計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

趙永青

摘要:隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)入侵事件的發(fā)生也漸漸的增多。從網(wǎng)絡(luò)安全立體、縱深、多層次防御的角度出發(fā),入侵檢測(cè)系統(tǒng)和技術(shù)得到的高度重視。本文在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的介紹的基礎(chǔ)上,重點(diǎn)對(duì)其工作過(guò)程及關(guān)鍵技術(shù)和當(dāng)前存在的問(wèn)題進(jìn)行了研究和分析。

關(guān)鍵詞:網(wǎng)絡(luò)技術(shù);網(wǎng)絡(luò)入侵;檢測(cè)系統(tǒng)

引言

計(jì)算機(jī)技術(shù)的飛速發(fā)展,信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。借助于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境,人們實(shí)現(xiàn)了跨地區(qū)的電子銀行、電子商務(wù)、電子政務(wù)、電子家務(wù)、金融網(wǎng)絡(luò)、制造資源管理和網(wǎng)絡(luò)虛擬社區(qū)等多種應(yīng)用。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使計(jì)算機(jī)網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌行為的攻擊,網(wǎng)上信息的安全和保密成為一個(gè)至關(guān)重要的問(wèn)題。同時(shí),現(xiàn)有系統(tǒng)及一些應(yīng)用軟件中普遍存在著的漏洞,使得信息安全和系統(tǒng)安全問(wèn)題在網(wǎng)絡(luò)環(huán)境下變得越來(lái)越突出。入侵檢測(cè)作為安全防范的最后一道防線,可以及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞及入侵動(dòng)機(jī)和行為、促使管理人員及時(shí)修正、顯著地減少被入侵的可能性和可能造成的損失。

1 入侵檢測(cè)系統(tǒng)概述

1.1 入侵檢測(cè)系統(tǒng)概念

入侵檢測(cè)系統(tǒng)(Intrusion Detection System,簡(jiǎn)稱IDS)是信息安全體系結(jié)構(gòu)中的一個(gè)重要環(huán)節(jié),是對(duì)防火墻的必要補(bǔ)充,是一種積極主動(dòng)的安全防護(hù)技術(shù),通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,監(jiān)視主機(jī)系統(tǒng)或是網(wǎng)絡(luò)上的用戶活動(dòng),從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和可能存在的入侵行為。入侵檢測(cè)系統(tǒng)按照數(shù)據(jù)來(lái)源分為基于主機(jī)和基于網(wǎng)絡(luò)兩種,入侵檢測(cè)分析技術(shù)分異常入侵檢測(cè)和誤用入侵檢測(cè)。

1.2 入侵檢測(cè)系統(tǒng)的發(fā)展

早期的入侵檢測(cè)檢測(cè)方法簡(jiǎn)單,大多數(shù)都是基于主機(jī)的。隨著網(wǎng)絡(luò)應(yīng)用的迅速普及和入侵檢測(cè)技術(shù)的進(jìn)一步發(fā)展,基于網(wǎng)絡(luò)的安全監(jiān)視系統(tǒng)第一次將網(wǎng)絡(luò)流作為數(shù)據(jù)源,使得IDS開始面向網(wǎng)絡(luò)。1994年,普渡大學(xué)推出了適用于大規(guī)模網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)。隨著廣域網(wǎng)的不斷發(fā)展和黑客攻擊技術(shù)的提高,早期集中式的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)已不再適用于大型的網(wǎng)絡(luò),于是就有了用于大型網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)。目前,對(duì)廣域網(wǎng)范圍的入侵活動(dòng)的檢測(cè)和必要的入侵反應(yīng)機(jī)制,如自動(dòng)恢復(fù)、對(duì)入侵者進(jìn)行跟蹤等,是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究的重點(diǎn)。

2 入侵檢測(cè)系統(tǒng)的工作流程

2.1 信息收集

入侵檢測(cè)的第一步是信息收集,內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為;而且需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)收集信息。這除了盡可能擴(kuò)大檢測(cè)范圍的因素外,還有一個(gè)重要的原因就是從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn),但從幾個(gè)源來(lái)的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。

