摘要:当今世界,互联网迅猛发展,人们在充分享受信息资源共享极大便利的同时,基于互联网的广域开放性,也使网络被攻击和破坏的风险大大增加, 各种攻击事件与入侵手法层出不穷,由此催生市场对于网络安全产品的需求不断增加。使用防火墙、访问控制、加密技术等传统的安全技术和产品,在入侵技术快
速发展的新形势下,逐步暴露出其局限性。入侵检测系统是继防火墙之后计算机网络安全系统保护的第二道安全闸门,主要收集计算机网络或计算机系统中若干关
键点的信息并对其进行分析,从而发现网络或系统中是否存在违反安全策略的行为或被攻击的迹象,引入入侵检测系统,并对入侵检测的分类和存在的问题进行分
析与研究,最后分析入侵检测发展方向。
关键词:网络安全;入侵检测;入侵检测系统
中图分类号:TP393.08 文献标识码:A 文章编号:1671—7597(2012)01201 85-02
随着网络技术日新月异,计算机网络安全系统日益成为人们关注的热
点。入侵检测系统作为一种主动保护网络的安全技术,在不影响网络性能
的情况下,能监测网络运行,并实时保护内部攻击、外部攻击和误操作。
入侵检测系统愈来愈多地受到人们关注,也是研究领域的热点。
1 入侵检测系统
美国詹姆斯·安德森在1980年《计算机安全威胁的监察与监管》技术
报告中首先提出了入侵检测的概念。
美国国家安全通信委员会入侵检测小组在1997年给出了“入侵检测”
的定义:就是指在特定的网络环境中,发现和识别企图入侵、正在进行的
入侵或已经发生的入侵行为,并做出响应。入侵检测系统是运用入侵检测
技术对计算机或网络资源进行实时检测的系统,包括软件系统、软硬件相
结合的系统。入侵检测系统是从网络中的若干关键点收集信息并进行分
析,从而发现违反安全策略的行为或遭到入侵攻击的迹象,并自动做出响
应。主要功能包括监测与分析用户和系统行为、检查和扫描系统安全漏
洞、完整性评估重要的文件、识别已知的攻击行为、统计分析异常的行
为、审计跟踪操作系统、检测违反安全策略的用户行为等。
美国国防部高级研究计划署提出了一个通用入侵检测框架,大致由
4个相对独立的功能模块组成,如图1所示。
2 入侵检测系统的分类及存在的问题
2.1 依据数据来源来分类
依据检测数据的来源,入侵检测系统可分为基于主机的入侵检测系统
和基于网络的入侵检测系统。
1)基于主机的入侵检测系统
该入侵检测系统大多被部署在需要重点监测的主机上,监测数据的来
源主要是使用操作系统的审计和跟踪日志,需要时也会与主机系统进行交
互以获得在系统日志中不存在的信息,然后和常见已知攻击的内部数据库
进行比较来识别攻击事件。其优点包括:不需要额外的硬件、对网络流量
不敏感、效率高、能准确定位入侵并迅速做出响应。其缺点有:占用主机
资源、依赖于主机的可靠性、实施事后检测、全面部署的代价较大。
2)基于网络的入侵检测系统
该入侵检测系统通常被部署在网络设备节点上,通过被动监听网络上
传输的原始数据流,对获得的网络数据进行处理,提取出有用的信息,然
后与已知攻击特征进行匹配或与正常网络行为原型进行比较来检测入侵。
其优点有:操作系统无关性、配置简单、可进行实时检测并响应、可检测
协议攻击和特定环境的攻击等多种攻击。其缺点大致包括:只能对经过本
网段的活动进行监视、得不到主机系统的实时状态、精确度较差、不能在
交换式环境或加密环境中检测。
2.2 依据分析方法来分类
依据数据分析方法,可以将入侵检测系统分为异常入侵检测系统、误
用入侵检测系统。
1)异常入侵检测系统
首先建立一个正常的特征库,以此为参照,结合使用者的行为或资源
使用状况来判断是否入侵。常用的异常入侵检测技术主要有:统计分析、
基于数据挖掘的检测方法。其优点是:系统相对无关,可检测出新的入侵
或者从未发生过的入侵,还可以检测出属于权限滥用类型的入侵;缺点是
误检率很高。
2)误用入侵检测系统
根据已知的攻击知识建立攻击特征库,通过用户或系统行为与特征库
中各种攻击模式的比较,来确定是否发生入侵。常用的误用检测技术主要
有:基于专家系统和基于状态转移分析的检测方法。误用入侵检测系统的
优点:误报率低。误用入侵检测系统的缺点:攻击特征库越来越大,只能
检测到已知的攻击行为。
3 入侵检测的发展方向
随着网络技术不断发展和网络规模的不断扩大,网络攻击者的攻击工
具与手法日趋复杂化。近年来,入侵技术无论在规模上还是在方法上都发
生了巨大的变化。同时,入侵检测技术也随网络技术和相关学科的发展而
日趋成熟,其未来发展的主要方向有:
3.1 基于机器学习算法的入侵检测技术
