入侵檢測技術(shù)現(xiàn)狀發(fā)展

1、淺析入侵檢測技術(shù)現(xiàn)狀發(fā)展一、現(xiàn)在網(wǎng)絡(luò)安全隱患 隨著計(jì)算機(jī)技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出，很多組織正在致力于提出更多的更強(qiáng)大的主動策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性，然而另一個更為有效的解決途徑就是入侵檢測。在入侵檢測之前，大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的，他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對策。因此，它們對入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時地調(diào)整系統(tǒng)的安全策略。而入侵檢測正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段，及時地

2、調(diào)整系 統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。 二、入侵檢測的定義 入侵檢測是從系統(tǒng)(網(wǎng)絡(luò))的關(guān)鍵點(diǎn)采集信息并分析信息，察看系統(tǒng)(網(wǎng)絡(luò))中是否有違法安全策略的行為，保證系統(tǒng)(網(wǎng)絡(luò))的安全性，完整性和可用性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。 三、入侵檢測的系統(tǒng)功能構(gòu)成 一個入侵檢測系統(tǒng)的功能至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。 入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕

3、跡，將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開，分析出入侵行為并對入侵者進(jìn)行定位。 入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。 由于單個入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個檢測單元運(yùn)行于網(wǎng)絡(luò)中的各個網(wǎng)段或系統(tǒng)上，通過遠(yuǎn)程管理功能在一臺管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和監(jiān)控。四、入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類：基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 1.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過網(wǎng)絡(luò)監(jiān)視來實(shí)現(xiàn)數(shù)據(jù)提取。在internet中，局域網(wǎng)普遍采用ieee 802.3協(xié)議。該協(xié)

4、議定義主機(jī)進(jìn)行數(shù)據(jù)傳輸時采用子網(wǎng)廣播的方式，任何一臺主機(jī)發(fā)送的數(shù)據(jù)包，都會在所經(jīng)過的子網(wǎng)中進(jìn)行廣播，也就是說，任何一臺主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機(jī)接收。在正常設(shè)置下，主機(jī)的網(wǎng)卡對每一個到達(dá)的數(shù)據(jù)包進(jìn)行過濾，只將目的地址是本機(jī)的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū)，而將其他數(shù)據(jù)包丟棄，因此，正常情況下網(wǎng)絡(luò)上的主機(jī)表現(xiàn)為只關(guān)心與本機(jī)有關(guān)的數(shù)據(jù)包，但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的這種接收模式被稱為混雜模式，目前絕大部分網(wǎng)卡都提供這種設(shè)置，因此，在需要的時候，對網(wǎng)卡進(jìn)行合理的設(shè)

5、置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。在其他網(wǎng)絡(luò)環(huán)境下，雖然可能不采用廣播的方式傳送報(bào)文，但目前很多路由設(shè)備或交換機(jī)都提供數(shù)據(jù)報(bào)文監(jiān)視功能。 2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 基于主機(jī)的入侵檢測系統(tǒng)將檢測模塊駐留在被保護(hù)系統(tǒng)上，通過提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來實(shí)現(xiàn)入侵檢測的功能。 基于主機(jī)的入侵檢測系統(tǒng)可以有若干種實(shí)現(xiàn)方法： 檢測系統(tǒng)設(shè)置以發(fā)現(xiàn)不正當(dāng)?shù)南到y(tǒng)設(shè)置和系統(tǒng)設(shè)置的不正當(dāng)更改對系統(tǒng)安全狀態(tài)進(jìn)行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。 基于主機(jī)日志的安全審計(jì)，通過分析主機(jī)日志來發(fā)現(xiàn)入侵行為。基于主機(jī)的入侵檢測系統(tǒng)具有檢測效率高，分析代價小，分析速度快的特點(diǎn)，能夠迅速并準(zhǔn)

6、確地定位入侵者，并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對入侵進(jìn)行進(jìn)一步分析。目前很多是基于主機(jī)日志分析的入侵檢測系統(tǒng)?；谥鳈C(jī)的入侵檢測系統(tǒng)存在的問題是：首先它在一定程度上依賴于系統(tǒng)的可靠性，它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)置，然后才能提取入侵信息；即使進(jìn)行了正確的設(shè)置，對操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時地將系統(tǒng)日志抹去，從而不被發(fā)覺；并且主機(jī)的日志能夠提供的信息有限，有的入侵手段和途徑不會在日志中有所反映，日志系統(tǒng)對有的入侵行為不能做出正確的響應(yīng)，例如利用網(wǎng)絡(luò)協(xié)議棧的漏洞進(jìn)行的攻擊，通過ping命令發(fā)送大數(shù)據(jù)包，造成系統(tǒng)協(xié)議棧溢出而死機(jī)，或是利用arp欺騙

7、來偽裝成其他主機(jī)進(jìn)行通信，這些手段都不會被高層的日志記錄下來。在數(shù)據(jù)提取的實(shí)時性、充分性、可靠性方面基于主機(jī)日志的入侵檢測系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 五、入侵檢測技術(shù)的發(fā)展方向 近年對入侵檢測技術(shù)有幾個主要發(fā)展方向: (1)分布式入侵檢測與通用入侵檢測架構(gòu) 傳統(tǒng)的ids一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足。同時不同的ids系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。 (2)應(yīng)用層入侵檢測 許多入侵的語義只有在應(yīng)用層才能理解，而目前的ids僅能檢測如web之類的通用協(xié)議，而不能處理如lotus notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測保護(hù)。 (3)智能的入侵檢測 入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但是這只是一些