2.2 信息分析

對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則多用于事后分析。

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用特定的模板進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。一般來(lái)講,一種進(jìn)攻模式可以用一個(gè)過(guò)程或一個(gè)輸出來(lái)表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合,顯著減少系統(tǒng)負(fù)擔(dān)。它與病毒防火墻采用的方法一樣,檢測(cè)準(zhǔn)確率和效率都比較高。但是,該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的入侵手法,不能識(shí)別未知入侵手段。

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較,任何觀察值在正常值范圍之外時(shí),就認(rèn)為有入侵發(fā)生。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵,缺點(diǎn)是誤報(bào)、漏報(bào)率高,且不適應(yīng)用戶正常行為的突然改變。完整性分析主要關(guān)注于某個(gè)文件或?qū)ο笫欠癖桓?通常包括文件和目錄的內(nèi)容及屬性,它在發(fā)現(xiàn)被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制-消息摘要函數(shù)能夠識(shí)別文件的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵,只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變,它都能夠發(fā)現(xiàn)。

2.3 信息存儲(chǔ)

為便于系統(tǒng)管理員對(duì)攻擊信息進(jìn)行查看和分析,要將入侵檢測(cè)系統(tǒng)收集到的信息進(jìn)行保存。存儲(chǔ)的信息同時(shí)也為攻擊保留了數(shù)字證據(jù)。

2.4 攻擊響應(yīng)

在對(duì)攻擊信息進(jìn)行分析并確定攻擊的類型后,我們要對(duì)攻擊進(jìn)行相應(yīng)的處理:如利用發(fā)出警報(bào)、給系統(tǒng)管理員發(fā)出郵件等手動(dòng)干預(yù)的方式來(lái)對(duì)付攻擊,或是利用自動(dòng)裝置直接處理:如切斷連接,過(guò)濾攻擊者的IP地址等。

3 入侵檢測(cè)系統(tǒng)需要解決的關(guān)鍵技術(shù)

3.1 入侵檢測(cè)模塊間的協(xié)作

入侵檢測(cè)模塊間的協(xié)作主要是指分析數(shù)據(jù)的共享以及不同檢測(cè)模塊之間的功能互補(bǔ)或增強(qiáng),通過(guò)協(xié)作能夠完成在它們單獨(dú)工作時(shí)所不能實(shí)現(xiàn)的功能或工作目標(biāo)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的分布式結(jié)構(gòu)框架、檢測(cè)系統(tǒng)功能模塊的異構(gòu)性以及數(shù)據(jù)和探測(cè)器在網(wǎng)絡(luò)中的分布性,使得在繼承由不同的開發(fā)商開發(fā)的、具有不同檢測(cè)機(jī)制、且運(yùn)行在不同系統(tǒng)上的入侵檢測(cè)功能模塊或檢測(cè)子系統(tǒng)時(shí),必須考慮它們之間的數(shù)據(jù)共享和協(xié)作方式,必須提供數(shù)據(jù)的分布式采集、通用數(shù)據(jù)接口來(lái)實(shí)現(xiàn)不同探測(cè)器(檢測(cè)器)之間互操作性,并考慮分布式探測(cè)器在整個(gè)分布式入侵檢測(cè)系統(tǒng)中的組織方式以及探測(cè)器檢測(cè)結(jié)果的融合技術(shù)。分布式數(shù)據(jù)的共享還必須對(duì)收集到的數(shù)據(jù)進(jìn)行格式轉(zhuǎn)化,以確保數(shù)據(jù)的可用性。這主要涉及網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的功能模塊間的合作機(jī)制及其相關(guān)技術(shù):入侵檢測(cè)系統(tǒng)的通信機(jī)制、功能模塊之間的協(xié)作機(jī)制、數(shù)據(jù)的預(yù)處理以及數(shù)據(jù)融合技術(shù)等。

