网络安全技术之入侵检测.docx

河南理工大学计算机网络安全课程论文 题 目 入侵检测技术 学生姓名 学 号 院 系 专业班级 联系电话 年 月 日论现代信息技术在网络信息安全里的应用之入侵检测技术摘要：本文主要讲解的是在网络信息安全里的应用入侵检测技术。通过介绍入侵检测的概念、系统结构、系统的分类以及入侵检测的方法等几个方面系统的透彻的介绍入侵检测技术。关键词：网络信息安全 入侵检测 系统分类 检测方法1入侵检测系统概述11基本概念入侵是指任何对系统资源的非授权使用行为，它对资源的完整性、保密性和可用性造成破坏，可使用户在计算机系统和网络系统中失去信任，使系统拒绝对合法用户服务等。入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。Anderson把入侵者分为两类：外部入侵者(一般指来自系统外部的非法用户)和内部入侵者(是指那些拥有一定的访问系统资源权限，但是企图获取更多的权利执行非授权操作的内部用户)。入侵检测就是要识别计算机系统或网络上企图或正在进行的入侵活动。而入侵检测系统就是完成入侵检测任务的系统。它是一种增强系统安全的有效方法。入侵检测对系统中用户或系统行为的可疑程度进行评估，并据此来鉴别系统中的当前行为是否正常，从而帮助系统管理员进行安全管理，并对系统所受到的攻击采取相应的对策。评判一个入侵检测系统的好坏，主要用两个参数：虚警率和漏警率。虚警率是指将不是入侵的行为错检测为入侵行为的比率；而漏警率则是指将本来是入侵的行为判别为正常行为的比率。12入侵检测的系统结构应用于不同的网络环境和不同的系统安全策略，入侵检测系统在具体实现上也有所不同。从系统构成上看，入侵检测系统至少包括数据提取、入侵分析、响应处理三个部分，另外还可以结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能。一般的入侵检测系统结构如图所示。相应处理入侵分析知识库数据提取数据存储其中数据提取模块在入侵检测系统中居于基础地位，负责提取反映受保护系统运行状态的运行数据，并完成数据的过滤及其它预处理工作，为入侵分析模块和数据存储模块提供原始的安全审计数据，是入侵检测系统的数据采集器。入侵分析模块是入侵检测系统的核心模块，包括对原始数据的同步、整理、组织、分类、特征提取以及各种类型的细致分析，提取其中所包含的系统活动特征或模式，用于正常和异常行为的判断。这种行为的鉴别可以实时进行，也可以是事后分析。响应处理模块对系统发现的入侵者的攻击行为采取相应的措施，响应措施主要包括被动响应和主动响应。2入侵检测系统分类入侵检测系统有三种分类方法。第一种是根据其采用的技术分类，可以分为：(1)异常检测异常入侵检测的假设是入侵者活动异常于正常主体的活动，根据这一理念建立主体正常活动的“特征轮廓”，将当前主体的活动状况与已建立的主体的“特征轮廓”相比较，当违反其统计规律时，认为该活动可能“入侵”行为。异常检测的难题在于如何建立“特征轮廓”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。(2)误用检测误用检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。这一方法可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。这一方法的难点在于如何设计模式能表达的“入侵”现象而且不会将正常的活动也包含进来。由于异常检测与误用检测各有优缺点，许多实际入侵检测系统通常同时采用这两种方法。第二种分类方法是根据系统所监测的对象是主机还是网络来划分的： (1)基于主机的入侵检测系统基于主机的入侵检测系统通过监视与分析主机的审计记录检测入侵。这些系统的实现不全在目标主机上，有一些采用独立的外围处理机，如Haystack，另外下一代入侵检测专家系统(NDEs)使用网络将主机的信息传送到中央分析单元。但是它们全部是根据目标系统的审计记录工作。这些系统的弱点是若不能及时采集到审计数据，入侵者会将主机审计子系统作为攻击目标从而避开入侵检测系统。(2)基于网络的入侵检测系统以网络安全监控器(NSM)为代表的基于网络的入侵检测系统通过在共享网段上对通信数据的监听采集数据，分析可疑现象。与主机系统相比较而言，这类系统对入侵者是透明的，入侵者本身不知道有入侵检测系统存在。