入侵檢測技術的發(fā)展方向

目錄TOC\o"1-5"\h\z引言 11.1入侵檢測技術成因 11.2入侵檢測系統(tǒng)的成長 2入侵檢測定義及分類 32.1入侵檢測定義 32.2入侵檢測技術分析 42.3入侵檢測的分類 5常用的入侵檢測技術方法 6神經(jīng)網(wǎng)絡異常檢測 6概率統(tǒng)計異常檢測 6專家系統(tǒng)誤用檢測 7基于模型的入侵檢測 7入侵檢測技術的發(fā)展方向 74.1分布式合作引擎、協(xié)同式抵抗入侵 84.2智能化入侵檢測 84.3分布式入侵檢測技術及通用入侵檢測技術架構(gòu) 84.4應用層入侵檢測技術 94.5入侵檢測技術的評測方法 94.6網(wǎng)絡安全技術相結(jié)合 94.7全面的安全防御方案 9結(jié)束語 10

參考文獻 11參考文獻 11計算機網(wǎng)絡入侵檢測技術的研究引言1.1入侵檢測技術成因隨著計算機網(wǎng)絡技術的飛速發(fā)展和也能夠用以及計算機網(wǎng)絡用戶數(shù)量的不斷增加，如何有效地保證網(wǎng)絡上信息的安全成為計算機網(wǎng)絡的一個關鍵技術。雖然迄今為止以發(fā)展了多種安全機制來保護計算機網(wǎng)絡，如：用戶授權及認證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份等。但以上的安全機制已不能滿足當前網(wǎng)絡安全的需要。網(wǎng)絡入侵和攻擊的現(xiàn)象仍然是屢見不鮮。尤其是電子商務的應用，使得網(wǎng)絡安全問題的解決迫在眉睫，使得從技術、管理等多方面采取綜合措施，保障信息及網(wǎng)絡的安全已成為世界各國計算機技術人員的共同目標。為了實現(xiàn)計算機和因特網(wǎng)的安全，傳統(tǒng)的安全防御措施，如：加密、身份驗證、訪問控制等已暴露出了眾多的缺陷或漏洞。入侵檢測責是信息及網(wǎng)絡安全保障中應運而生的關鍵技術之一。入侵是指未經(jīng)授權蓄意嘗試訪問信息、篡改信息，是系統(tǒng)不可靠或不能使用，亦即破壞資源的機密性、完整性和可用性的行為。它的特點是不受時空限制，攻擊手段隱蔽而且更加錯綜復雜，內(nèi)部作案連接不斷。入侵檢測以其動態(tài)防護特點，成為實現(xiàn)網(wǎng)絡安全的新的解決策略。引入入侵檢測技術，相當于在計算機系統(tǒng)中引入了一個閉環(huán)的安全策略。計算機的多種檢測系統(tǒng)進行安全策略的反饋，從而進行及時的修正，大大提高了系統(tǒng)的安全性。1.2入侵檢測系統(tǒng)的成長上世紀90年代中期，商業(yè)入侵檢測產(chǎn)品初現(xiàn)端倪，1994年出現(xiàn)了第一臺入侵檢測產(chǎn)品：ASIM。而到了1997年，Cisco將網(wǎng)絡入侵檢測集成到其路由器設備中，同年，ISS推出Realsecure，入侵檢測系統(tǒng)正式進入主流網(wǎng)絡安全產(chǎn)品階段。在這個時期，入侵檢測通常被視作防火墻的有益補充，這個階段用戶已經(jīng)能夠逐漸認識到防火墻僅能對4層以下的攻擊進行防御，而對那些基于數(shù)據(jù)驅(qū)動攻擊或者被稱為深層攻擊的威脅行為無能為力。廠商們用得比較多的例子就是大廈保安及閉路監(jiān)控系統(tǒng)的例子，防火墻相當于保安，入侵檢測相當于閉路監(jiān)控設備，那些繞過防火墻的攻擊行為將在“企圖作惡”時，被入侵檢測系統(tǒng)逮個正著。而后，在20001?2003年之間，蠕蟲病毒大肆泛濫，紅色代碼、尼姆達、震蕩波、沖擊波此起彼伏。由于這些蠕蟲多是使用正常端口，除非明確不需要使用此端口的服務，防火墻是無法控制和發(fā)現(xiàn)蠕蟲傳播的，反倒是入侵檢測產(chǎn)品可以對這些蠕蟲病毒所利用的攻擊代碼進行檢測（就是前面提到的濫用檢測，將針對漏洞的攻擊代碼結(jié)合病毒特征做成事件特征，當發(fā)現(xiàn)有該類事件發(fā)生，就可判斷出現(xiàn)蠕蟲。)