3.2 入侵檢測(cè)數(shù)據(jù)分析的層次性

雖然每一種入侵檢測(cè)系統(tǒng)在概念上一致:都是由檢測(cè)器、分析器以及用戶界面組成。但具體的入侵檢測(cè)系統(tǒng)在分析數(shù)據(jù)的方法、采集數(shù)據(jù)以及采集數(shù)據(jù)的類型等關(guān)鍵方面還是具有很大的不同。各種入侵檢測(cè)系統(tǒng)在分析數(shù)據(jù)的來(lái)源上具有一定的層次,從基于應(yīng)用的入侵檢測(cè)系統(tǒng)到跨越多網(wǎng)的入侵檢測(cè)系統(tǒng),其分析數(shù)據(jù)的能力和監(jiān)控的范圍逐漸地增強(qiáng)、擴(kuò)寬;而且入侵檢測(cè)系統(tǒng)的數(shù)據(jù)可來(lái)自層次不高于它的入侵檢測(cè)系統(tǒng)地輸出。也就是說(shuō),入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果和輸出可被在層次上不低于它的入侵檢測(cè)系統(tǒng)利用并作進(jìn)一步的分析。

3.3 規(guī)則知識(shí)庫(kù)的建立

攻擊規(guī)則表現(xiàn)形式的研究是適應(yīng)攻擊和入侵行為不斷變化的難點(diǎn)和重點(diǎn),需建立適應(yīng)檢測(cè)技術(shù)發(fā)展需要的規(guī)則知識(shí)庫(kù),從而全面提高檢測(cè)的能力和效果。

入侵分類規(guī)則可通過(guò)分類學(xué)習(xí)程序自動(dòng)生成的,雖消除了規(guī)則提取過(guò)程中的手工編碼和專家經(jīng)驗(yàn)成分。但是也存在以下問(wèn)題:分類學(xué)習(xí)需要兩個(gè)前提條件:(1)有充足的訓(xùn)練數(shù)據(jù);(2)已確定好分析處理中所用的數(shù)據(jù)特征屬性。這兩點(diǎn)特別重要,入侵訓(xùn)練數(shù)據(jù)要保證能夠覆蓋該入侵的所有模式。否則,它將無(wú)法檢測(cè)出該入侵行為的一些“沒見過(guò)”的變種。所以,首先要為訓(xùn)練數(shù)據(jù)集確定一個(gè)測(cè)度,以便不斷的總結(jié)訓(xùn)練數(shù)據(jù),當(dāng)新的訓(xùn)練產(chǎn)生時(shí)更新這一測(cè)度。并且當(dāng)這一測(cè)度穩(wěn)定時(shí),停止訓(xùn)練數(shù)據(jù)的收集過(guò)程。其次,收集到審計(jì)數(shù)據(jù)后,對(duì)那些屬性進(jìn)行分析是關(guān)系到分析效率和結(jié)果的有效性的關(guān)鍵。另外,當(dāng)收集到的數(shù)據(jù)與該入侵活動(dòng)無(wú)關(guān)或不能用于建立入侵檢測(cè)模型時(shí),則不應(yīng)用作訓(xùn)練數(shù)據(jù)。網(wǎng)絡(luò)事件之間在時(shí)序上不是獨(dú)立的,因此特征屬性中也應(yīng)該包括事件之間的時(shí)序統(tǒng)計(jì)特性。這些都是需要不斷解決的關(guān)鍵問(wèn)題和技術(shù)。

4 入侵檢測(cè)系統(tǒng)發(fā)展趨勢(shì)

當(dāng)前入侵檢測(cè)技術(shù)的主要的發(fā)展方向:(1)大規(guī)模分布式入侵檢測(cè)。傳統(tǒng)的入侵檢測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架,顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè),不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作。因此,必須發(fā)展大規(guī)模的分布式入侵檢測(cè)技術(shù)。(2)寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn),各種寬帶接入手段層出不窮,如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問(wèn)題。

參考文獻(xiàn)

[1]張超,霍紅衛(wèi)等.入侵檢測(cè)系統(tǒng)概述.計(jì)算機(jī)工程與應(yīng)用2004.

[2]楊小平.基于規(guī)范的入侵檢測(cè)方法.哈爾濱工程大學(xué)2005.

[3]周競(jìng).網(wǎng)絡(luò)入侵檢測(cè)及主動(dòng)響應(yīng)策略的研究.武漢理工大學(xué)2005.