入侵检测技术研究概述.doc

入侵检测技术研究概述郭风(酒钢(集团)检修工程公司系统所，甘肃嘉峪关735100摘要：入侵检测是保护信息安全的重要途径，是一种新的动态安全防御技术，它是继防火墙之后的第二道安全防线。介绍入侵检测的相关概念，总结了入侵检测系统的功能、分类及入侵检测的过程，并对入侵检测的方法进行了简要分析，为进一步研究提供参考。关键词：入侵检测；入侵检测系统；检测过程；检测方法中图分类号：TV31如何建立安全而又健壮的网络系统，保证重要信息的安全性，已经成为研究的焦点。以往采用的方式多是防火墙的策略，它可以防止利用协议漏洞、源路由、地址仿冒等多种攻击手段，并提供安全的数据通道，但是它对于应用层的后门，内部用户的越权操作等导致的攻击或窃取，破坏信息却无能为力。另外，由于防火墙的位置处在网络中的明处，自身的设计缺陷也难免会暴露给众多的攻击者，所以仅仅凭借防火墙是难以抵御多种多样层出不穷的攻击的，这种静态的安全技术自身存在着不可克服的缺点。为了保证网络系统的安全，就需要有一种能够及时发现并报告系统中未授权或异常现象的技术，即入侵检测技术。1 入侵检测的基本概念入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。”入侵检测是检验和响应计算机误用的学科，是通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出相应。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术可以分为两类：I)滥用检测(Misuse Detection)滥用检测是利用已知的入侵方法和系统的薄弱环节识别非法入侵。该方法的主要缺点为：由于所有已知的入侵模式都被植人系统中，所以，一旦出现任何未知形式的入侵，都无法检测出来。但该方法的检测效率较高。2)异常检测(Anomaly Detection)异常检测是通过检查当前用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或越权操作。该方法的优点是无需了解系统缺陷，适应性较强。但发生误报的可能性较高。2 人侵检测系统入侵检测系统(IDS：Intrusion Detection Systern)是实现入侵检测功能的一系列的软件、硬件的组合。它是入侵检测的具体实现。作为一种安全管理工具，它从不同的系统资源收集信息，分析反映误用或异常行为模式的信息，对检测的行为作出自动的反应，并报告检测过程的结果。入侵检测系统就其最基本的形式来讲，可以说是一个分类器，它是根据系统的安全策略来对收集到的事件状态信息进行分类处理，从而判断出人侵和非入侵行为。入侵检测系统的主要功能有：1)监视、分析用户及系统行为，查找非法用户和合法用户的越权操作；2)系统配置和漏洞的审计检查；3)评估重要系统和数据文件的完整性；4)识别、反应已知攻击的行为模式并报警；5)异常行为模式的统计分析；6)操作系统的审计跟踪管理及违反安全策略的用户行为的识别。21 入侵检测系统分类入侵检测系统中的用户行为主要表现为数据形式。根据数据的来源不同，入侵检测系统可以分为基于主机的和基于网络的两种。前者的数据来自操作系统的审计数据，后者来自网络中流经的数据包。由于用户的行为都表现为数据，因此，解决问题的核心就是如何正确高效地处理收集到的数据，并从中得出结论。211 按照输入数据来源分类(1)基于主机的入侵检测系统基于主机的入侵检测系统(HIDS：Host2basedIntrusion Detection System)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就各系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的IDS有着明显的优点：(a)非常适合于加密和交换环境；(b)近实时的检测和响应；(c)不需要额外的硬件。同时也存在着一些不足：会占用主机的系统资源，增加系统负荷，而且针对不同的操作平台必须开发出不同的程序，另外所需配置的数量众多。但是对系统内在的结构却没有任何约束，同时可以利用操作系统本身提供的功能，并结合异常检测分析，更能准确的报告攻击行为。(2)基于网络的入侵检测系统基于网络的入侵检测系统(NIDS：Network-based Intrusion Detection System)把原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。它的攻击识别模块进行攻击签名识别的方法有：模式、表达式或字节码匹配；频率或阈值比较；次要事件的相关性处理；统计异常检测。一旦检测到攻击，IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。然而它只能监视通过本网段的活动，并且精确度较差，在交换网络环境中难于配置，防欺骗的能力也比较差。但它也有着一定的优势：(a)成本低；(b)攻击者转移证据困难；(C)实时的检测和响应；(d)能够检测到未成功的攻击企图；(e)与操作系统无关，即基于网络的IDS并不依赖主机的操作系统作为检测资源。212 按照采用的检测技术分类(1)异常检测异常检测(Anomaly Detection)，也被称为基于行为的检测；其基本前提是：假定所有的入侵行为都是异常的。