網(wǎng)絡(luò)入侵檢測方法研究

1、網(wǎng)絡(luò)入侵檢測方法研究摘要介紹網(wǎng)絡(luò)入侵的過程與處理流程,入侵檢測的分類,入侵檢測目標(biāo)與評估參數(shù),對于入侵檢測的手段與方法作了回顧,總結(jié)入侵檢測的評估參數(shù)。最后提出了以后入侵檢測技術(shù)的發(fā)展趨勢 關(guān)鍵詞入侵檢測 檢測流程 評估參數(shù) 中圖分類號:TP3文獻標(biāo)識碼:B文章編號:1671-7597(2008)0420082-01 一、入侵檢測的流程與結(jié)構(gòu) 計算機網(wǎng)絡(luò)安全技術(shù)涉及到許多技術(shù)領(lǐng)域,主要包括密碼技術(shù)、防火墻技術(shù)、安全協(xié)議、身份認證技術(shù)、訪問控制技術(shù)和安全監(jiān)控技術(shù)等。事實上,對于網(wǎng)絡(luò)安全來講,任何技術(shù)都不是獨立存在的,而是相輔相成,互為補充和利用的。我們從安全防范技術(shù)的機理上分別加以介紹。 在圖1

2、中給出了一個通用的入侵檢測系統(tǒng)結(jié)構(gòu)。 數(shù)據(jù)提取模塊的作用在于為系統(tǒng)提供數(shù)據(jù),數(shù)據(jù)的來源可以是主機上的日志和變動信息,也可以是網(wǎng)絡(luò)上的數(shù)據(jù)信息,甚至是流量變化等,這些都可以作為數(shù)據(jù)源。數(shù)據(jù)提取模塊在獲得數(shù)據(jù)之后,需要對數(shù)據(jù)進行簡單的處理,如簡單的過濾、數(shù)據(jù)格式的標(biāo)準(zhǔn)化等,然后將經(jīng)過處理的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。 數(shù)據(jù)分析模塊的作用在于對數(shù)據(jù)進行深入地分析,發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件,傳遞給結(jié)果處理模塊。數(shù)據(jù)分析的方式多種多樣,可以簡單到對某種行為的計數(shù)(如一定時間內(nèi)某個特定用戶登錄失敗的次數(shù),或者某種特定類型報文的出現(xiàn)次數(shù)),也可以是一個復(fù)雜的專家系統(tǒng)。該模塊是一個入侵檢測系統(tǒng)的核心,在許

3、多文獻和研究報告中,所說的入侵檢測方法就是指的數(shù)據(jù)分析方法。數(shù)據(jù)分析方法也是本文研究的重點。 結(jié)果處理模塊的作用在于告警與反應(yīng),這實際上與PZDR模型的R有所重疊。從非技術(shù)角度來說,結(jié)果處理模塊的告警是通知管理員,而R的作用在于產(chǎn)生一個正式的告警,作為單位個體正式的安全事件進行處理;從技術(shù)角度來說,兩者的功能很難劃分,也可以將結(jié)果處理的反應(yīng)功能歸結(jié)為R的一部分。 二、入侵檢測的分類 根據(jù)入侵檢測系統(tǒng)監(jiān)控對象及數(shù)據(jù)源的不同可分為:基于網(wǎng)絡(luò)(Network一based)的入侵檢測系統(tǒng)和基于主機(Host一based)的入侵檢測系統(tǒng);根據(jù)檢測方法的不同可分為兩大類:誤用檢測和異常檢測?；诰W(wǎng)絡(luò)的ID

4、S主要目的是用來保護某一網(wǎng)段,所基于的數(shù)據(jù)源是從網(wǎng)絡(luò)上采集的數(shù)據(jù)包;而基于主機的IDS一般用來監(jiān)視主機信息,其數(shù)據(jù)源通常包括操作系統(tǒng)審計記錄、系統(tǒng)日志、基于應(yīng)用的審計信息、基于目標(biāo)的對象信息等。圖2從不同角度對入侵檢測系統(tǒng)進行分類: 誤用檢測首先使用形式化方法來描述入侵特征(signature,或稱為入侵模式,pattems)并構(gòu)建入侵特征庫,通過模式匹配方式來檢測已知類型攻擊及其變種行為。異常檢測則是使用形式化方法來描述網(wǎng)絡(luò)和用戶的正常行為模式,構(gòu)建網(wǎng)絡(luò)和用戶正常活動簡檔(Profile,或檔案,輪廓),檢測過程中捕獲那些與正常活動簡檔不相符的異常行為,并進一步在異常行為集合中區(qū)分出入侵行為

5、。 另外,IDS對檢測到的入侵行為可采取不同的反應(yīng)方式:采取某種行動(例如關(guān)閉服務(wù))的ros為積極響應(yīng);若只是產(chǎn)生一些警報或者通知,則稱之為消極響應(yīng)。審計信息分析通常在兩種模式下工作,不間斷持續(xù)運行的檢測過程,稱為實時的,術(shù)語“實時”只是表明IDS對入侵的反應(yīng)足夠快;反之為事后處理。IDS在結(jié)構(gòu)特征上的發(fā)展趨勢和計算機系統(tǒng)發(fā)展的趨勢相一致:傳統(tǒng)的IDS是集中式的,意味著它們或者作為一個單一的模塊運行,或者是一系列交互的實體,而所有實體都繼承了總的IDS的功能;而分布式IDS由不同實體組成,分布在系統(tǒng)中的每一個實體都執(zhí)行自己的任務(wù),各實體之間通過消息或其他機制進行交互。這里“分布”的概念指功能上

6、的分布,而不是物理上的分布。 三、入侵檢測目標(biāo)與評估參數(shù) 入侵檢測的目標(biāo)是確認那些由系統(tǒng)內(nèi)部人員和外部入侵者未經(jīng)授權(quán)使用、濫用和誤用計算機系統(tǒng)的行為。它所基于的基本思想是:入侵者的行為有別于正常使用者,并且可以檢測得到針對系統(tǒng)的非授權(quán)行為。評估入侵檢測系統(tǒng)的兩個重要參數(shù)是正確檢出率和誤報率。其中,正確檢出是指入侵檢測系統(tǒng)捕獲到的攻擊行為,正確檢出率等于正確捕捉到的攻擊數(shù)目和全部攻擊數(shù)目之比;誤報指入侵檢測系統(tǒng)將正常行為誤認為攻擊行為,誤報率等于IDS的誤報數(shù)目與IDS所輸出的全部警報數(shù)目(真正攻擊數(shù)目與被誤認為攻擊的正?；顒又?之比。理想的入侵檢測系統(tǒng)應(yīng)該同時具有較高的正確檢出率和較低的誤報率。然而實際上二者是相矛盾的,Axelsson詳細說明了其原因所在?？梢詮臋z出率和誤報率的角度分析誤用和異常檢測。誤用檢測由于采用準(zhǔn)確或模糊匹配方式而具有較低的誤報率,但其弱點是不能檢測那些未包含在入侵特征模式庫中的未知入侵類型;而異常檢測的最大優(yōu)勢在于具有捕捉未知類型攻擊的能力,但其誤報率很高,這是由正?；顒雍啓n的準(zhǔn)確性及綜合程度所決定的。 四、結(jié)束語 入侵檢測作為一種積極主動地安全防護技術(shù), 提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在代其他安全系統(tǒng)如: 訪問控制、加密