由于这类系统并不需要主机提供对网络通信的保护而无需顾及异构主机间的不同架构。(3)基于网关的入侵检测系统目前的信息基础设施依赖于路由器来互联，新一代的高速网络结合了路由与高速交换技术。Internet路由的基础非常薄弱，对于这些信息基础设施的攻击，特别是拒绝服务攻击将会使局部甚至整个信息基础设施无法使用，基于网关的入侵检测系统就是通过对网关中相关信息的提取，从而提供对整个信息基础设施的保护。第三种分类是根据系统的工作方式分为离线检测系统与在线检测系统：(1)离线检测系统离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。这一类系统主要有两个优点：首先是通过集中化和自动化节省成本，解决在组织进行检查和管理审核时遇到的困难；其次该系统可以分析(如趋势分析)大量历史事件，适合于调查过去一段时间内发生的入侵事件。但是离线检测系统在事后才能发现安全问题再做出反应，对保护数据而言已为时过晚。另外，许多攻击方法以消除入侵过程的审计记录为目标，从而避开此类入侵检测系统。(2)在线检测系统在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析，它在入侵行为发生时，就检测到网络或主机系统的异常数据包或审计事件，从而可以立即做出反应，采取措施保护系统安全。在大规模的网络系统中保证检测的实时性是个难题，此外，还需要避免因错误的检测而影响系统运行。3入侵检测方法入侵检测的目的是检测发生在网络或主机中的入侵攻击行为。而一个入侵检测系统能否有效地检测攻击行为在很大程度上取决于该系统所采用的入侵检测模型。最早的入侵检测模型是由Dorothy Denning在1986年提出的，它描述了怎样利用审计跟踪数据提高计算机系统的安全性。但使用审计跟踪数据却存在着缺陷，即冗余信息太多，使得网络安全管理员难以进行有效的管理，于是新的入侵检测方法就应运而生。现有的入侵检测系统多采用统计方法、专家系统、模式匹配、状态转移等实现系统的检测引擎，以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。31统计方法基于统计的入侵检测方法主要用于基于异常的检测系统中。在基于统计的入侵检测系统中，假设正常的网络操作存在着一定的统计规律。如：在一定的时间内，发向一个特定的服务器的SYN数据报应小于一定限度；一个用户的键盘键入频率存在着一定的规律。如果以上测量值超过给定的阀值，即视为可能的入侵行为。统计方法是一种成熟的入侵检测方法，并使入侵检测系统能够学习主体的日常行为，将那些与正常活动之间存在较大统计偏差的活动标识成为异常活动。统计方法也是一种较容易实现的方法，从而得以在产品化的入侵检测系统中采用。但是，统计方法也有着明显的缺点：(1)统计方法依赖于大量的审计记录数据，一个纯粹的统计入侵检测系统会忽略那些不会产生或很少产生影响统计规律记录的入侵，即使它具有显著的特征。(2)统计方法中的阈值难以有效地确定，太小的值会使系统将正常的主体活动作为异常入侵来处理，而太大的值则使系统漏掉一些真正的入侵活动。(3)统计方法可以被训练而适应入侵模式。当入侵者知道它的活动被监视时，他可以研究统计入侵检测系统的统计方法，并在该系统能够接受的范围内产生审计事件，逐步训练入侵检测系统，从而其相应的特征轮廓偏离正常范围，最终将入侵事件作为正常事件对待。(4)应用系统越来越复杂，许多主体活动很难用统计模型来刻画。复杂系统中的主体行为可能是非线性的，简单的统计模型不能表达这样的主体活动特征，而复杂的统计模型在其计算量上不能满足实时的检测要求，而建模的有效性与可适应性也值得探讨与评估。32预测模式生成预测模式生成(Predicative Pattern Generation)也是一种用于异常检测的方法，它基于审计事件的序列不是随机的而是符合可识别模式的假设。与纯粹的统计方法相比，它增加了对事件顺序与相互关系的分析，从而能检测出统计方法所不能检测的异常事件。预测模式生成的优势在于：(1)能够处理行为多变但是符合一定次序模式特征的主体；(2)由于其规则中包含了语法信息，从而能够避免入侵者对系统的训练；(3)系统适应性好，规则能够通过删除差的规则、保留好的规则而进行不断演化；(4)检测效率高，由于仅需要处理相关的审计事件，计算量少，系统反应快。预测模式生成的最大缺点在于：当入侵过程产生的事件序列不符合规则左边的模式定义时，该时间序列将被标识成不认识的时间序列，从而无法检测入侵。