入侵检测系统综述.doc

入侵检测系统综述入侵检测系统综述摘要：随着网络技术的快速发展，网络入侵事件的发生也渐渐的增多。从网络安全、纵深、多层次防御的角度出发，入侵检测系统和技术得到的高度重视。本文在对计算机网络入侵检测系统的介绍基础上，重点对其工作过程及关键技术和当前存在的问题进行了研究和分析。关键词：网络技术；网络入侵；检测系统引言计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。借助于计算机网络环境，人们实现了跨地区的电子银行、电子商务、电子政务、电子家务、金融网路、制造资源管理和网络虚拟社区等多种应用。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使计算机网络易受黑客、恶意软件和其他不轨行为的攻击，网上信息的安全和保密成为一个至关重要的问题。同时，现有系统及一些应用软件中普遍存在着的漏洞，使得信息安全和系统安全问题在网络环境下变得越来越突出。入侵检测作为安全防范的最后一道防线，可以及时防线系统漏洞及入侵动机和行为、促使管理人员及时修正、显著的建设被入侵的可能性和可能造成的损失。 1 入侵检测系统概述1.1 入侵检测系统概念入侵检测系统系统（简称IDS）是信息安全体系结构中的一个重要环节，是对防火墙重要补充，是一种积极主动的安全防护技术，通过对计算机网络或计算机系统中的若干关键点手机信息并对其进行分析，监视主机系统或是网络上的用户活动，从中发现网络或系统中是否有违反安全策略的行为和可能存在的入侵行为。1980年4月，James P. Anderson为美国空军做了一份题为Computer SecurityThreat Monitoring and Surveillance（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念。这份报告被公认为是入侵检测的开山之作。入侵检测系统按照数据来源分为基于主机和基于网络两种，入侵检测分析技术异常入侵检测和误用入侵检测。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。1.2入侵检测系统的发展 早期的入侵检测检测方法简单，大多数都是基于主机的。随着网络应用的迅速普及和入侵检测技术的进一步发展，基于网络的安全驾驶系统第一次将网络流作为数据源，使得IDS开始面向网络。1994年，普渡大学推出了适用于大规模网络的分布式入侵检测系统。随着广域网的不断发展和黑客攻击技术的提高，早期集中式的网络入侵检测系统已不再适用于大型的网络，于是就有了由于大型网络的分布式入侵检测系统。目前，对广域网范围的入侵活动的检测和毕业的入侵反应机制，乳自动恢复、对入侵者进行跟踪等，是网络入侵检测系统研究的重点。在入侵检测技术之前，大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策，因此，它们对入侵行为的反应非常迟钝，很难发现未知的攻击行为，不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测技术正是根据网络攻击行为而进行设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统现在的攻击行为向着大规模、自动和协同方向发展。攻击已经变得越来越复杂、越来越自动化。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。从90年代起，攻击行为的发展和对入侵者技术要求降低的情况。CERTCC曾预言：攻击行为的自动化可能在因特网上引发大规模的入侵活动，这在今天得到了验证。19841985年，Sytex为SPAWAR（美国海军）开展了一个审计分析项目。他基于Unix系统的shell级的审计数据，论证这些数据能够识别“正常”和“反常”使用的区别。特里萨兰特（Teresa Lunt）在Sytex为这个项目工作，后来又去了SRI，在那里她参与并领导了IDES（入侵检测专家系统）项目。直到那时，IDS系统仍旧依靠受保护主机收集的审计数据，但加州大学戴维斯分校开发的网络系统监控器NSM（The Network System Monitor）改变了这个状况。NSM在入侵检测技术发展史上是继IDES之后的又一个里程碑，他监控以太网段上的网络流量，并把他作为分析的主要数据源。从当时的检测报告上可以看到，NSM检测了超过100 000的网络连接，并从中识别出超过300个入侵。今天，大部分商业IDS系统直接使用从网络探测的数据作为他们主要，甚至是惟一的数据源。1994年，Mark Crosbie和Gene Spafford建议使用自治代理（Autonomous Agents）以便提高IDS的可伸缩性、可维护性、效率和容错性，这个思想跟上了计算机科学中其他领域的研究的潮流，比如说软件代理。