防御性的网络安全工具,仅仅使用防火墙是不够的。首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,不能检查出经过他的合法流量中是否包含着恶意的入侵代码,这是远远不能满足用户复杂的应用要求的。
对于以上提到的问题,一个更为有效的解决途径就是入侵检测技术。在入侵检测技术之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策,因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测技术正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。
第二章 入侵检测技术
2.1入侵检测技术原理
入侵检测技术(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测技术未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。
入侵检测技术作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测技术系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
◆ 监视、分析用户及系统活动;
◆ 系统构造和弱点的审计;
◆ 识别反映已知进攻的活动模式并向相关人士报警;
◆ 异常行为模式的统计分析;
◆ 评估重要系统和数据文件的完整性;
◆ 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测技术系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测技术的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测技术系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。
2.1.1 入侵检测技术第一步——信息收集
在现实生活中,警察要证明罪犯有罪,必须先收集证据。只有掌握了充足的证据,才能顺利破案。IDS也是一样。一般来说,IDS通过2种方式获得信息:
1、网络入侵检测技术模块方式
当一篇文章从网络的一端传向另一端时,是被封装成一个个小包(叫做报文)来传送的。每个包包括了文章中的一段文字,在到达另一端之后,这些包再被组装起来。因此,我们可以通过检测技术网络中的报文来达到获得信息的目的。一般来说,检测技术方式只能够检测技术到本机的报文,为了监视其他机器的报文,需要把网卡设置为混杂模式。通过在网络中放置一块入侵检测技术模块,我们可以监视受保护机器的数据报文。在受保护的机器将要受到攻击之前,入侵检测技术模块可最先发现它。
实际应用中网络结构千差万别,用户只有根据具体情况分别设计实施方案,才能让网络入侵检测技术模块检测技术到需要保护机器的状况。同时,网络入侵检测技术模块得到的只是网络报文,获得的信息没有主机入侵检测技术模块全面,所检测技术的结果也没有主机入侵检测技术模块准确。网络入侵检测技术模块方式的优点是方便,不增加受保护机器的负担。在网段中只要安装一台网络入侵检测技术模块即可。
2、主机入侵检测技术模块方式
另外一种获取信息的方式是主机入侵检测技术模块方式。它是在受保护的机器上安装了主机入侵检测技术模块,专门收集受保护机器上的信息。其信息来源可以是系统日志和特定应用程序日志,也可以是捕获特定的进程和系统调用等等。
采用主机入侵检测技术模块方式的缺点是依赖特定的系统平台。用户必须针对不同的操作系统开发相应的模块。由于一个网络中有多种不同的操作系统,很难保证每个操作系统都有对应的主机入侵检测技术模块,而一个主机入侵检测技术模块只能保护本机,所以在使用上有很大的局限性。此外,它要求在每个机器上安装,如果装机数量大时,对用户来说,是一笔很大的投入。不过,这种模式不受网络结构的限制,在使用中还能够利用操作系统的资源,以更精确地判断出入侵行为。
在具体应用中,以上2种获得信息的方式是互为补充的。
3、信息来源的四个方面
就信息收集来说,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测技术范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
当然,入侵检测技术很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用当前的优秀软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测技术网络系统的软件的完整性,特别是入侵检测技术系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。
入侵检测技术利用的信息一般来自以下四个方面:
1)系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测技术入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
2)目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。
3)程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。
4)物理形式的入侵信息
这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。
2.1.2 入侵检测技术的第二步——信号分析
当收集到证据后,用户如何判断它是否就是入侵呢?一般来说,IDS有一个知识库,知识库记录了特定的安全策略。IDS获得信息后,与知识库中的安全策略进行比较,进而发现违反规定的安全策略的行为。