，一時間入侵檢測名聲大振，和防火墻、防病毒一起并稱為“網(wǎng)絡安全三大件”。入侵檢測定義及分類2.1入侵檢測定義入侵檢測(IntrusionDetection)技術是安全審核中的核心技術之一,是網(wǎng)絡安全防護的重要組成部分。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計及配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術,是一種用于檢測計算機網(wǎng)絡中能夠違反安全策略行為的技術。它通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息,來檢測網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之前攔截和相應入侵。違反安全策略的行為有：入侵——非法用戶的違規(guī)行為；濫用——合法用戶的違規(guī)行為。入侵檢測通過執(zhí)行以下任務來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別反應一直進攻的活動模式并向相關人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。入侵檢測的原理如圖1所示。

應用入侵檢測技術，能是在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警及防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統(tǒng)的知識，填入知識庫內(nèi)，以增強系統(tǒng)的防范能力。2.2入侵檢測技術分析入侵分析的任務就是在提取到的龐大的數(shù)據(jù)中找到入侵的痕跡。入侵分析過程需要將提取到的事件及入侵檢測技術規(guī)則進行比較，從而發(fā)現(xiàn)入侵行為。一方面入侵檢測技術系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導致判定入侵的規(guī)則越來越復雜，為了保證入侵檢測技術的效率和滿足實時性的要求，入侵分析必須在系統(tǒng)的性能和檢測技術能力之間進行權衡，合理地設計分析策略，并且可能要犧牲一部分檢測技術能力來保證系統(tǒng)可靠、穩(wěn)定地運行并具有較快的響應速度。分析策略是入侵分析的核心，系統(tǒng)檢測技術能力很大程度上取決于分析策略。在實現(xiàn)上，分析策略通常定義為一些完全獨立的檢測技術規(guī)則?；诰W(wǎng)絡的入侵檢測技術系統(tǒng)通常使用報文的模式匹配或模式匹配序列來定義規(guī)則，檢測技術時將監(jiān)聽到的報文及模式匹配序列進行比較，根據(jù)比較的結(jié)果來判斷是否有非正常的網(wǎng)絡行為。這樣以來，一個入侵行為能不能被檢測技術出來主要就看該入侵行為的過程或其關鍵特征能不能映射到基于網(wǎng)絡報文的匹配模式序列上去。有的入侵行為很容易映射，如ARP欺騙，但有的入侵行為是很難映射的，如從網(wǎng)絡上下載病毒。對于有的入侵行為，即使理論上可以進行映射，但是在實現(xiàn)上是不可行的，比如說有的網(wǎng)絡行為需要經(jīng)過非常復雜的步驟或較長的過程才能表現(xiàn)其入侵特性，這樣的行為由于具有非常龐大的模式匹配序列，需要綜合大量的數(shù)據(jù)報文來進行匹配，因而在實際上是不可行的。而有的入侵行為由于需要進行多層協(xié)議分析或有較強的上下文關系，需要消耗大量的處理能力來進行檢測技術，因而在實現(xiàn)上也有很大的難度。2.3入侵檢測的分類通過對現(xiàn)有入侵檢測技術方法的研究，可以從不同角度對入侵檢測技術進行分類：按照檢測數(shù)據(jù)來源。