随着网络技术和网络规模的不断发展,人们对于计算机网络的依赖也不断增强。与此同时,针对网络系统的攻击越来越普遍,攻击手法日趋复杂。IDS也随着网络技术和相关学科的发展而日趋成熟,其未来发展的趋势主要表现在以下方面。
宽带高速实时的检测技术
大量高速网络技术如ATM、千兆以太网等近年里相继出现,在此背景下的各种宽带接入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实面临的问题。目前的千兆IDS产品其性能指标与实际要求相差很远。要提高其性能主要需考虑以下两个方面:首先,IDS的软件结构和算法需要重新设计,以期适应高速网的环境,提高运行速度和效率;其次,随着高速网络技术的不断发展与成熟,新的高速网络协议的设计也必将成为未来发展的趋势,那么,现有IDS如何适应和利用未来的新网络协议将是一个全新的问题。
大规模分布式的检测技术
传统的集中式IDS的基本模型是在网络的不同网段放置多个探测器收集当前网络状态的信息,然后将这些信息传送到中央控制台进行处理分析。这种方式存在明显的缺陷。首先,对于大规模的分布式攻击,中央控制台的负荷将会超过其处理极限,这种情况会造成大量信息处理的遗漏,导致漏警率的增高。其次,多个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担,导致网络系统性能的降低。再者,由于网络传输的时延问题,中央控制台处理的网络数据包中所包含的信息只反映了探测器接收到它时网络的状态,不能实时反映当前网络状态。
面对以上问题,新的解决方法也随之产生,例如普渡大学开发的AAFID系统,该系统是Purdue大学设计的一种采用树形分层构造的代理群体,最根部的是监视器代理,提供全局的控制、管理以及分析由上一层节点提供的信息,在树叶部分的代理专门用来收集信息。处在中间层的代理被称为收发器,这些收发器一方面实现对底层代理的控制,一方面可以起到信息的预处理过程,把精练的信息反馈给上层的监视器。这种结构采用了本地代理处理本地事件,中央代理负责整体分析的模式。与集中式不同,它强调通过全体智能代理的协同工作来分析入侵策略。这种方法明显优于前者,但同时带来一些新的问题,如代理间的协作、代理间的通信等。这些问题仍在进一步研究之中。
数据挖掘技术
操作系统的日益复杂和网络数据流量的急剧增加,导致了审计数据以惊人速度剧增,如何在海量的审计数据中提取出具有代表性的系统特征模式,以对程序和用户行为作出更精确的描述,是实现入侵检测的关键。
数据挖掘技术是一项通用的知识发现技术,其目的是要从海量数据中提取对用户有用的数据。将该技术用于入侵检测领域,利用数据挖掘中的关联分析、序列模式分析等算法提取相关的用户行为特征,并根据这些特征生成安全事件的分类模型,应用于安全事件的自动鉴别。一个完整的基于数据挖掘的入侵检测模型要包括对审计数据的采集,数据预处理、特征变量选取、算法比较、挖掘结果处理等一系列过程。这项技术难点在于如何根据具体应用的要求,从用于安全的先验知识出发,提取出可以有效反映系统特性的特征属性,应用适合的算法进行数据挖掘。另一技术难点在于如何将挖掘结果自动地应用到实际的IDS中。目前,国际上在这个方向上的研究很活跃,这些研究多数得到了美国国防部高级计划署、国家自然科学基金的支持。但我们也应看到,数据挖掘技术用于入侵检测的研究总体上来说还处于理论探讨阶段,离实际应用还有相当距离。
更先进的检测算法
在入侵检测技术的发展过程中,新算法的出现可以有效提高检测的效率。以下三种机器学习算法为当前检测算法的改进注入新的活力。它们分别是计算机免疫技术、神经网络技术和遗传算法。
计算机免疫技术是直接受到生物免疫机制的启发而提出的。生物系统中的脆弱性因素都是由免疫系统来妥善处理的,而这种免疫机制在处理外来异体时呈现了分布的、多样性的、自治的以及自修复的特征,免疫系统通过识别异常或以前未出现的特征来确定入侵。计算机免疫技术为入侵检测提供了一下思路,即通过正常行为的学习来识别不符合常态的行为序列。在这方面已经作了若干研究工作,仍有待于进一步深入。
神经网络技术在入侵检测中研究的时间较长,并在不断发展。早期的研究通过训练向后传播神经网络来识别已知的网络入侵,进一步研究识别未知的网络入侵行为。今天的神经网络技术已经具备相当强的攻击模式分析能力,它能够较好地处理带噪声的数据,而且分析速度很快,可以用于实时分析。现在提出了各种其他的神经网络架构诸如自组织特征映射网络等,以期克服后向传播网络的若干限制性缺陷。
遗传算法在入侵内检测中的应用时间不长,在一些研究试验中,利用若干字符串序列来定义用于分析检测的指令组,用以识别正常或者异常行为的这些指令在初始训练阶段中不断进化,提高分析能力。该算法的应用还有待于进一步的研究。
入侵响应技术
当IDS分析出入侵行为或可疑现象后,系统需要采取相应手段,将入侵造成的损失降到最小程度。一般可以通过生成事件告警、E-mail或短信息来通知管理员。随着网络的日益复杂和安全要求的提高,更加实时的和系统自动入侵响应方法正逐渐被研究和应用。这类入侵响应大致分为三类:系统保护、动态策略和攻击对抗。这三方面都属于网络对抗的范畴,系统保护以减少入侵损失为目的,动态策略以提高系统安全性为职责,而入侵对抗则不仅可以实时保护系统,还可实现入侵跟踪和反入侵的主动防御策略。
总之,入侵检测技术作为当前网络安全研究的热点,它的快速发展和极具潜力的应用前景需要更多的研究人员参与。IDS只有在基础理论研究和工程项目开发多个层面上同时发展,才能全面提高整体检测效率。