赵永青

摘要:随着网络技术的快速发展,网络入侵事件的发生也渐渐的增多。从网络安全立体、纵深、多层次防御的角度出发,入侵检测系统和技术得到的高度重视。本文在对计算机网络入侵检测系统的介绍的基础上,重点对其工作过程及关键技术和当前存在的问题进行了研究和分析。

关键词:网络技术;网络入侵;检测系统

引言

计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。借助于计算机网络环境,人们实现了跨地区的电子银行、电子商务、电子政务、电子家务、金融网络、制造资源管理和网络虚拟社区等多种应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使计算机网络易受黑客、恶意软件和其他不轨行为的攻击,网上信息的安全和保密成为一个至关重要的问题。同时,现有系统及一些应用软件中普遍存在着的漏洞,使得信息安全和系统安全问题在网络环境下变得越来越突出。入侵检测作为安全防范的最后一道防线,可以及时发现系统漏洞及入侵动机和行为、促使管理人员及时修正、显著地减少被入侵的可能性和可能造成的损失。

1 入侵检测系统概述

1.1 入侵检测系统概念

入侵检测系统(Intrusion Detection System,简称IDS)是信息安全体系结构中的一个重要环节,是对防火墙的必要补充,是一种积极主动的安全防护技术,通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,监视主机系统或是网络上的用户活动,从中发现网络或系统中是否有违反安全策略的行为和可能存在的入侵行为。入侵检测系统按照数据来源分为基于主机和基于网络两种,入侵检测分析技术分异常入侵检测和误用入侵检测。

1.2 入侵检测系统的发展

早期的入侵检测检测方法简单,大多数都是基于主机的。随着网络应用的迅速普及和入侵检测技术的进一步发展,基于网络的安全监视系统第一次将网络流作为数据源,使得IDS开始面向网络。1994年,普渡大学推出了适用于大规模网络的分布式入侵检测系统。随着广域网的不断发展和黑客攻击技术的提高,早期集中式的网络入侵检测系统已不再适用于大型的网络,于是就有了用于大型网络的分布式入侵检测系统。目前,对广域网范围的入侵活动的检测和必要的入侵反应机制,如自动恢复、对入侵者进行跟踪等,是网络入侵检测系统研究的重点。

2 入侵检测系统的工作流程

2.1 信息收集

入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为;而且需要在计算机网络系统中的若干不同关键点收集信息。这除了尽可能扩大检测范围的因素外,还有一个重要的原因就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

2.2 信息分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析其中前两种方法用于实时的入侵检测,而完整性分析则多用于事后分析。

模式匹配就是将收集到的信息与已知的网络入侵和系统误用特定的模板进行比较,从而发现违背安全策略的行为。一般来讲,一种进攻模式可以用一个过程或一个输出来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担。它与病毒防火墙采用的方法一样,检测准确率和效率都比较高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的入侵手法,不能识别未知入侵手段。

统计分析方法首先给系统对象创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。完整性分析主要关注于某个文件或对象是否被更改,通常包括文件和目录的内容及属性,它在发现被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制-消息摘要函数能够识别文件的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。

2.3 信息存储

为便于系统管理员对攻击信息进行查看和分析,要将入侵检测系统收集到的信息进行保存。存储的信息同时也为攻击保留了数字证据。

2.4 攻击响应

在对攻击信息进行分析并确定攻击的类型后,我们要对攻击进行相应的处理:如利用发出警报、给系统管理员发出邮件等手动干预的方式来对付攻击,或是利用自动装置直接处理:如切断连接,过滤攻击者的IP地址等。

3 入侵检测系统需要解决的关键技术

3.1 入侵检测模块间的协作

入侵检测模块间的协作主要是指分析数据的共享以及不同检测模块之间的功能互补或增强,通过协作能够完成在它们单独工作时所不能实现的功能或工作目标。网络入侵检测系统的分布式结构框架、检测系统功能模块的异构性以及数据和探测器在网络中的分布性,使得在继承由不同的开发商开发的、具有不同检测机制、且运行在不同系统上的入侵检测功能模块或检测子系统时,必须考虑它们之间的数据共享和协作方式,必须提供数据的分布式采集、通用数据接口来实现不同探测器(检测器)之间互操作性,并考虑分布式探测器在整个分布式入侵检测系统中的组织方式以及探测器检测结果的融合技术。分布式数据的共享还必须对收集到的数据进行格式转化,以确保数据的可用性。这主要涉及网络入侵检测系统的功能模块间的合作机制及其相关技术:入侵检测系统的通信机制、功能模块之间的协作机制、数据的预处理以及数据融合技术等。

3.2 入侵检测数据分析的层次性

虽然每一种入侵检测系统在概念上一致:都是由检测器、分析器以及用户界面组成。但具体的入侵检测系统在分析数据的方法、采集数据以及采集数据的类型等关键方面还是具有很大的不同。各种入侵检测系统在分析数据的来源上具有一定的层次,从基于应用的入侵检测系统到跨越多网的入侵检测系统,其分析数据的能力和监控的范围逐渐地增强、扩宽;而且入侵检测系统的数据可来自层次不高于它的入侵检测系统地输出。也就是说,入侵检测系统的检测结果和输出可被在层次上不低于它的入侵检测系统利用并作进一步的分析。

3.3 规则知识库的建立

攻击规则表现形式的研究是适应攻击和入侵行为不断变化的难点和重点,需建立适应检测技术发展需要的规则知识库,从而全面提高检测的能力和效果。

入侵分类规则可通过分类学习程序自动生成的,虽消除了规则提取过程中的手工编码和专家经验成分。但是也存在以下问题:分类学习需要两个前提条件:(1)有充足的训练数据;(2)已确定好分析处理中所用的数据特征属性。这两点特别重要,入侵训练数据要保证能够覆盖该入侵的所有模式。否则,它将无法检测出该入侵行为的一些“没见过”的变种。所以,首先要为训练数据集确定一个测度,以便不断的总结训练数据,当新的训练产生时更新这一测度。并且当这一测度稳定时,停止训练数据的收集过程。其次,收集到审计数据后,对那些属性进行分析是关系到分析效率和结果的有效性的关键。另外,当收集到的数据与该入侵活动无关或不能用于建立入侵检测模型时,则不应用作训练数据。网络事件之间在时序上不是独立的,因此特征属性中也应该包括事件之间的时序统计特性。这些都是需要不断解决的关键问题和技术。

4 入侵检测系统发展趋势

当前入侵检测技术的主要的发展方向:(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。

参考文献

[1]张超,霍红卫等.入侵检测系统概述.计算机工程与应用2004.

[2]杨小平.基于规范的入侵检测方法.哈尔滨工程大学2005.

[3]周竞.网络入侵检测及主动响应策略的研究.武汉理工大学2005.