入侵檢測系統(tǒng)的技術發(fā)展及應用前景

入侵檢測系統(tǒng)的技術發(fā)展及應用前景摘要當今世界，人們的日常生活越來越離不開網(wǎng)絡。隨著網(wǎng)絡的發(fā)展，人們也越來越重視網(wǎng)絡信息安全的問題，特別是網(wǎng)絡中涉及商業(yè)機密以及國家安全的信息。單純的采用防火墻已經(jīng)不足以保護這些重要信息，還要能夠及時的發(fā)現(xiàn)惡意行為，并在惡意行為實施前做好保護措施，如斷開連接，發(fā)出警告，過濾IP，甚至發(fā)起反擊，這就是入侵檢測技術。本文主要介紹入侵檢測技術的發(fā)展概況及其分類的情況，并就入侵檢測技術的應用前景及發(fā)展趨勢作簡單分析。關鍵字：網(wǎng)絡安全;入侵檢測;IDS;發(fā)展趨勢;網(wǎng)絡攻擊入侵檢測技術簡介入侵檢測的發(fā)展概況入侵檢測可追溯到1986年，SRI的DorothyE.Denning發(fā)表的一篇論文《AnIntrusion-DetectionModel》，該文深入探討了入侵檢測技術，檢索了行為分析的基本機制，首次將入侵檢測的概念作為一種計算機安全防御措施提出，并建立了一個獨立于系統(tǒng)、程序應用環(huán)境和系統(tǒng)脆弱性的通用入侵檢測系統(tǒng)模型。90年代以前，SRI以及LosAlamos實驗室都主要是針對主機IDS進行研究，分別開發(fā)了IDES、Haystack等入侵檢測系統(tǒng)。1990年，UCD設計的網(wǎng)絡安全監(jiān)視器標志著入侵檢測系統(tǒng)的研究進入網(wǎng)絡領域。網(wǎng)絡IDS的研究方法主要有兩種：一是分析各主機的審計數(shù)據(jù)，并分析各主機審計數(shù)據(jù)之間的關系；二是分析網(wǎng)絡數(shù)據(jù)包。由于90年代因特網(wǎng)的發(fā)展及通信和網(wǎng)絡帶寬的增加，系統(tǒng)的互連性已經(jīng)有了顯著提高，于是人們開始試圖將主機和網(wǎng)絡IDS集成。分布式入侵檢測系統(tǒng)（DIDS）最早試圖將基于主機的方法和網(wǎng)絡監(jiān)視方法集成在一起。可見，入侵檢測系統(tǒng)的發(fā)展主要經(jīng)歷了三個階段：主機IDS的研究、網(wǎng)絡IDS的研究、最后將主機和網(wǎng)絡IDS集成。入侵檢測的概念入侵檢測是對入侵行為的檢測，通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、以及其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，來檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。將入侵檢測的軟件與硬件相結合后便是入侵檢測系統(tǒng)（IntrusionDetectionSystem）。入侵檢測是防火墻的合理補充，能夠幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎結構的完整性。它能夠在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。入侵檢測的作用對一個成功的入侵檢測系統(tǒng)來講，它不但可以使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)的任何變更，還能給安全策略的制定提供指南?？偟膩碚f，IDS的作用和功能主要有：監(jiān)控、分析用戶和系統(tǒng)的活動；審計系統(tǒng)的配置和脆弱性；評估關鍵系統(tǒng)和數(shù)據(jù)文件的一致性；識別攻擊的活動模式；對異?；顒舆M行統(tǒng)計分析；對操作系統(tǒng)進行審計跟蹤管理，識別違反政策的用戶活動。入侵檢測系統(tǒng)入侵檢測系統(tǒng)的基本結構事件產生器事件產生器事件分析器事件數(shù)據(jù)庫響應單元如圖所示為入侵檢測系統(tǒng)的基本結構。