入侵检测技术探析.docx

入侵检测技术探析 (1.河南省驻马店市委党校；2.驻马店市网通公司，河 南 驻马店 463000) 摘 要： 文章回顾了入侵检测技术的历史进程，重点 探讨了入侵检测技术的工作原理、分类方法及其 标准化工 作，并展望了入侵检测技术未来的发展动向。 关键词：网络安全；入侵检测技术；CIDF 中图分类号：TP393.08 文献标识码：A 文章编号： 10076921(XX)21004003 随着 Internet 迅猛发展，计算机网络已经成为国家重 要的经济基础和命脉。然而，计算机网 络的共享性、开放 性在为社会带来便利与高效的同时，也带来了各种各样的 问题，其中安全 问题尤为突出。 传统的网络安全防御策略是防火墙、数据加密、身份 认证以及访问控制、操作系统加固等静 态安全防御策略。 然而随着入侵技术的不断发展、攻击手段日趋复杂化和多 样化，这些被动 的、静态的安全防御体系已经无法满足当 前安全状况的需要。由于入侵检测技术所需要分析 的数据 源仅是记录系统活动轨迹的审计数据，其几乎适用于所有 的计算机系统，很好地弥补 了传统保护机制的不足，从而 成为目前动态安全工具的主要研究方向。 1 入侵检测技术历史进程 1980 年 4 月，James P.Anderson 为美国空军做了一份 题为Computer Security Threat Moni toring and Surveillance的技术报告，第一次详细阐述了入侵检测 的概念，被公认为是 入侵检测的开山之作。 1987 年 Denning 在 IEEE 上发表了题为An Intrusion-detection Model的学术报告，再次 引起了 人们对入侵检测的强烈关注。在这篇文献中，提出了一个 重要的入侵检测系统的抽象 模型，首次将入侵检测的概念 作为一种全新的、与传统加密认证和访问控制完全不同的 计算 机系统安全防御措施而提出，被认为是对入侵检测研 究具有推动性的工作。 由于 Internet 的发展及通信和计算机带宽的增加，人 们对网络安全的关注也显著地增加。在 美国空军、国家安 全局和能源部的资助下，由美国空军密码支持中心、 Lawrence Livermor 国家实验室、加州大学 Davis 分校和 Haystack 实验室共同参与研究，将基于主机的入侵检测 系 统同基于网络的入侵检测系统集成到一块，采用分层结构， 形成了 分布式的入侵检测系统，大大增强了对入侵攻击检测 的能力。 从 20 世纪 90 年代到现在，入侵检测技术的研究呈现 出百家争鸣的繁荣局面，并在智能化和分 布式两个方面取 得了巨大的进步。数据挖掘、人工免疫、信息检索、容错 技术、代理技术也 渗透或融合到了入侵检测系统中，从而 将入侵检测技术的发展推向了一个新的高度。 2 入侵检测系统工作原理 入侵是指试图破坏资源的完整性、机密性及可用性的 活动集合。入侵检测，顾名思义，是对 入侵行为的发觉， 它对系统的运行状态进行监视，发现各种攻击企图、攻击 行为或 者攻击结果，以保证系统资源的机密性、完整性和 可用性。进行入侵检测的软件与硬件的组 合便是入侵检测 系统(Intrusion Detection System，IDS)。入侵检测系统 作为网络安全防 护体系的重要组成部分，提供了对内部攻 击、外部攻击和误操作的实时保护，在计算机系统 受到危 害之前拦截和响应入侵。 一般的，入侵检测系统由数据提取、数据分析和结果 处理三个功能模块组成，图 1 给出了一 个通用的入侵检测 系统结构。 740)this.width=740“ border=undefined onmousewheel=“return zoom_img(event,this)“ 其中：数据提取模块的作用在于为系统提供数据。 数据的来源可以是主机上的日志信息、变动 信息，也可以 是网络上的数据信息，甚至是流量变化等。数据提取模块 在获得数据之后，需 要对数据进行简单的处理，如简单的 过滤、数据格式的标准化等，然后将经过处理的数据提 交 给数据分析模块。数据分析模块的作用在于对数据进行 分析，发现攻击并根据分析的结果产生事件，传递 给结果 处理模块。数据分析的方式多种多样，可以简单到对某种 行为的计数，也可以是一个复杂的专家系统。