另一个解决当时多数入侵检测系统伸缩性不足的研究成果是1996年提出的GRIDS(Graph-based Intrusion Detection System）系统，该系统对大规模自动或协同攻击的检测很有效，这种跨越多个管理区域的自动协同攻击显然是入侵行为发展的方向。1.3分类1.3.1 按照检测类型划分 从技能 上划分，入侵检测有两种检测模型： （1）异常检测模型（anomaly detection）：检测与可接受行为之间的偏差。如果可以解释每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不须要 对每种入侵行为执行 解释，所以能有效检测未知的入侵。（2）误用检测模型（misuse detection）：检测与已知的不可接受行为之间的匹配程度。如果可以解释所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立有关 的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以细致 、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。1.3.2 按照检测对象划分 基于主机：系统分析的数据是计算机操作系统的事件日志、运用 程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保卫 的一般是所在的主机系统。是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。 基于网络：系统分析的数据是网络上的数据包络型入侵检测系统担负着保卫 整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。 混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不彻底 ，综合了基于网络和基于主机的混合型入侵检测，系统既可以发觉 网络中的攻击信息，也可以从系统日志中发觉 异常情况。 2 入侵检测系统的工作流程 2.1信息收集 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为而且需要在计算机网络系统的若干不同关键点收集信息。这除了尽可能扩大检测范围的意思外，还有一个重要的原因就是从一个原来的信息有可能看不出疑点但从几个原来的信息的不一致性却是可以向我或入侵的最好标示。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改动 、非正常的程序执行。 当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。 2.2信息分析 对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析；模式匹配、统计分析和完整性分析，其中前两种方法用于实时的入侵检测，而完整性分析则多用于事后分析。 模式匹配就是将收集到的信息与已知的网络入侵检测系统误用特定的欧版进行比较，从而分析违背安全策略的行为。一般来讲，已知结果模式可以用一个过程或一个输除了表示。该方法的一大有点是只需要收集相关的数据集合，显著减少系统负担。它与病毒防火墙采用的方法一样，检测准确率和效率都比较高。但是，该方法从中的弱点是需要不断的升级以对付不断出现的入侵手法，不能识别未知入侵手段。 统计分析方法首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察着在正常值范围之外时。就人物有入侵发生。其优点是可检测懂啊未知的入侵和各岗位复杂的入侵缺点是误报、漏报率高，且不适应用户正常行为的突然改变。完整性分析主要工作于麽各位或对象是否被改变，通常包括文件和目录的内容及属性，它在分析被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制消息摘要函数能够识别文件的变化。其优点是不过模式匹配方法和统计分析方法能否发现入侵，只有是成功的攻击导致了文件或其他对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。 2.3信息存储为便于系统管理员对攻击信息进行查看和分析，要将入侵检测系统搜集到的消息进行保持。存储的消息同时也为攻击保留了数字证据。2.4攻击响应在对攻击信息进行分析并确定攻击的类型后我们要对攻击进行相应的处理：如利用发出警报、给系统管理员发出邮件等手动干预的方法来对付攻击，或是利用自动装置直接处理：如切断连接，过滤攻击者的IP地址等。入侵检测系统的响应可以分为主动响应（Active Response）和被动响应（Passive Response）。