原理：首先建立系统或用户的“常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。而不是依赖于具体行为是否出现来进行检测的，从这个意义上来讲，异常检测是一种间接的方法。(2)误用检测误用检测(Misuse Detection)，也被称为基于知识的检测；其基本前提是：假定所有可能的入侵行为都能被识别和表示。原理：首先对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是直接判断攻击签名的出现与否来判断入侵的，从这一点来看，它是一种直接的方法。3 人侵检测系统模型这里介绍的是通用人侵检测框架(Common In-trusion Detection Framework -CIDF)模型。CIDF工作组是由TeresaLunt发起的，专门对入侵检测进行标准化工作的组织。主要对入侵检测进行标准化，开发一些协议和应用程序接口，以便入侵检测研究项目能够共享信息和资源，同样入侵检测系统组件也可以被其他系统应用。CIDF提出了一个入侵检测系统(IDS)的通用模型。它将入侵检测系统分为以下几个单元组件：(1)事件产生器(Event generators)；(2)事件分析器(Event analyzers)；(3)响应单元(Responseunits)；(4)事件数据库(Event databases)。CIDF将入侵检测系统(IDS)需要分析的数据统称为事件(event)，它可以是网络中的数据包，也可以是从系统日志等审计记录途径得到的信息。事件产生器即检测器，它是从整个计算环境中获得事件，并向系统的其他部分提此事件；事件分析器分析得到的数据，并产生分析结果；响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，甚至发动对攻击者的反击，也可以只是简单的报警；事件数据库是存放各种中间和最终数据的地方的总称，它可以是复杂的数据库，也可以简单的文本文件。4 入侵检测过程分析过程分为三部分：信息收集、信息和结果处理。1)信息收集：入侵检测的第一步是信息收集，收集的内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络13志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。2)信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。3)结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。5 入侵检测方法由于入侵检测的最实质的特征就是一个分类器，即从大量数据中分辨出入侵和非入侵的信息。简言之即为二分类问题。这里将对入侵检测所采用的方法作一个简单介绍。I)统计方法(Statistical Approaches)统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先，检测器根据用户对象的动作为每个用户都建立一个用户特征轮廓表，通过比较当前特征与已建立的以前特征，从而判断是否是异常行为。用户特征轮廓表需要根据审计记录情况不断地加以更新。特征轮廓表包含许多衡量特征量，如CPU的使用，I0的使用，一段时间内网络连接次数，审计记录的分布情况等。2)专家系统(Expert System)这是误用检测常用的方法。早期的入侵检测系统多采用专家系统来检测系统中的入侵行为。通常入侵行为编码成专家系统的规则。每个规则具有“IF条件THEN动作”的形式；其中条件为审计记录中某些域的限制条件；动作表示规则被触发时入侵检测系统所采取的处理动作，结果可以是一些新证据的断言或用于提高某个用户行为的可疑度。这些规则既可识别单个审计事件，也可识别表示一个入侵行为的一系列事件。专家系统可以自动地解释系统的审计记录并判断他们是否满足描述人侵行为的规则。由于专家系统必须由安全专家用专家知识来构造，因此系统的能力受限于专家知识，很可能导致漏警率的提高。另外，规则的修改必须考虑规则集中不同规则的依赖性。3)状态迁移分析(StateTransition Analysis)状态迁移分析即将状态迁移图应用于入侵行为的分析。状态迁移法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态迁移的转换条件，即导致系统进人被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时需要一个个地查找审计记录。除了上述的方法外，应用到入侵检测领域的方法还有模式匹配(PatternMatching)、神经网络(Neural Network)、数据挖掘(Data Mining)、信息论测度(Information-Theo-retic Measures)、免疫学(Im2 munology)等o6 结束语入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击，外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应人侵。在不断发展变化的网络环境下，入侵检测仍将面临巨大的挑战。从进攻角度来看，由于技术的进步，攻击者的目的、能力在不断提高，攻击工具也13益复杂化和多样化，攻击场景变得更加多样