定义知识库有很多种方式,最普遍的做法是检测技术报文中是否含有攻击特征。知识库给出何种报文是攻击的定义。这种方式的实现由简单到复杂分了几个层次,主要差别在于检测技术的准确性和效率上。简单的实现方法是把攻击特征和报文的数据进行了字符串比较,发现匹配即报警。这种做法使准确性和工作效率大为降低。为此,开发人员还有很多工作要做,如进行校验和检查,进行IP碎片重组或TCP重组,实现协议解码等等。
构建知识库的多种方法只是手段,目的是准确定义入侵行为,这是IDS的核心,也是IDS和普通的网上行为管理软件的差别所在。虽然它们都能监视网络行为,但是IDS增加了记录攻击特征的知识库,所以比网上行为管理软件提高了一个层次。而定义攻击特征是一项专业性很强的工作,需要具有丰富安全背景的专家从众多的攻击行为中提炼出通用的攻击特征,攻击特征的准确性直接决定了IDS检测技术的准确性。
对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测技术,而完整性分析则用于事后分析。
1、模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测技术准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测技术到从未出现过的黑客攻击手段。
2、统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测技术到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
3、完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测技术方法还应该是网络安全产品的必要手段之一。
2.1.3 实现一例
以下是在WINDOWS2000,VB6.0环境下测试通过的对本机的木马探测及常规扫描进行监听的简单程序。
Dim tmpstr As String ’存放捕获的数据
Dim NOW_OUT As Integer '总共出去连接的有几个Winsock
Private Sub Command1_Click()
ListPorts.AddItem txtADDPORT.Text ’把文本框中的端口增加到列表框中
End Sub
Private Sub Command2_Click()
On Error Resume Next ’如出错就在下一个端口重新开始监听
If Command2.Caption = "监听" Then
For i = 0 To ListPorts.ListCount – 1 ’如果命令框为‘监听’,则初始化要监听的端口数量I
Load Winsock1(i + 1) ' 加载监听端口的winsock1数组控件
Winsock1(i + 1).LocalPort = ListPorts.List(i) '使每一个WINSOCK数组变量对应一个端口
Winsock1(i + 1).Listen '监听
Next i
Command2.Caption = "停止"
Else
For i = 1 To Winsock1.Count - 1
Unload Winsock1(i)
Next i ’假如caption 为停止,则卸载WINSOCK1数组控件
For i2 = 1 To Winsock2.Count - 1
Unload Winsock2(i2)
Next i2
Command2.Caption = "监听"
End If
End Sub
Private Sub Command3_Click()
Unload Me
End Sub
Private Sub Form_Load()
txtLOG.Text = "日志:" & vbCrLf
NOW_OUT = 1
End Sub ’在窗体载入时初始化日志文件和连接变量
Private Sub Winsock1_ConnectionRequest(Index As Integer, ByVal requestID As Long)
Load Winsock2(NOW_OUT) '加载建立连接的Winsock2数组控件
Winsock2(NOW_OUT).Accept requestID '建立连接
Winsock1(Index).Close
Winsock1(Index).Listen 'Winsock1继续监听
NOW_OUT = NOW_OUT + 1 '连接的控件累加
myAddLog "来自" & Winsock1(Index).RemoteHostIP & "连接到本地端口:" & Winsock1(Index).LocalPort '显示捕获的连接
End Sub ’在WINSOCK2建立连接的同时,WINSOCK1进行监听远程扫描本地端口
Private Sub Winsock2_DataArrival(Index As Integer, ByVal bytesTotal As Long)
Winsock2(Index).GetData tmpstr '通过Getdata函数捕获数据
myAddLog "来自" & Winsock2(Index).RemoteHostIP & "的数据:" & tmpstr '显示捕获的数据
End Sub ’用WINSOCK2获取数据并加入到日志
Sub myAddLog(tmptext As String) '加入日志
tmptext = tmptext & vbCrLf
txtLOG.SelStart = Len(txtLOG.Text)
txtLOG.SelText = tmptext
End Sub ’自动增加日志内容,并高亮显示当前所捕捉到的数据
程序说明:这是一个简单的监听程序,并不具有分析的功能,因此,它不是一个入侵检测系统,而是入侵检测系统的前半部分——数据收集。它是通过winsock(系统本身提供的组件)本身的功能,简单的实现对本地断口的监听和对到达本地的数据进行捕获。
