淺析計算機網路的入侵檢測技術及其發展方向
淺析計算機網路的入侵檢測技術及其發展方向
隨著網路的技術的不斷髮展,網際網路的開放性也得到了長足的發展,這為網路資訊的共享和互動使用提供了很大方便,但同時也對資訊的安全性提出了嚴峻的挑戰。近年來,隨著網路的普及與應用領域的逐漸擴充套件,網路安全與資訊保安問題日漸突出。在網路安全的實踐中,建立一個完全安全的系統是不現實的。因此,保證計算機系統、網路系統以及整個資訊基礎設施的安全已經成為刻不容緩的重要課題。
入侵檢測技術(IDS)是近年來出現的新型網路安全技術,它是透過從計算機網路系統中的若干關鍵點收集資訊並對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,並做出自動的響應。入侵檢測透過迅速地檢測入侵,在可能造成系統損壞或資料丟失之前,識別並驅除入侵者,使系統迅速恢復正常工作,並且阻止入侵者進一步的行動,它的應用擴充套件了系統管理員的安全管理能力,幫助計算機系統抵禦攻擊。因而,研究入侵檢測方法和技術,根據這些方法和技術建立相應的入侵檢測系統對保證網路安全是非常必要的。
一、入侵檢測系統的分類
1.按照檢測型別劃分
(1)異常檢測型別:檢測與可接受行為之間的偏差,如果可以定義每項可接受的行為就應該是入侵。首先總結正常操作應該具備的特徵(使用者輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵。這種檢測模型漏報率低,誤報率高。因為不需要對每種入侵行為進行定義,所以能有效檢測未知的入侵。
(2)誤用檢測型別:檢測與已知的不可接受行為之間的匹配程度,如果可以定義所有的不可接受行為,那麼每種能夠與之匹配的行為都會引起警告。收集非正常操作的行為特徵,建立相關的特徵庫,當監測的使用者或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。這種檢測模型誤報率、漏報率高。對於已知的攻擊,它可以詳細、準確地報告出攻擊型別,但是對未知攻擊卻效果有限,而且特徵庫必須不斷更新。
2.按照檢測物件劃分
(1)基於主機:系統分析的資料是計算機作業系統的時間日誌、應用程式的時間日誌、系統呼叫、埠呼叫和安全審計記錄。主機入侵檢測系統保護的一般是所在的主機系統。是代理來實現的,代理是執行在目標主機上的小的可執行程式,它們與命令控制檯通訊。
(2)基於網路:系統分析的資料是網路上的資料包。網路型入侵檢測系統擔負著保護整個網段的任務,基於網路的'入侵檢測系統由遍及網路的感測器組成,感測器是一臺將乙太網置於混雜模式的計算機,用於嗅探網路上的資料包。科技論文。
(3)混合型:基於網路和基於主機的入侵檢測系統都有不足之處,會造成防禦體系的不全面,綜合了基於網路和基於主機的混合型入侵檢測系統,既可以發現網路中的攻擊資訊,也可以從系統日誌中發現異常情況。
3.按照工作方式分類
(1)離線檢測:這是一種非實時工作的系統,在時間發生後分析審計時間,從中檢查入侵事件。這類系統的成本低,可以分析大量事件,調查長期的情況,有利於其它方法提供及時的保護。而且,很多侵入在完成之後都將審計事件刪除,使其無法審計。
(2)線上檢測:對網路資料包或主機的審計事件進行實時分析,可以快速反映,保護系統的安全;但在系統規模比較大時,難以保證實時性。
二、入侵檢測系統存在的主要問題
1.誤報
誤報是指被入侵檢測系統測出但其實是正常及合法使用受保護網路和計算機的警報。假警報不但令人討厭,並且降低入侵檢測系統的效率。攻擊者可以而且往往是利用包結構偽造無威脅的,“正常”假警報,以誘使收受人把入侵檢測系統關掉。
沒有一個入侵檢測無敵於誤報,應用系統總會發生錯誤,原因是:缺乏共享資訊的標準機制和集中協調的機制,不同的網路及主機有小同的安全問題,不同的入侵檢測系統有各自的功能;缺乏揣摩資料在一段時間內行為的能力;缺乏有效跟蹤分析等。
2.精巧及有組織的攻擊