33专家系统与运用统计方法与预测模式生成对入侵进行检测的方法不同，用专家系统对入侵进行检测，经常是针对有特征的入侵行为。专家系统将入侵特征转化为一系列的规则。所有的网络活动都可以与专家系统规则库中的规则进行匹配，发现是否存在入侵。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵特征的提取与表达，是入侵检测专家系统的关键。根据有关文献，可以将有关入侵的知识转化为if-then结构(也可以是复合结构)，条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性，建立一个完备的知识库对于一个大型网络系统往往是不可能的，且如何根据审计记录中的事件，提取状态行为与语言环境也是较困难的。由于专家系统的不可移植性与规则的不完备性，现已不宜单独用于入侵检测，或单独形成商品软件。较适用的方法是将专家系统与采用软计算方法技术的入侵检测系统相结合在一起，构成一个以已知的入侵规则为基础，可扩展的动态入侵事件检测系统，自适应地进行特征与异常检测，实现高效的入侵检测及其防御。34击键监视器击键监视器是一种简单的入侵检测方法，它通过对用户击键序列模式的分析检测入侵行为，它可用于主机的入侵检测。这一方法不分析系统运行的程序状态，仅检测击键过程。它的缺点非常明显，首先，批处理或Shell程序可以不通过击键而直接调用一系列系统攻击命令序列，除非额外分析这些命令的语法与语义，否则无法对其检测；其次，操作系统通常不提供统一的击键检测接口，需通过额外的钩子函数(HOOK)来检测击键。35状态转移分析在状态转移分析中，入侵检测被表示成为目标系统的状态转换图。当分析审计事件时，著根据对应的条件布尔表达式，系统从安全状态转移到不安全的状态，则该事件标记为入侵事件。其中对应的条件布尔表达式能够表示已知的入侵特征。状态转移分析的优点在于：(1)可以删除在状态模型之外不必要的审计事件分枝；(2)它能够检测协同攻击；(3)它能够检测分布在多个会话过程中的攻击；(4)它能在一定程度上预测下一步可能的攻击方法。但是，状态转换分析也存在一些问题。首先，它能够检测的入侵模式局限于指定的连续事件，而不能检测更多的形式其次，没有能够减少状态图搜索空间的通用剪枝方法：再则，这一方法无法检测如拒绝服务、失败登录、正常功能的非法使用等无法由审计事件直接反应或不能表示成为状态转换图的入侵方法。36模式匹配基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。与状态转移分析相类似，当新的审计事件产生时，这一方法将寻找与它相匹配的已知入侵模式。与状态转移分祈不同之处在于用作限制条件的布尔表达式与状态相关联而不是与转换相关联。该方法主要优点有：(1)只需指明与何种模式匹配，而无需设计如何匹配；(2)多个事件流可以独立分析，无需合并，从而可以并行处理审计时间：(3)可移植性，用与系统无关的脚本描述入侵特征，易于在不同的操作系统与审计事件格式之间移植：(4)实时性好，其分析计算方法简单，对检测系统的计算资源消耗少；(5)由于其限制条件与状态相关，从而可以检测出单状态的入侵事件。与其它特征检测方法一样，该方法只能检测已知的入侵手段，在完善的管理制度下，对于己知的入侵手段可直接通过常规的方法防范；而且，该方法容错性差，模式设计困难；这一方法不能检测通过线路窃听而后进行的入侵，也不能阻挡如地址欺骗之类的攻击。4总结通过此次对网络入侵检测技术的学习总结，我不仅了解到了关于网络安全中的入侵检测的基本内容，其中包括入侵检测系统的系统结构，系统分类，入侵检测的几种常用方法。还了解到了许多相关方面的知识，比如说将数据挖掘技术用在传统的入侵检测系统，通过该技术对整个系统中海量的安全审计数据进行有效的处理，从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息，抽象出利于进行判断和比较的特征模型。这样就能够较好的解决传统入侵检测系统的不足之处，从而能够大大的提高入侵检测的效率和可靠性。最重要的是，我意识到入侵检测技术仅仅只是信息安全的一个小分支而已，知识的海洋是浩瀚无垠的，我们只有将有限的精力集中在某一点处深入学习研究，才能出成果。同时也要注意多与实践相结合，真正好的理论就是能用在实践中去的。在今后的学习生活当中我会