有以下三類：基于主機的入侵檢測技術；基于網(wǎng)絡的入侵檢測技術；基于主機和網(wǎng)絡的入侵檢測技術。以上3種入侵檢測技術都具有各自的優(yōu)點和不足，可以相互作為補充，一個晚輩的入侵檢測系統(tǒng)一定是基于主機和基于網(wǎng)絡兩種方式兼?zhèn)涞姆植际较到y(tǒng)。按照檢測技術。分為異常檢測技術和誤用檢測技術。異常檢測技術又可稱為基于行為的入侵檢測技術，它假定了所有的入侵行為都有異常特性。誤用技術，又稱為基于知識的入侵檢測技術，它通過攻擊模式、攻擊簽名的形式表達入侵行為。按照工作方式?？梢苑譃殡x線檢測和在線檢測。離線檢測：在事后分析審計事件，從中檢測入侵活動，是一種非實時工作的系統(tǒng)。在線監(jiān)測：實時聯(lián)機的檢測系統(tǒng)，它包含對實時網(wǎng)絡數(shù)據(jù)包分析，對實時主機審計分析。按照系統(tǒng)網(wǎng)絡構(gòu)架。分為幾種是檢測技術、分布式檢測技術和分層式檢測技術。將分析結(jié)果傳到鄰近的上層，高一層的監(jiān)測系統(tǒng)只分析下一層的分析結(jié)果。分層式檢測系統(tǒng)通過分析分層式數(shù)據(jù)使系統(tǒng)具有更好的可升級性。常用的入侵檢測技術方法目前，常用的入侵檢測技術方法比較多，下面列出幾個進行說明。神經(jīng)網(wǎng)絡異常檢測這種方法對用戶行為具有自學習和自適應的能力，能夠根據(jù)實際監(jiān)測到的信息有效地加以處理并做出入侵可能性的判斷。通過對下一事件錯誤率的預測在一定程度上反映用戶行為的異常程度。目前該方法使用比較普遍，但該方法還不成熟。還沒有出現(xiàn)較為完善的產(chǎn)品。概率統(tǒng)計異常檢測這種方法是基于對用戶歷史行為建模，以及在早期的證據(jù)或模型的基礎上．審計系統(tǒng)實時的檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計模型進行檢測，當發(fā)現(xiàn)有可疑的用戶行為發(fā)生時．保持跟蹤并監(jiān)測、記錄該用戶的行為。專家系統(tǒng)誤用檢測針對有特征人侵的行為。較多采用專家系統(tǒng)進行檢測。在專家檢測系統(tǒng)實現(xiàn)中，通過If-Then結(jié)構(gòu)（也可以是復合結(jié)構(gòu)）的規(guī)則對安全專家的知識進行表達。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性及實時性?；谀Ｐ偷娜肭謾z測人侵者在攻擊一個系統(tǒng)時往往采用一定的行為程序，如猜測口令的行為序列，這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。入侵檢測技術的發(fā)展方向可以看到,在入侵檢測技術發(fā)展的同時,入侵技術也在更新,一些地下組織已經(jīng)將如何繞過IDS或攻擊IDS系統(tǒng)作為研究重點。高速網(wǎng)絡,尤其是交換技術的發(fā)展以及通過加密信道的數(shù)據(jù)通信,使得通過共享網(wǎng)段偵聽的網(wǎng)絡數(shù)據(jù)采集方法顯得不足,而大量的通信量對數(shù)據(jù)分析也提出了新的要求。隨著信息系統(tǒng)對一個國家的社會生產(chǎn)及國民經(jīng)濟的影響越來越重要,信息戰(zhàn)已逐步被各個國家重視,信息戰(zhàn)中的主要攻擊"武器"之一就是網(wǎng)絡的入侵技術,信息戰(zhàn)的防御主要包括"保護"、"檢測技術"及"響應",入侵檢測技術則是其中"檢測技術"及"響應"環(huán)節(jié)不可缺少的部分。近年對入侵檢測技術有幾個主要發(fā)展方向:4.1分布式合作引擎、協(xié)同式抵抗入侵隨著入侵手段的提高．