机器学习主要是综合利用统计学、神经网络、模糊集、进化计算等领
域的方法,完成数据总结、概念描述、分类规则提取、数据聚类、相关性
分析、偏差分析、序列模式发现等任务。主要有:
1)计算机免疫技术。通过识别异常或者以前从未出现过的特征来确
定入侵。基于计算机免疫技术的入侵检测系统在实现异常检测方面具有巨
大的潜力。计算机免疫研究目前主要模拟了免疫检测,而对免疫应答、免
疫调整等功能的研究不足,以及对检测到“非我”后处理方法的研究还不
够深入。 2)神经网络技术。通过训练向后传播神经网络来识别已知的网络入
侵,进而研究识别未知的网络入侵。优点主要有:实现简单、分析速度
快、可实时分析、具备较强的攻击模式分析能力、能够较好地处理带噪声
的数据。但也存在一些问题:神经网络拓扑结构的形成不稳定,易陷于局
部极小,学习时间长,且对判断为异常的事件不能提供解释或者说明信
息。新的研究致力于解决向后传播网络的若干限制性缺陷。
3)遗传算法。也称基因算法,是一种基于遗传和变异的生物进化方
法。利用若干个字符串序列来定义指令组,使用这些指令组来识别正常或
者异常行为。该指令组在初始训练阶段中不断进化,以提高其分析能力。
优点是能处理带有大量噪声和无关数据的变化事件。但该算法在入侵检测
中的应用时间不长,其实际应用还有待进一步研究。
3.2 基于数据挖掘的入侵检测技术
操作系统的日益复杂化和网络数据流量的急剧膨胀,使得系统安全审
计数据以惊人的速度剧增。数据挖掘是从大型数据库或数据仓库中提取隐
含的、实现未知的、潜在有用的、易被理解的信息的过程。使用数据挖掘
中的分类分析、关联分析、聚类分析、序列模式分析等算法从海量的数据
中提取出相关的用户行为特征,并根据这些特征生成安全事件的分类模
型,应用于安全事件的自动鉴别。
基于数据挖掘的入侵检测的优点在于适合处理海量计算机网络数据
流,缺点是难以做到实时入侵检测。该技术一经提出即得到很快发展,如
今在许多方面取得了成果,但现在还远没有达到能投入实际使用的程度,
也没有形成完备的理论体系。
3.3 基于Agent的分布式入侵检测系统
基于Agent的分布式入侵检测系统采用分布式部件进行数据收集,各
部件按照层次型的结构组织,在各自所在的主机进行检测,相互之间可交
换信息,并在检测到入侵时采取响应。
高级入侵技术呈现出分布性和协作性的特点,因此要求分布式入侵检
测系统要具有智慧性、分布性和协同工作的特点。现有的分布式入侵检测
大都采用“分布式数据收集、集中处理”的体系架构,虽然比“集中式数
据收集、集中式处理”的以往的入侵检测系统在性能上和扩展上有所提
高,但是仍然存在以下不足:
1)实时性差:因数据从收集到传给中央处理器有一段时延,中央处
理器接收到的是数据被收集时的状态。基于过时信息做出的判断可信度较
低。
2)单点失效问题:由于数据是集中进行分析处理的,如果入侵者以
某种方式对中央数据分析器进行攻击,将导致整个入侵检测系统瘫痪。
3)适应性差:入侵检测系统是针对专门的系统而开发的,所以很难
移植到其他的环境中,且不同的系统间难以实现互操作。
3.4 入侵响应技术
入侵检测系统分析出入侵行为或者可疑现象后,需要采取相应的措
施,比如通过生成事件警告、E—mail或短信来通知管理员等,将入侵造成
的损失降低到最小程度。随着网络安全技术的更新与进步,目前三种更加
实时、系统自动的入侵响应方法,正越来越被重视研究和推广应用。一是
系统保护,主要是减少入侵损失;二是动态策略,主要是提高系统安全
性;三是攻击对抗,主要是实时保护系统和实现入侵跟踪和反入侵的主动
防御策略。
入侵检测系统作为一种动态的集监控、预防和抵御入侵于一体的安全
防护系统,越来越受到人们的重视。随着对入侵检测深入的技术研发、同
时结合最新的网络管理软件,将对网络安全构成入侵检测、网络管理、网
络监控三位一体的多维立体防御体系,与时俱进地保护网络安全。
参考文献:
[1]龙冬阳,《网络安全技术及应用第一版》,华南理工大学出版社,
2006.2.
[2]李涣洲,《网络安全与入侵检测技术》,四川师范大学学报,2001,
24:426—428.
[3]王丽娜主编,《信息安全导论》,武汉大学出版社,2008,8(1):
61.
[4]CEAC国家信息化计算机教育认证项目电子政务与信息安全认证专项
组,北京大学电子政务研究院电子政务与信息安全技术实验室编著,《网络安
全基础》,人民邮电出版社,2008,5(1):203—206.
[5]杜晔、张大伟、范艳芳编著,《网络攻防技术教程》,武汉大学出版
社,2008,6(1):314—320.