攻擊可以來自四面八方,特別是一群人組織策劃且攻擊者技術高超的攻擊,攻擊者花費很多時間準備,並發動全球性攻擊,要找出這樣複雜的攻擊是一件難事。
3。入侵檢測系統的互動效能不高
在大型網路中,網路的不同部分可能使用了多種入侵檢測系統,甚至還有防火牆、漏洞掃描等其他類別的安全裝置,這些入侵檢測系統之間以及IDS和其他安全元件之間如何交換資訊,共同協作來發現攻擊、做出相應並阻止攻擊是關係整個系統安全性的重要因素。
三、入侵檢測系統發展的主要趨勢
目前除了完善常規的、傳統的技術(模式識別和完整性檢測)外,入侵檢測系統應重點加強與統計分析相關技術的研究。許多學者在研究新的檢測辦法,如採用自動代理的主動防禦辦法,將免疫學原理應用到入侵檢測的方法等。其主要發展方向可以概括為以下幾個方面:
1。入侵檢測系統的標準化
就目前而言,入侵檢測系統還缺乏相應的標準,不同的入侵檢測系統之間的資料交換和資訊通訊幾乎不可能。目前,DARPA和IETF的入侵檢測工作組試圖對入侵檢測系統進行標準化工作,分別制定了CIDF和IDMEF標準,從體系結構、通訊機制、訊息格式等各方面對入侵檢測系統規範化,但進展非常緩慢,尚沒有被廣泛接受的標準出臺。因而,具有標準化介面的入侵檢測系統將是下一代入侵檢測系統的特徵。
2。分散式入侵檢測
分散式入侵檢測的第一層含義是針對分散式網路攻擊的檢測方法;第二層含義即使用分散式的方法來實現分散式的攻擊,其中的關鍵技術為資訊的協同處理與入侵攻擊的全域性資訊的提取。
3。應用層入侵檢測
許多入侵的語義只有在應用層才能理解,而目前的入侵檢測系統僅能檢測Web之類的通用協議,不能處理如Lotus Notes資料庫系統等其他的應用系統。許多基於客戶/伺服器結構、中介軟體技術及物件技術的大型應用,需要應用層的入侵檢測保護。科技論文。
4.智慧入侵檢測
目前,入侵方法越來越多樣化與綜合化,儘管已經有智慧體系、神經網路與遺傳演算法應用在入侵檢測領域,但這些只是一些嘗試性的研究工作,需要對智慧化的入侵檢測系統進一步研究,以解決其自學習與自適應能力。
5.建立入侵檢測系統評價體系
設計通用的入侵檢測測試、評估辦法和平臺,實現對多種入侵檢測系統的檢測,已成為當前入侵檢測系統的另一重要研究與發展領域。評價入侵檢測系統可從檢測範圍、系統資源佔用、自身的可靠性等方面進行,評價指標有:能否保證自身的安全、執行與維護系統的開銷、報警準確率、負載能力以及可支援的網路型別、支援的入侵特徵數、是否支援IP碎片重組、是否支援TCP流重組等。
6.綜合性檢測系統
單一的技術很難構築一道強有力的安全防線,這就需要和其他安全技術共同組成更完備的安全的保障系統,如結合防火牆、PKIX、安全電子交易SET等新的網路安全與電子商務技術,提供完整的網路安全保障體系。科技論文。
四、結語
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。但是目前,入侵檢測技術主要停留在異常檢測和誤用檢測上,這兩種方法都還不完善,存在著這樣那樣的缺陷。網路入侵技術不斷髮展,入侵行為表現出不確定性、複雜性、多樣性等特點;網路應用的發展帶來了新的問題,如高速網路其流量大,基於網路的檢測系統如何適應這種情況?基於主機審計資料這怎樣做到既減小資料量,又能有效地檢測到入侵行為?入侵檢測技術己經成為當前網路技術領域內的一個研究熱點,在未來的發展過程中,將越來越多地與其他科學和技術進行交融匯合,如資料融合、人工智慧以及網路管理等等。隨著網路資訊科技的發展,入侵檢測技術也在不斷地發展,已經出現了很多新的方向,如寬頻高速網路的實時入侵檢測技術、大規模分散式入侵檢測技術等。
參考文獻:
[1]戴英俠,連一峰,王航。系統安全與入侵檢測[M]。北京:清華大學出版社。2002。
[2]孫知信,徐紅霞。模糊技術在入侵檢測系統中的應用研究綜述[J]。南京郵電大學學報。2006,(2)。
[3]裴慶祺。模糊入侵檢測技術研究[M]。西安:西安電子科技大學。2004。
[4]唐正軍。入侵檢測技術導輪[M]。北京:機械工業出版社,2004。