2.2 入侵检测技术功能概要
·监督并分析用户和系统的活动
·检查系统配置和漏洞
·检查关键系统和数据文件的完整性
·识别代表已知攻击的活动模式
·对反常行为模式的统计分析
·对操作系统的校验管理,判断是否有破坏安全的用户活动。
·提高了系统的监察能力
·跟踪用户从进入到退出的所有活动或影响
·识别并报告数据文件的改动
·发现系统配置的错误,必要时予以更正
·识别特定类型的攻击,并向相应人员报警,以作出防御反应
·可使系统管理人员最新的版本升级添加到程序中
·允许非专家人员从事系统安全工作
·为信息安全策略的创建提供指导
入侵检测技术作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测技术理应受到人们的高度重视,这从国外入侵检测技术产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测技术产品。但现状是入侵检测技术仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测技术模块。可见,入侵检测技术产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测技术)外,应重点加强统计分析的相关技术研究。
2.3 入侵检测技术技术分析
入侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测技术规则进行比较,从而发现入侵行为。一方面入侵检测技术系统需要尽可能多地提取数据以获得足够的入侵证据,而另一方面由于入侵行为的千变万化而导致判定入侵的规则越来越复杂,为了保证入侵检测技术的效率和满足实时性的要求,入侵分析必须在系统的性能和检测技术能力之间进行权衡,合理地设计分析策略,并且可能要牺牲一部分检测技术能力来保证系统可靠、稳定地运行并具有较快的响应速度。
分析策略是入侵分析的核心,系统检测技术能力很大程度上取决于分析策略。在实现上,分析策略通常定义为一些完全独立的检测技术规则。基于网络的入侵检测技术系统通常使用报文的模式匹配或模式匹配序列来定义规则,检测技术时将监听到的报文与模式匹配序列进行比较,根据比较的结果来判断是否有非正常的网络行为。这样以来,一个入侵行为能不能被检测技术出来主要就看该入侵行为的过程或其关键特征能不能映射到基于网络报文的匹配模式序列上去。有的入侵行为很容易映射,如ARP欺骗,但有的入侵行为是很难映射的,如从网络上下载病毒。对于有的入侵行为,即使理论上可以进行映射,但是在实现上是不可行的,比如说有的网络行为需要经过非常复杂的步骤或较长的过程才能表现其入侵特性,这样的行为由于具有非常庞大的模式匹配序列,需要综合大量的数据报文来进行匹配,因而在实际上是不可行的。而有的入侵行为由于需要进行多层协议分析或有较强的上下文关系,需要消耗大量的处理能力来进行检测技术,因而在实现上也有很大的难度。
2.3.1 入侵分析按其检测技术规则分类
1、基于特征的检测技术规则
这种分析规则认为入侵行为是可以用特征代码来标识的。比如说,对于尝试帐号的入侵,虽然合法用户登录和入侵者尝试的操作过程是一样的,但返回结果是不同的,入侵者返回的是尝试失败的报文,因此,只要提取尝试失败的报文中的关键字段或位组作为特征代码,将它定义为检测技术规则,就可以用来检测技术该类入侵行为。这样,分析策略就由若干条检测技术规则构成,每条检测技术规则就是一个特征代码,通过将数据与特征代码比较的方式来发现入侵。
2、基于统计的检测技术规则
这种分析规则认为入侵行为应该符合统计规律。例如,系统可以认为一次密码尝试失败并不算是入侵行为,因为的确可能是合法用户输入失误,但是如果在一分钟内有8次以上同样的操作就不可能完全是输入失误了,而可以认定是入侵行为。因此,组成分析策略的检测技术规则就是表示行为频度的阀值,通过检测技术出行为并统计其数量和频度就可以发现入侵。
这两种检测技术规则各有其适用范围,不同的入侵行为可能适应于不同的规则,但就系统实现而言,由于基于统计检测技术规则的入侵分析需要保存更多的检测技术状态和上下关系而需要消耗更多的系统处理能力和资源,实现难度相对较大。
2.3.2 一些新的分析技术
近几年,为了改进入侵检测技术的分析技术,许多研究人员从各个方向入手,发展了一些新的分析方法,对于提高入侵检测技术系统的正确性、可适应性等起到了一定的推动作用。下面是几个不同的方法:
1、统计学方法
统计模型常用于对异常行为的检测技术,在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。目前提出了可用于入侵检测技术的5种统计模型包括:
(1) 操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很可能是口令尝试攻击。
(2) 方差:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。
(3) 多元模型:操作模型的扩展,通过同时分析多个参数实现检测技术。
(4) 马尔柯夫过程模型:将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,若对应于发生事件的状态矩阵中转移概率较小,则该事件可能是异常事件。
(5) 时间序列分析:将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
入侵检测技术的统计分析首先计算用户会话过程的统计参数,再进行与阈值比较处理与加权处理,最终通过计算其"可疑"概率分析其为入侵事件的可能性。统计方法的最大优点是它可以"学习"用户的使用习惯,从而具有较高检出率与可用性。但是它的"学习"能力也给入侵者以机会通过逐步"训练"使入侵事件符合正常操作的统计规律,从而透过入侵检测技术系统。
2、入侵检测技术的软计算方法
入侵检测技术的方法可有多种,针对异常入侵行为检测技术的策略与方法往往也不是固定的,智能计算技
展开阅读全文