計算機終端入侵檢測探析

徐錫霆

摘 要:對于計算機終端的入侵檢測與防御系統是計算機網絡安全的一個非常重要技術手段,但是隨著世界科技的不斷進步,高速網絡技術快速發展,所以關于IP網絡中計算機終端的入侵檢測和防御系統面臨著嚴峻的挑戰。本文通過對入侵檢測的意義及用途進行分析,在此基礎上探討了對于網絡中計算機終端的入侵檢測的現狀,最后對其存在的問題提出改進的措施,對以后入侵檢測與防護有一定的幫助。

關鍵詞:終端入侵檢測

中圖分類號:TP79 文獻標識碼:A 文章編號:1672-3791(2012)07(a)-0013-01

入侵檢測系統(Intrusion Detection Sys-tem,IDS)能夠有效地發現網絡的非法訪問行為。它通過硬件或者軟件對IP網絡上計算機的終端數據流進行不定時的檢查,一旦發現計算機終端有被攻擊的跡象,就應該立刻切斷IP網絡連接,或利用防火墻系統對訪問控制進行關閉等。入侵檢測的一般過程包括信息收集、信號分析和入侵檢測響應三個環節。

1入侵檢測的基本概念

入侵檢測(Intrusion Detection),是對入侵行為的發覺。入侵檢測方法分為兩類:異常入侵檢測(Anomaly Detection)和誤用入侵檢測(Misuse Detection)。現階段,我國常用的誤用入侵檢測方法主要有基于條件概率的誤用檢測方法、基于規則的誤用檢測方法等。誤用檢測能夠準確檢測到計算機網絡當中事先存儲的數據,但是對未知的攻擊行為是無法檢測的。異常檢測依賴于異常模型的建立,它可以檢測到新型的攻擊,具有較低的漏警率,但是它有誤警率高的缺點[1]。

2入侵檢測系統

入侵檢測系統是一種對網絡傳輸進行即時監視,它是一種主動保護自己免受攻擊的網絡安全技術。IDS是一種積極主動的安全防護技術,最大限度地保障系統安全[2]。目前,IDS發展迅速,具體來說,入侵檢測系統的主要功能有:(1)識別黑客常用入侵與攻擊手段;(2)監控網絡異常通信;(3)鑒別對系統漏洞及后門的利用;(4)完善網絡安全管理。

3入侵檢測系統的設計

3.1 數據采集子系統

通過信息采集網絡化和數字化,擴大數據采集的覆蓋范圍,數據采集子系統位于IDS的最底層,其主要目的是從網絡環境中獲取事件,并向其他部分提供事件。本文是檢測IP網絡中計算機的入侵行為,那么就必須用大的數據源來維持數據采集系統的正常運行。在經過讀取數據包首部之后,將數據過濾后幫助我們描述系統的正常行為,并最終識別出那些不正常的行為[3]。

3.2 建立數據分析模塊

在入侵檢測過程中,有關用戶狀態和行為等信息,包括相關的網絡和系統數據,被輸入到數據分析模塊。傳感器通過檢測引擎對信息進行技術分析,一般有三種:模式匹配、統計分析和完整性分析。如果出現一種誤用的狀態,系統則會發出一個警告信號給控制臺。所以設計者要有一個系統的知識,對各種網絡協議、系統漏洞等有充分了解,并制作出對應的安全規則庫和安全策略。然后要建立好檢測模型,可分為濫用型和異常型,使檢測儀器能夠模擬自己的分析,來識別確知特征的攻擊和異常行為,將最后得出的結果以報警信息的形式,反饋給控制管理中心。

3.3 控制臺子系統

控制臺按照告警產生預先定義的響應采取相應措施。控制臺子系統的主要任務有兩個:一是管理數據采集分析中心,顯示數據采集分析中心發送過來的警報消息;二是根據事先預定好的安全策略進行一系列的動作,確保網絡的安全。

3.4 數據庫管理子系統

數據庫管理子系統一個實際可運行的存儲、維護和應用系統提供數據的軟件系統,它的學科含義是指研究、開發、建立、維護和應用數據庫系統所涉及的理論、方法、技術所構成的學科。可以認為一個好的入侵檢測系統不僅要為管理員提供豐富的報警信息,也應詳細記錄數據,以便于將來需要獲得證據重建某些網絡事件[4]。

4入侵檢測存在的問題與發展趨勢

4.1 入侵檢測存在問題

近年來,入侵檢測系統得到了快速發展。但是還是存在著一些不可避免的問題。

4.1.1 誤/漏報率高

IDS常用的檢測方法有特征檢測、異常檢測、狀態檢測、協議分析等。在高速交換網絡中,入侵檢測系統不能很好地檢測所有的數據包。分析的準確率不高,經常產生漏報。檢測規則的更新落后于攻擊手段的更新。新的攻擊沒有相應的檢測規則,經常產生誤報。

4.1.2 缺乏準確定位機制

對于IP網絡的計算機終端來說,入侵檢測系統只能識別IP地址,卻無法定位IP地址,從而就不能識別網絡中的數據來源。所以IDS系統在發現被攻擊時,只能關閉網絡出口和服務器等少數端口,因而其缺乏更有效的響應處理機制。

4.2 入侵檢測的發展趨勢

近年來對入侵檢測系統的發展趨勢只要體現在以下幾方面。

4.2.1 入侵檢測系統的標準化

就目前而言,入侵檢測系統還缺乏相應的標準,入侵檢測規范標準都還不成熟,目前仍在不斷地改進和完善中,但標準化是入侵檢測系統發展的必然方向。首先針對分布式網絡攻擊的檢測方法,其次使用分布式的方法來檢測分布式的攻擊。此兩種方法可以最大限度地發揮系統資源的優勢,其設計模型具有很大的靈活性。

4.2.2 檢測智能化

現在入侵方法越來越多洋化與綜合化,雖然已經有了很多關于計算機終端檢測的智能代理以及神經網絡與遺傳算法都運用到了入侵檢測領域當中,但這些對于入侵檢測來說只是個開始性工作。所以必須對智能化的IDS加以進一步的研究[5]。

5結語

目前來看,IP網絡的計算機終端被攻擊的已經成為普遍現象,那么如何避免計算機終端被隨時攻擊已經成為全球性的課題,所以我認為在未來的很多年中,基于網絡的入侵檢測系統還是計算機發展主流趨勢。

參考文獻

[1] 薛英花,呂述望,蘇桂平,等.入侵檢測系統研究[J].計算機工程與應用,2003(1).

[2] 張曉芬,陳明奇,楊義先.入侵檢測系統(IDS)的發展[J].信息安全與通信保密,2002(3).

[3] 周鼎.校園網入侵檢測系統的研究與實現[J].中國科技信息,2009(22).

[4] 王艷.入侵檢測系統在分簇無線傳感器網絡中的研究[J].科技廣場,2009(5).

[5] 凌永發,王杰,陳躍斌.計算機入侵檢測技術應用研究[J].微計算機信息,2006(9).