该模块是整 个入侵检测系统的核心。结果处理模块的作用在于入侵 检测系统发现入侵后根据预定的策略及时地做出响应，包 括切断网络连接、记录事件和报警等。响应一般分为主动 响应和被动响应两种类型。主动响 应由用户驱动或系统本 身自动执行，可对入侵者采取行动，如断开连接、修正系 统环境或收 集有用信息；被动响应则包括告警、设置 SNMP 陷阱等。 因此，入侵检测作为一种积极主动的安全防护技术， 具有以下几个基本功能： 从系统的不同环节收集信息；分析该信息，试图寻找 入侵活动的特征；对检测到的行为做出 响应；纪录并报告 检测过程结果。 3 入侵检测技术分类 根据着眼点的不同，对入侵检测技术的分类方法很多， 下面分别讨论依据不同的标准对入侵 检测技术进行的分类。 3.1 根据数据来源分类 按照原始数据的来源，可以将入侵检测技术分为基于 主机的入侵检测、基于网络的入侵检测 和混合型的入侵检 测。 3.1.1 基于主机的入侵检测 基于主机的入侵检测通常采用系统日志、应用程序日 志等审计数据作为检测的数据源，从所 在的主机收集这些 信息进行分析来发现入侵活动。这种检测方法要求系统根 据配置信息设定 需要审计的事件，这些事件一旦发生，系 统就将具体参数记录在日志文件中。检测系统则根 据一定 的算法对日志文件中的审计数据进行分析，最后得出结果 报告。能否及时采集到审计 数据是这种系统的关键。 这种方法的优点是可以提供更好的应用层安全，在网 络传输被加密的情况下仍能工作。但也 存在一些重大缺陷， 如对整个网络的拓扑结构认识有限、过度依赖主机与入侵 分析员的通信 等。 3.1.2 基于网络的入侵检测 基于网络的入侵检测数据来源于网络上传输的数据包， 保护的目标是网络的运行，它能够检 测该网段上发生的网 络入侵。通常基于网络的入侵检测系统通过将网卡设置为 混杂模式来监 视并分析网络上传输的所有数据包，判断是 否有入侵行为。一旦检测到了攻击行为，入侵检 测系统的 报警部件就会发出通知并对攻击采取相应的防御手段，包 括通知管理员、中断连接 或为法庭分析和证据收集而做会 话记录。 与基于主机的入侵检测相比，基于网络的入侵检测没 有依赖于受监控主机的完整性和可用性 的缺点，因此它的 监控更为安全也不易中断。然而，由于设计上的因素，其 也存在一些固有 的缺点。比如，当网络流量随时间以指数 规律增长时，基于网络的入侵检测系统为保证效率 就必须 能够抓取所有这些流量并及时地进行分析；同时其对于加 密数据无法进行判断。 3.1.3 混合型的入侵检测 混合型的入侵检测既是基于主机的又是基于网络的， 因此混合型入侵检测系统一般是分布式 的。目前许多机构 的网络安全解决方案都同时采用了基于主机和基于网络的 两种入侵检测技 术，因为这两种技术在很大程度上是互补 的。 3.2 根据检测方法分类 根据检测方法的不同，可以将入侵检测技术分为误用 检测模型和异常检测模型。概括起来说 ，两者的区别在于 前者是为入侵行为建立能够代表入侵特征的规则或模式， 而后者则是将目 标的正常和合法活动构造成相应的行为模 型。 3.2.1 误用检测模型 误用检测模型又叫基于知识的检测模型，或基于特征 的检测模型，是对已知的入侵方法或利 用已知的系统漏洞 进行入侵活动的检测模型。这种方法假定所有的入侵行为 都能够表达为一 种模式或具备一定的特征，利用这种模式 来建立入侵行为特征库，通过特征匹配的方法来发 现入侵 行为。目前，比较有代表性的误用检测技术主要有专家系 统、状态转移分析和模式匹 配等，其中在商用系统中较多 被应用的是模式匹配技术。 基于误用的入侵检测具有检测准确度高、虚警率低、 方便管理员做出响应等优点，但同时也 存在着漏报率高、 系统依赖性强、移植性不好等缺点。 3.2.2 异常检测模型 异常检测模型又叫基于行为的检测模型。是通过建立 目标系统及用户的正常行为模型，监测 系统和用户的活动 是否偏离该正常行为模型，从而做出决策判断。这种方法 是假定所有的入 侵活动是异常于正常主体行为的，如果能 检测到所有的异常活动，就能检测出所有的入侵活 动。其 中，行为模型的对象可以是用户、主机或其他一些能够反 映系统变化并且需要被监测 的目标，而对象正常和合法行 为的确定以及将其描述成行为模型则是这类技术的核心所 在。 