在主动响应中，系统自动地或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程；而在被动响应中，系统只报告和记录发生的事件。对付入侵者可以通过某种方式来进行。例如，入侵检测系统可以断开与其之间的网络会话，如向攻击方的计算机发送TCP的RESET包，或者发送目标不可达（ICMP Destination Unreachable）包，系统也可以控制一个防火墙或者网关去拦阻来自入侵发起IP地址的数据包。3入侵检测系统需要解决的关键技术入侵检测系统作为网络安全防护的重要手段，有很多地方值得我们进一步深入研究。随着计算机网络的迅猛发展，如何确保网络信息的安全性已成为日益严峻的课题。入侵检测技术通过实时监视系统中的审计记录或网络数据流来发现入侵，作为一种主动的信息安全保障措施，入侵检测技术越来越受关注。 入侵检测技术分为异常检测和误用检测两大类。目前的IDS还存在很多问题，有待于我们进一步完善。（1）高误警（误报）率误警的传统定义是将良性流量误认为恶性的。广义上讲，误警还包括对IDS用户不关心事件的告警。因此，导致IDS产品高误警率的原因是IDS检测精度过低以及用户对误警概念的拓展。（2）产品适应能力低传统的IDS产品在开发时没有考虑特定网络环境的需求，千篇一律。网络技术在发展，网络设备变得复杂化、多样化，这就需要入侵检测产品能动态调整，以适应不同环境的需求。（3）大型网络的管理问题很多企业规模在不断扩大，对IDS产品的部署从单点发展到跨区域全球部署，这就将公司对产品管理的问题提上日程。首先，要确保新的产品体系结构能够支持数以百计的IDS传感器；其次，要能够处理传感器产生的告警事件；此外，还要解决攻击特征库的建立，配置以及更新问题。（4）缺少防御功能检测，作为一种被动且功能有限的技术，缺乏主动防御功能。因此，需要在下一代IDS产品中嵌入防御功能，才能变被动为主动。（5）评价IDS产品没有统一标准对入侵检测系统的评价目前还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断升级才能保证网络的安全性。（6）处理速度上的瓶颈随着高速网络技术如ATM、千兆以太网等的相继出现，如何实现高速网络下的实时入侵检测是急需解决的问题。目前的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。3.1入侵检测模块间的协作入侵检测模块间的协作主要是指分析数据的共享以及不同检测模块之间的功能互补或增强，通过协作能够完成在它们都的工作时所不能实现的功能或工作目标。网络入侵检测系统的分布式结构框架、检测系统功能模块的异构性以及数据和探测器在网络中的分布系，使得在继承由不同的开发商开发的、具有不同检查机制、且运行在不同系统上的入侵检测功能模块或检测子系统时，必须考虑它们之间的数据共享和写作方式，必须提供数据的分布式采集、通用数据接口来实现不同探测器之间互操作性，并考虑分布式探测器在整个分布式入侵检测系统中的组织方式以及探测器进行结果的融合技术。分布式数据的共享还必须对收集到的数据进行格式相转化，一确保数据的可用性。这主要设计网络入侵检测系统的功能模块间的合作机制及其相关技术：入侵检测系统的通信机制、功能模块之间的协作机制、数据的预处理以及数据融合技术等。3.2入侵检测数据分析的层次性虽然每一种入侵检测系统在概念上一致都是由检测器、分析器以及用户界面组成。但具体的入侵检测系统在分析数据的方法、采集数据以及采集树荫的类型等关键方面还是具有很大的不同各种入侵检测系统在分析数据的来源上具有一定的层次，从基于应用的入侵检测系统到跨越多网的入侵检测系统，其分析数据的能力和监控的范围逐渐的增强、扩宽；而且入侵检测系统的输出；也就是说，入侵检测系统的检测结果和输出可被在层次上不低于它的入侵检测系统利用并作经一部的分析。3.3规则知识库的建立攻击规则表现形式的研究是适应攻击和入侵行为不断变化的难点和重点，需建立适应检测技术发展需要的规则知识库，从而全面提高检测的能力和效果。入侵分类规则课通过分类学习程序自动生成的，虽消除了规则提取过程中的手工编码和专家经验成分。大声也存在着以下问题：分类学习需要两个前提条件：（1）有充足的训练数据；（2）已确定好分析处理中所有的数据特征属性。这两点特别重要，入侵训练数据哟啊保证能够覆盖该入侵的所有模式，否则，它将无法检测出该入侵行为的一些“没见过”的变种。所以，首先要为训练数据集确定一个测度，以便不断的总结训练数据，当新的训练产生时更新这一测度。并且当这一测度稳定时，停止训练数据的收集过程。其次，收集到审计数据后，对那些属性进行分析是关系到分析效率和结果的有效性关键。另外，当收集到的数据与该入侵活动无关或不能用于建立入侵检测模型时，则不应用作训练数据。网络事件之间在时序上不是独立的，以此特征属性中国也应该包括事件之间的时序统计特征。这些都是需要不断解决的关键问题和技术。4入侵检测系统发展趋势当前入侵检测技术的主要的发展方向：（1）大规模分布式入侵检测。传统的入侵