主要由以下四個部分組成：事件產生器事件產生器是入侵檢測系統(tǒng)中負責原始數(shù)據(jù)采集的部分，它對數(shù)據(jù)流、日志文件等進行追蹤，然后將搜集到的原始數(shù)據(jù)轉換為事件，并向系統(tǒng)的其他部分提供此事件。事件分析器事件分析器接收事件信息，然后對信息進行分析，判斷所接收信息是否為入侵行為或異?，F(xiàn)象，最后將判斷的結構轉變?yōu)榫嫘畔ⅰ?、事件數(shù)據(jù)庫事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方，它從事件產生器或事件分析器接收數(shù)據(jù)，一般會將數(shù)據(jù)進行較長時間的保存。響應單元響應單元根據(jù)警告信息作出反應，其可以做出切斷連接、改變文件屬性等強烈反應，也可以指示簡單的報警，是入侵檢測系統(tǒng)中的主動武器。當前主要入侵檢測系統(tǒng)的分類1）根據(jù)入侵檢測方法分類根據(jù)入侵檢測所采用的技術，可以分為異常檢測系統(tǒng)和誤用檢測系統(tǒng)。異常入侵檢測系統(tǒng)：異常檢測是指根據(jù)使用者的行為或資源使用狀況來判斷是否發(fā)生入侵事件，而不依賴于具體行為是否出現(xiàn)來檢測，因此是基于行為的檢測。其主要思想是根據(jù)系統(tǒng)的正常活動建立一個特征文件，通過統(tǒng)計那些不同于用戶已建立的特征文件的所有系統(tǒng)狀態(tài)來識別入侵。誤用入侵檢測系統(tǒng)：誤用檢測的前提是假設所有的網(wǎng)絡攻擊行為和方法都具有一定的模式或特征，并根據(jù)這些模式或特征建立一個數(shù)據(jù)庫，然后將搜集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。因此是基于知識的檢測技術或模式匹配檢測技術。如果說異常檢測是量化的入侵檢測分析手段，那么誤用檢測應該是一種質化的檢測手段。2）根據(jù)目標系統(tǒng)的類型分類根據(jù)目標系統(tǒng)的類型可以分為基于主機的入侵檢測系統(tǒng)（HIDS）、基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）。基于主機的入侵檢測系統(tǒng)：該系統(tǒng)通過監(jiān)視和分析主機上的審計日志，來檢查主機上是否發(fā)生入侵行為。該系統(tǒng)需要準確的定義哪些是不合法的行為，并將其轉換成入侵檢測規(guī)則。它的優(yōu)點的能夠精確判斷入侵事件，并及時響應。缺點是會占用寶貴的主機資源。基于網(wǎng)絡的入侵檢測系統(tǒng)：該系統(tǒng)主要使用原始網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源，被動地在共享網(wǎng)段上進行偵聽，通過分析數(shù)據(jù)包來檢測是否發(fā)生入侵行為。它的優(yōu)點是檢測速度快、具有較好的隱蔽性、不容易遭到攻擊、對主機資源消耗較少、還能夠對網(wǎng)絡提供通用的保護，缺點是只能夠監(jiān)聽本網(wǎng)段的數(shù)據(jù)包，精確度較差，在交換網(wǎng)絡環(huán)境的情況下難以配置。入侵檢測系統(tǒng)的發(fā)展趨勢及應用前景1、當前入侵檢測系統(tǒng)面臨的問題在入侵檢測技術不斷發(fā)展的同時，入侵技術也在更新。因此入侵技術的發(fā)展和演化應該是當前入侵檢測系統(tǒng)面臨的主要問題：入侵的綜合化與復雜化。由于網(wǎng)絡防范技術的多重化，使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。入侵技術的分布化。以往常用的入侵與攻擊行為往往由單機執(zhí)行，由于防范技術的發(fā)展使得此類行為不能奏效。所謂的分布式拒絕服務（DDoS）在很短時間內可造成被攻擊主機的癱瘓。且此類分布式攻擊的單機信息模式與正常通信無差異，所以往往在攻擊發(fā)動的初期不易被確認。分布式攻擊是近期最常用的攻擊手段。