尤其是分布式、協(xié)同式、復雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)的單一、缺乏協(xié)作的入侵檢測技術已經(jīng)不能滿足需要，這就要求要有充分的協(xié)作機制。入侵檢測信息的合作及協(xié)同處理成為必須的。4.2智能化入侵檢測所謂的智能化方法，即使用智能化的方法及手段來進行入侵檢測?，F(xiàn)階段常用的有神經(jīng)網(wǎng)絡、遺傳算法、模糊技術、免疫原理等方法，這些方法常用于入侵特征的辨識及泛化目。較為一致的解決方案應為高效常規(guī)意義下的入侵檢測系統(tǒng)及具有智能檢測功能的檢測軟件或模塊的結(jié)合使用。并且需要對智能化的入侵檢測技術加以進一步地研究以提高其自學習及自適應能力。4.3分布式入侵檢測技術及通用入侵檢測技術架構(gòu)傳統(tǒng)的IDS—般局限于單一的主機或網(wǎng)絡架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡的監(jiān)測明顯不足。同時不同的IDS系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要分布式入侵檢測技術及通用入侵檢測技術架構(gòu)。CIDF以構(gòu)建通用的IDS體系結(jié)構(gòu)及通信系統(tǒng)為目標,GrIDS跟蹤及分析分布系統(tǒng)入侵,EMER-ALD實現(xiàn)在大規(guī)模的網(wǎng)絡及復雜環(huán)境中的入侵檢測技術。4.4應用層入侵檢測技術許多入侵的語義只有在應用層才能理解，而目前的IDS僅能檢測技術如WEB之類的通用協(xié)議,而不能處理如LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。許多基于客戶、服務器結(jié)構(gòu)及中間件技術及對象技術的大型應用，需要應用層的入侵檢測技術保護。Stillerman等人已經(jīng)開始對C0RBA的IDS研究。4.5入侵檢測技術的評測方法用戶需對眾多的IDS系統(tǒng)進行評價，評價指標包括IDS檢測技術范圍、系統(tǒng)資源占用、IDS系統(tǒng)自身的可靠性及魯棒性。從而設計通用的入侵檢測技術測試及評估方法及平臺，實現(xiàn)對多種IDS系統(tǒng)的檢測技術已成為當前IDS的另一重要研究及發(fā)展領域。4.6網(wǎng)絡安全技術相結(jié)合結(jié)合防火墻、PKIX、安全電子交易SET等新的網(wǎng)絡安全及電子商務技術，提供完整的網(wǎng)絡安全保障。4.7全面的安全防御方案使用安全工程風險管理的思想及各種方法處理網(wǎng)絡安全問題，將網(wǎng)絡安全作為一個整體工程來處理。從管理制度、網(wǎng)絡架構(gòu)、數(shù)據(jù)加密、防火墻、病毒防護、入侵檢測等多方位全面的對網(wǎng)絡作全面的評估．然后設計和實施可行的解決方案。結(jié)束語隨著網(wǎng)絡的進一步發(fā)展以及黑客攻擊手段的多樣化，網(wǎng)絡安全問題的日益突出，入侵檢測技術作為保護計算機系統(tǒng)安全的重要組成部分受到越來越多人們的關注和重視．并已經(jīng)開始在各種不同網(wǎng)絡環(huán)境中發(fā)揮關鍵作用。本文分析概括了入侵的方式，入侵檢測技術的定義、工作原理及分類、入侵檢測技術的方法。并且，提出了今后的發(fā)展趨勢．目的在于為進一步的研究起到啟發(fā)和借鑒作用?？梢灶A見，入侵檢測技術的發(fā)展將對網(wǎng)絡應用具有重要意義并產(chǎn)生深遠影響，而入侵檢測技術的未來發(fā)展方向?qū)⒅饕侵悄艿姆植际饺肭謾z測系統(tǒng)，研究和開發(fā)自主知識產(chǎn)權的入侵檢測系統(tǒng)將成為我國信息安全領域的重要課題。參考文獻王艷華，馬志強，藏露入侵檢測技術在網(wǎng)絡安全中的應