浅谈网络入侵检测系统
作者: 杜 昆摘要:现在网络安全性变的越来越重要,而网络入侵检测(ID)系统是信息安全性保证重要组成部分,笔者给出网络攻击各种形式;然后提出了入侵检测模型、网络入侵检测系统(IDS),最后讨论当前入侵检测系统普遍存在的一些问题及其发展方向。
关键词:网络安全;入侵检测;入侵检测系统
中图分类号:TP393 文献标识码:A 文章编号:1006-3315(2008)06-137-02
一、引言
近年来互联网的爆炸式发展给人类无限机遇的同时,各种不安全因素的大量涌入,致使计算机网络安全问题日益突出, 因此为保证计算机系统的安全需要,一种能及时发现入侵,成功阻止网络黑客入侵,并在事后对入侵进行分析,查明系统漏洞并及时修补的网络安全技术,即入侵检测技术,进行入侵检测的软件和硬件的组合,便是入侵检测系统。
二、入侵检测模型
CIDF工作组提出了一个入侵检测系统的通用模型,它将一个入侵检测分为以下四个部分:事件产生器(Event Generators)事件分析器(Event Analyzers)、响应单元(Response Units)事件数据库(Event Databases)。如图所示:
三、入侵检测系统分类
1.按照事件产生器的数据来源分类
事件采集器的数据来源有两种:系统审计数据和网络数据流。根据数据来源不同可分为以下三类:
1.1基于主机的入侵检测系统(HIDS)
它是通过分析系统的审计数据(如系统日志、应用程序等)来发现可疑活动,从而检测出入侵行为的。主要用在分布式、加密、交换的环境中监控,把特定的问题的用户联系起来,利用操作系统本身提供的功能,结合异常分析,更准确地报告攻击行为。其缺点在于主机采集器要特定的平台联系,对网络行为不易领会,加大了系统负担,所需安装的主机采集器数量众多等。
1.2基于网络的入侵检测系统(NIDS)
其数据源来自网络流,它是网络应用飞速发展、网络入侵事件剧增的必然产物。NIDS的优点是很明显的:简便——一个网段上只需安装一个或几个NIDS,便可监控整个网段的情况,且由于分出单独的计算机做该应用,故不会给运行关键业务的主机带来负载上的增加;能较好识别网络层和传输层的入侵。其缺点是不能精通知识目标系统发生的事件,也不大可能重构系统应用层所发生的事件,精确度较差。
1.3HIDS和NIDS融合的入侵检测系统
由于上述两种系统各有所长,可结合起来,互相补充,构成分布式的、面向大型网络的、协作式的IDS。
2.按照事件分析器对事件分析所采用的策略分类
事件分析器采用的策略传统上分为两类:基于标志的(Signature-based)和基于异常情况的(Anomaly-based)。
2.1误用检测
误用检测首先要定义违背安全策略的事件的典型特征,构造一个丰富的入侵特征知识库,然后用所收集到的事件的特征与之进行匹配,匹配成功则认为发生了入侵或有入侵的企图或入侵前奏,该方法非常类似于杀毒软件。它能详细、准确的报告出攻击类型,但对未知攻击效果有限,且知识库需不断更新。
2.2异常检测
异常检测是指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测,所以也被称为基于行为的检测。异常检测基于统计方法,使用系统或用户的活动轮廓来检测入侵活动。这类IDS先产生主题的活动轮廓,系统运行时,异常检测程序产生当前活动轮廓并同原始轮廓比较,同时更新原始轮廓,当发生明显偏离时即认为是入侵。
3.按照时间采集器和事件分析器收集分析事件的时间分类
分为如下两类检测:
3.1实时入侵检测
在网络连接过程中,根据用户的历史行为模型,储存在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象,立即断开入侵者于主机的连接,并收集证据和实施数据恢复,这个检测过程是不断循环进行的。
3.2事后入侵检测
由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录,判断用户是否具有入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的,不具有实时性。因此防御入侵的能力不如实时入侵检测系统。
4.入侵检测研究的局限性
入侵检测只是仅仅试图发现计算机网络安全中的安全问题,要解决网络安全的问题还需要其它的网络安全技(上接第137页)术,另外,入侵检测系统本身还存在安全问题。入侵检测系统也可能会受到攻击。Fred Cohen(计算机病毒的发明者)给出了50种攻击入侵检测系统的方法。防止入侵者能利用入侵检测系统内部的知识去修改操作,可能允许异常行为进行。这样入侵检测就可破坏系统的操作安全限制了。
目前,入侵检测系统面临许多有待解决的问题,如生物免疫系统在计算机网络入侵检测中的运用,入侵检测确认、入侵描述语言、入侵模式确认、入侵实时检测、入侵描述语言、高速网络中的入侵检测以及入侵检测系统与其它系统的协同工作等有待进一步研究和实现。
参考文献:
[1]余建斌:《黑客的攻击手段及用户对策》(北京人民邮电出版社2000)
[2]蔡立军:《计算机网络安全技术》(中国水利水电出版社2003)
[3] 张颖,王辉 .一种与入侵检测互动的 Internet安全防范系统 . 计算机工程与应用2005