入侵检测技术概论

标题：入侵检测技术概论 时间：2004-06-13 来源：http://www.meiclub.com/ 摘要 随着计算机技术尤其是网络技术的发展，计算机系统已经从独立的主机发展到复杂的、互连的开放式系统，这给人们在信息利用和资源共享上带来了很大的便利。与此同时，人们又面临着由于入侵而引发的一系列安全问题的困扰。本文介绍了当今网络安全技术的热点之一：入侵检测技术。文章首先讲述了入侵检测的定义及分类，并分析了其检测方法，最后说明了它的发展趋势及其应用前景。 　　关键词 入侵检测系统 网络安全 防火墙 1 引言 　　随着Internet高速发展，个人、企业以及政府部门越来越多地依靠网络传递信息, 然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 　　 试图破坏信息系统的完整性、机密性、可信性的任何网络活动都称为网络入侵。防范网络入侵最常用的方法就是防火墙。防火墙（Firewall）是设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合,它属于网络层安全技术,其作用是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。 　　但是，防火墙只是一种被动防御性的网络安全工具，仅仅使用防火墙是不够的。首先，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击。其次，防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝，要么都通过,而这是远远不能满足用户复杂的应用要求的。于是就产生了入侵检测技术[1]。 2 入侵检测技术 　　入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁，但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System，IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出，与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 　　入侵检测（Intrusion Detection）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象（人或程序）针对系统的入侵企图或行为(Intrusion)，同时监控授权对象对系统资源的非法操作(Misuse)。 　　（1）从系统的不同环节收集信息； 　　（2）分析该信息，试图寻找入侵活动的特征； 　　（3）自动对检测到的行为做出响应； 　　（4）纪录并报告检测过程结果。 　　入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足，从某种意义上说是防火墙的补充[1]。 3 入侵检测的分类 　　 现有的分类，大都基于信息源和分析方法进行分类[3, 4]。 3.1 根据信息源的不同，分为基于主机型和基于网络型两大类 3.1.1 基于主机的入侵检测系统（Host-based Intrusion Detection System，HIDS） 　　基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时，IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。 　　基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵的一个常用方法是通过定期检查文件的校验和来进行的，以便发现异常的变化。反应的快慢取决于轮讯间隔时间的长短。许多产品都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。 3.1.2 基于网络的入侵检测系统（Network-based Intrusion Detection System，NIDS） 　　基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，IDS的响应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等[5]。 3.1.3 基于主机和基于网络的入侵检测系统的集成 　　许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统。因为这两种系统在很大程度上是互补的。实际上，许多客户在使用IDS时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部Internet的攻击。DNS、Email和Web服务器经常是攻击的目标，但是它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以应当在各个服务器上安装基于主机的入侵检测系统，其检测结果也要向分析员控制台报告。因此，即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。下面给出一个中等规模的机构设置入侵检测系统的入侵检测解决方案[6, 7]。 3.2 根据检测所用分析方法的不同，可分为误用检测和异常检测 3.2.1 误用检测（Misuse Detection） 　　设定一些入侵活动的特征（Signature），通过现在的活动是否与这些特征匹配来检测。常用的检测技术为： 　　（l）专家系统：采用一系列的检测规则分析入侵的特征行为。规则，即知识，是专家系统赖以判定入侵存在与否的依据。除了知识库的完备性外，专家系统还依靠条件库的完备性，这一点又取决于审计记录的完备性、实时性和易用性。此外，匹配算法的快慢，也对专家系统的工作效率有很大的影响。 　　 （2）基于模型的入侵检测方法：入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列。这种行为序列构成了具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。与专家系统通常放弃处理那些不确定的中间结论的缺点相比，这一方法的优点在于它基于完善的不确定性推理数学理论。基于模型的入侵检测方法可以仅监测一些主要的审计事件。当这些事件发生后，再开始记录详细的审计，从而减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击（coordinate attack）和多层攻击（multi-stage attack）。为分布式IDS系统所采用。 　　