目前，比较有代表性的异常检测技术主要有统计分析、 神经网络和数据挖掘等，其中最为典 型的是统计分析方法。 基于异常的入侵检测具有通用性强、漏警率低、操作 方便等优点，但同时也存在着误检率高 、阈值难以确定等 缺点。 3.3 根据分布方式分类 按照系统各个模块运行的分布方式不同，入侵检测技 术可以分为集中式入侵检测和分布式入 侵检测。 3.3.1 集中式入侵检测 这种结构的入侵检测技术可能有分布于不同主机上的 多个审计程序，但只有一个中央入侵检 测服务器，审计程 序将当地收集到的数据发送给中央服务器进行分析处理。 显然，这种结构 的入侵检测系统在可伸缩性、鲁棒性和可 配置性方面存在致命的缺陷，同时也存在单点失效 、数据 传输负荷过大等问题。 3.3.2 分布式入侵检测 分布式入侵检测系统的各个模块分布在网络中不同的 计算机、设备上，各个模块协同工作。 一般来说，分布性 主要体现在数据源上，并且数据源可以是异构的；同时对 数据的处理组件 也应是分布式的。 现有的分布式入侵检测系统的处理思想是分布采集数 据与集中处理，能够克服上述集中式的 缺点，但是同时也 带来了其他问题，比如组件间的通信负载过重，检测信息 的协同处理要求 高、入侵的全局信息提取困难等。 4 入侵检测技术标准化 入侵检测也正在经历一个逐步地技术标准确立的过程。 在多种入侵检测系统标准化体系中， CIDF 逐渐成为了主流。 CIDF 阐述了一个入侵检 测系统的通用模型，将一个入侵检 测系统分为以下组件：事件产生器；事件分析器； 响应单元；事件数据库。 所有四个组件所交换数据的形式都是通用入侵检测对 象 Gidos，并使用 CISL 来表示。C IDF 架构如图 2 所示。 740)this.width=740“ border=undefined onmousewheel=“return zoom_img(event,this)“ CIDF 将入侵检测系统需要分析的数据统称为事件 (Event)，它可以是基于网络入侵检测系统 中的网络数据 包，也可以是基于主机入侵检测系统从系统日志等其他途 径得到的信息。同时 ，它也对各部件之间的信息传递格式、 通信方法和 API 进行了标准化。 事件产生器从整个计算环境中获得事件，并向系统的 其他部分提供此事件；事件分析器分析 得到的数据，并产 生分析结果；响应单元则是对分析结果做出反应的功能单 元，它可以作出 切断连接、改变文件属性等强烈反应，甚 至可以发动对攻击者的反击，也可以只是简单地报 警。事 件数据库是存放各种中间和最终数据的地方的统称，可以 是复杂的数据库，也可以是 简单的文本文件。 在现有的入侵检测系统中，经常用数据采集部分、分 析部分和响应部分来分别代替事件产生 器、事件分析器和 响应单元这些术语，且常用日志来简单地指代事件数据库。 当前 CIDF 包含以下四个主要方面的内容： Architecture：提出 IDS 的通用体系结构，用以说明 IDS 各组件间通信的环境。 Communication：说明 IDS 各种不同组件间如何通过网 络进行通信。主要描述各组件间如何 安全地建立连接以及 安全地通信，包括组件间的鉴别和认证。 Language：IDS 各组件间通过 CISL 来进行入侵和警告 等信息内容的通信。为了符合 CIDF 标 准，一个 IDS 必须 完全符合 CISL 的表示规范。 API：允许 IDS 各组件重用，在 CISL 的表示说明中隐 含 API。 CIDF 标准还没有正式确立，也没有一个入侵检测商业 产品完全使用该标准，但因为各种入侵 检测系统各自为政， 系统之间的互操作性很差，各厂商都在按照 CIDF 进行信息 交换的标准化 工作。 5 结语 随着入侵方式和规模的不断变化，入侵检测技术也要 适应网络技术发展的需要。总的来看， 入侵检测技术未来 的发展方向主要集中在以下几个方面： 5.1 大规模分布式的入侵检测系统以及异构系统之间 的协作和数据共享 网络交换技术的 发展以及通过加密信道的数据通信使 通过共享网段侦听的网络数据采集方法难以应付自如， 巨 大的通信量对数据分析也提出了新的要求，基于分布式的 多层次入侵检测系统可以很好地 解决这个问题。因此，融 合了分布式技术和网络技术的分布式网络入侵检测将成为 未来研究 的热点。 5.