入侵主體對象的間接化。通過一定的技術，可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術后，對于被攻擊對象而言攻擊的主體是無法直接確定的。攻擊對象的轉移。入侵與攻擊常以網(wǎng)絡為侵犯的主體，但近來的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡改為攻擊網(wǎng)絡的防護系統(tǒng)，且有愈演愈烈的趨勢。攻擊者詳細地分析了IDS的審計方式、特征描述、通信模式找出IDS的弱點，然后加以攻擊。2、入侵檢測系統(tǒng)的技術發(fā)展趨勢針對當前入侵檢測系統(tǒng)面臨的主要問題，我認為入侵檢測技術主要會朝以下幾個方向發(fā)展：分布式入侵檢測：傳統(tǒng)的IDS局限于單一主機或網(wǎng)絡，對異構系統(tǒng)及大規(guī)模的網(wǎng)絡檢測明顯不足，不同的IDS之間不能協(xié)同工作。因此需要發(fā)展分布式入侵檢測技術及分布式的入侵檢測架構。即發(fā)展針對分布式攻擊的檢測方法，以及通過分布式的架構來檢測分布式的攻擊。智能化入侵檢測：所謂智能化檢測方法，即現(xiàn)階段常用的神經(jīng)網(wǎng)絡、遺傳算法、模糊技術、免疫原理等方法。智能化檢測方法的發(fā)展方向應該是發(fā)展出具有自學能力的算法，這樣可以實現(xiàn)知識庫的不斷更新及擴展，使入侵檢測系統(tǒng)的防范能力不斷增強。高速網(wǎng)絡的入侵檢測：現(xiàn)在的網(wǎng)絡接入速度越來越快，而在IDS中，截獲網(wǎng)絡中的數(shù)據(jù)包并對之進行分析、匹配規(guī)則需要耗費大量的時間和系統(tǒng)資源，大部分IDS的檢測速度并不能適應當前的網(wǎng)絡速度。因此需要發(fā)展高速網(wǎng)絡下的入侵檢測技術。入侵檢測系統(tǒng)的標準化：在大型網(wǎng)絡中，網(wǎng)絡的不同部分可能使用了多種入侵檢測系統(tǒng)，可能還有防火墻，漏洞掃描等設備。這些入侵檢測系統(tǒng)以及安全設備如何很好的協(xié)同工作也應該是入侵檢測系統(tǒng)發(fā)展應該考慮的問題。3、入侵檢測系統(tǒng)的應用前景在互聯(lián)網(wǎng)高速上網(wǎng)迅速發(fā)展的今天，隨著安全事件的急劇增加以及入侵檢測技術逐步成熟，入侵檢測系統(tǒng)將會有很大的應用前景。無線網(wǎng)絡。由于移動通信在帶來可移動的優(yōu)越性的同時也帶來系統(tǒng)安全性的問題。因為移動通信的固有特點，移動臺（MS）與基站（BS）之間的空中無線接口是開放的，這樣整個通信過程，包括通信、鏈路的建立、信息的傳輸均暴露在第三方面前；而且在移動通信系統(tǒng)中，移動用戶與網(wǎng)絡之間不存在固定物理連接的特點使得移動用戶必須通過無線信道傳遞其身份信息，以便于網(wǎng)絡端能正確鑒別移動用戶的身份，而這些信息就可能被第三者截獲，并偽造信息，假冒此用戶身份使用通信服務；另外無線網(wǎng)絡也容易受到黑客和病毒的攻擊。因此，IDS在無線網(wǎng)絡方面有廣闊的應用前景。家庭網(wǎng)絡安全。由于網(wǎng)上銀行、網(wǎng)上支付系統(tǒng)、B2C、C2C網(wǎng)站的發(fā)展使得家庭用戶的網(wǎng)絡安全問題也變得尤為突出。有需求就會有市場，相信IDS在不久的將來也將逐漸走入家庭。結束語盡管如今的入侵檢測技術已經(jīng)比較成熟，但面臨不斷變化的網(wǎng)絡環(huán)境以及日新月異的網(wǎng)絡技術，入侵檢測技術也需要不斷與時俱進。另外，我們應該意識到入侵檢測系統(tǒng)雖然在網(wǎng)絡安全中有著重要的作用，但它并不能代替其他的安全系統(tǒng)，例如殺毒軟件，防火墻等。同時，我們在使用網(wǎng)絡的同時也應增強自己的安全意識，這樣才能擁有更加安全的網(wǎng)絡環(huán)境。參考文獻[1]薛靜鋒，祝烈煌，閻慧.入侵檢測技術[M].人民郵電出版社，2007(1).[2]蔣朝惠，武彤，