略談入侵檢測技術

高子茜　林曉燕　于棣維

[摘要]入侵檢測作為一種新一代的安全保障技術,開始備受人們的關注。針對入侵檢測技術的概念、入侵檢測的步驟、入侵檢測的分類以及入侵檢測的發展方向進行論述。

[關鍵詞]入侵檢測 入侵管理系統 濫用檢測 異常檢測

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0910131-01

隨著計算機網絡的發展,安全問題日益突出,當前單純依靠防火墻、安全路由器等設備已經不能有效的抵御多種多樣的網絡入侵。在入侵者成功地越過防火墻之后,如何通過網絡入侵檢測系統來保證網絡的安全性便成了一個迫切的研究課題。

一、入侵檢測的概念

入侵檢測(Intrusion Detection)是指通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息,檢,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測。入侵檢測通過執行以下任務來實現:監視、分析用戶及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式并向相關人士報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。

二、入侵檢測的步驟

入侵檢測的過程一般分為兩步:

(一)信息收集(數據采集)。其內容主要包括網絡流量數據、系統審計數據及用戶的活動狀態和行為。對于基于網絡的入侵檢測系統,需要在計算機網絡系統中的若干不同關鍵點收集網絡信息,主要包括流量信息、網絡設備信息等。對于基于主機的入侵檢測系統,需要收集主機系統產生的審計文件,以便對用戶行為進行監測(包括登錄、退出、執行命令、資源使用等內容)。

(二)數據分析。數據分析過程是IDS工作的核心,主要是運用諸如模式匹配、統計分析、完整性分析等方法處理收集到的信息,根據分析結果判斷檢測對象的行為是否是入侵行為。

三、入侵檢測技術分類及存在問題

入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。根據不同的檢測方法,將入侵檢測分為可分為濫用檢測(又稱誤用檢測)與異常檢測兩種。

(一)濫用檢測。濫用檢測,這一檢測假設入侵者可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式,它可以將已有的入侵方法檢測出來,其檢測方法與計算機病毒的檢測方法相類似。目前基于對包特征描述的描述匹配應用較為廣泛。但對新的入侵方法無能為力。

常用的具體方法有:審計信息統計方法、神經網絡方法、基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法等等。誤用檢測的關鍵問題是攻擊簽名的正確表示。

濫用檢測是根據攻擊簽名來判斷入侵的,根據對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有預警作用。

濫用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發現違背安全策略的行為。由于只需要收集相關的數據,這樣系統的負擔明顯減少。該方法類似于病毒檢測系統,其檢測的準確率和效率都比較高。但是它也存在一些缺點,如未知的入侵方法就不能進行有效的檢測,對于不同實現機制的操作系統,由于攻擊的方法不盡相同,很難定義出統一的模式庫等。

(二)異常檢測。異常檢測的假設是入侵者活動異常于正常活動的“活動范圍”,根據這一理念建立主體正常活動的“活動檔案”,將當前主體的活動狀況和“活動檔案”相比較,當違反其統計規則時認為該活動可能是入侵行為。

常用的具體方法有:統計異常檢測方法、預測異常檢測方法、免疫學方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。

采用異常檢測的關鍵問題有如下兩個方面:

1.特征量的選擇在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。

2.參考閾值的選定由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。

由此可見,異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統或用戶的特征輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。

四、入侵檢測的發展方向

IDS(入侵檢測系統)本質上是一種監聽系統它依照一定的安全策略對網絡與系統的運行狀況進行監測,盡可能發

現、報告、記錄各種攻擊企圖、攻擊行為戴者攻擊結果,以保證信息系統的機密性、完整性和可用性。但是它也存在一定的缺陷,例如:基于特征的入侵檢測技術落伍、誤報和漏報率高等問題。為此,IMS(入侵管理系統)的發展將成為趨勢。

IMS技術實際上包含了IDS、IPS(入侵防御系統)的功能,并通過一個統一的平臺進行統一管理,從系統的層次來解決入侵行為。IMS技術是一個過程,在行為未發生前要考慮網絡中有什么漏洞,判斷有可能會形成什么攻擊行為和面一舊的入侵危險;在行為發生時或即將發生時,不僅要檢測出入侵行為,還要主動阻斷,終止入侵行為;在入侵行為發生后,還要深層次分析入侵行為,通過關聯分析,來判斷是否還會出現下一個攻擊行為。

參考文獻:

[1]李渙洲,網絡安全與入侵檢測技術[J].四川師范大學學報,2001,(03).

[2]常秉琨,計算機網絡入侵檢測技術探討[J].網絡安全技術與應用,2009,(04).