（3）简单模式匹配（Pattern Matching）：基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时，这一方法将寻找与它相匹配的已知入侵模式。 　　 （4）软计算方法：软计算方法包含了神经网络、遗传算法与模糊技术。近年来己有关于运用神经网络进行入侵检测实验的报道，但还没有正式的产品问世。 3.2.2 异常检测（Anomaly detection） 　　异常检测假设入侵者活动异常于正常的活动。为实现该类检测，IDS建立正常活动的“规范集（Normal profile）”，当主体的活动违反其统计规律时，认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。大多数的正常行为的模型使用一种矩阵的数学模型，矩阵的数量来自于系统的各种指标。比如CPU使用率、内存使用率、登录的时间和次数、网络活动、文件的改动等。异常检测的缺点是：若入侵者了解到检测规律，就可以小心的避免系统指标的突变，而使用逐渐改变系统指标的方法逃避检测。另外检测效率也不高，检测时间较长。最重要的是，这是一种“事后”的检测，当检测到入侵行为时，破坏早已经发生了。 　　统计方法是当前产品化的入侵检测系统中常用的方法，它是一种成熟的入侵检测方法，它使入侵检测系统能够学习主体的日常行为，将那些与正常活动之间存在较大统计偏差的活动标识成为异常活动。常用的入侵检测统计模型为：操作模型、方差、计算参数的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统[8~11]。 4 入侵检测技术发展趋势 　　目前，国内、外入侵检测技术的发展趋势[12, 13]为： 　　（1）分布式入侵检测。这个概念有两层含义：第一层，即针对分布式网络攻击的检测方法：第二层即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式系统是现代IDS主要发展方向之一，它能够在数据收集、入侵分析和自动响应方面最大限度地发挥系统资源的优势，其设计模型具有很大的灵活性。 　　（2）智能化入侵检测。即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建IDS也是常用的方法之一。 　　（3）网络安全技术相结合。结合防火墙、PKIX、安全电子交易（SET）等新的网络安全与电子商务技术，提供完整的网络安全保障。例如，基于网络和基于主机的入侵检测系统相结合，将把现在的基于网络和基于主机这两种检测技术很好地集成起来，相互补充，提供集成化的攻击签名、检测、报告和事件关联等功能。 5 IDS的应用前景[14] 　　在互联网高速上网迅速发展的今天，随着安全事件的急剧增加以及入侵检测技术逐步成熟，入侵检测系统将会有很大的应用前景。比如银行的互联网应用系统（支付网关、网上银行等），科研单位的开发系统，军事系统，普通的电子商务系统，ICP等，都需要有IDS的护卫。 　　（1）无线网络。移动通信由于具有不受地理位置的限制、可自由移动等优点而得到了用户的普遍欢迎和广泛使用，目前全球有7300万人使用无线数据电话。但是移动通信在带来可移动的优越性的同时也带来系统安全性的问题。由于移动通信的固有特点，移动台（MS）与基站（BS）之间的空中无线接口是开放的，这样整个通信过程，包括通信、链路的建立、信息的传输（如用户的身份信息、位置信息、语音以及其它数据流）均暴露在第三方面前；而且在移动通信系统中，移动用户与网络之间不存在固定物理连接的特点使得移动用户必须通过无线信道传递其身份信息，以便于网络端能正确鉴别移动用户的身份，而这些信息就可能被第三者截获，并伪造信息，假冒此用户身份使用通信服务；另外无线网络也容易受到黑客和病毒的攻击。因此，IDS在无线网络方面有广阔的应用前景。 　　（2）IDS走进家庭。最近几年来IDS让公司经理们不必担心黑客和内部作案人员，现在IDS要保护家庭里的个人计算机。越来越多的人通过互联网将家中的计算机与公司联网，到2005年全世界将有2600万人用上住宅高速互联网服务。而由于使用了宽带，这些用户的网络或DSL调制解调器总是处于打开的状态，对黑客有极大的诱惑力。黑客可以由此侵入网络，盗窃信用卡、身份证明或进入网络管理系统，一些传播很快的病毒还会把个人计算机的内容暴露给黑客，这些都预示着IDS将逐渐走入家庭。 6 结束语 　　最后我们应该明白的是：IDS尽管是计算机网络安全的重要组成部分，但它不是一个完全的计算机网络系统安全解决方案，它不能替代其他安全系统如：访问控制、身份识别与认证、加密、防火墙、病毒的检测与杀除等的功能。但可以将它与其他安全系统，如防火墙系统、安全网管系统等增强协作，以增加其自身的动态灵活反应及免疫能力，为我们提供更加安全的网络环境。 参 考 文 献 [1] 祁建清，闫镔，杨正 . IDS研究概述，电子对抗技术，第16卷第4期，2001 [2] Denning D E. An intrusion- detection model[J]. IEEE Trans-action on Software Engineering, 1987,SE- 1 3 :222～232 [3] Sandeep Kumar. Classification and detection of Computer Intrusions. Ph.D thesis, Indiana: Purdue University [4] Dacier M, Jackson K. Intrusion detection. Computer Networks, 1999;31(23-24):2433-2434 [5] 刘春颂，杨寿保，杜滨 . 基于网络的入侵检测系统及其实现，计算机应用 . 第23卷第2期，2003 [6] 江波，郭巧 . 基于网络的IDS的几点改进措施 . 计算机工程与设计，第24卷第3期，2003 [7] 杜彦辉等 . 基于网络和主机相结合的入侵检测技术 . 火力与指挥控制，第27卷第2期，2002 [8] 李昀，李伟华 . 分布式入侵检测系统的研究与实现 . 计算机工程与应用，2003，04 [9] 鲁宏伟，罗钢 . 基于专家系统的入侵检测方法，武钢技术 . 2003年第 41卷第 1期 [10] 肖瀛等 . 智能神经网络在Internet入侵检测中的应用 . 高技术通讯，2002，07 [11] 谭小彬等 . 计算机系统入侵检测的隐马尔可夫模型 . 计算机研究与发展，第40卷第2期，2003 [12] 张颖，王辉 . 一种与入侵检测互动的 Internet安全防范系统 . 计算机工程与应用2003，07 [13] 胡华平等 . 面向大规模网络的入侵检测与预警系统研究 . 国防科技大学学报，第 2 5卷第1期，2003 [14] 周建国，曹庆国，赵庆军 . 计算机网络入侵检测系统的研究 . 计算机工程，第29卷第2期，2003