摘要 随着计算机技术尤其是网络技术的发展,计算机系统已经从独立的主机发展到复杂的、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。与此同时,人们又面临着由于入侵而引发的一系列安全问题的困扰。本文介绍了当今网络安全技术的热点之一:入侵检测技术。文章首先讲述了入侵检测的定义及分类,并分析了其检测方法,最后说明了它的发展趋势及其应用前景。
关键词 入侵检测系统 网络安全 防火墙
1 引言
随着Internet高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息, 然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。
试图破坏信息系统的完整性、机密性、可信性的任何网络活动都称为网络入侵。防范网络入侵最常用的方法就是防火墙。防火墙(Firewall)是设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合,它属于网络层安全技术,其作用是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。
但是,防火墙只是一种被动防御性的网络安全工具,仅仅使用防火墙是不够的。首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,而这是远远不能满足用户复杂的应用要求的。于是就产生了入侵检测技术[1]。
2 入侵检测技术
入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。
入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。
(1)从系统的不同环节收集信息;
(2)分析该信息,试图寻找入侵活动的特征;
(3)自动对检测到的行为做出响应;
(4)纪录并报告检测过程结果。
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。
3 入侵检测的分类
现有的分类,大都基于信息源和分析方法进行分类[3, 4]。
3.1 根据信息源的不同,分为基于主机型和基于网络型两大类
3.1.1 基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)
基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。
基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵的一个常用方法是通过定期检查文件的校验和来进行的,以便发现异常的变化。反应的快慢取决于轮讯间隔时间的长短。许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。
3.1.2 基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)
基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为,IDS的响应模块就做出适当的响应,比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同,但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等[5]。
3.1.3 基于主机和基于网络的入侵检测系统的集成
许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统。因为这两种系统在很大程度上是互补的。实际上,许多客户在使用IDS时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部Internet的攻击。DNS、Email和Web服务器经常是攻击的目标,但是它们又必须与外部网络交互,不可能对其进行全部屏蔽,所以应当在各个服务器上安装基于主机的入侵检测系统,其检测结果也要向分析员控制台报告。因此,即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。下面给出一个中等规模的机构设置入侵检测系统的入侵检测解决方案[6, 7]。
3.2 根据检测所用分析方法的不同,可分为误用检测和异常检测
3.2.1 误用检测(Misuse Detection)
设定一些入侵活动的特征(Signature),通过现在的活动是否与这些特征匹配来检测。常用的检测技术为:
(l)专家系统:采用一系列的检测规则分析入侵的特征行为。规则,即知识,是专家系统赖以判定入侵存在与否的依据。除了知识库的完备性外,专家系统还依靠条件库的完备性,这一点又取决于审计记录的完备性、实时性和易用性。此外,匹配算法的快慢,也对专家系统的工作效率有很大的影响。
(2)基于模型的入侵检测方法:入侵者在攻击一个系统时往往采用一定的行为序列,如猜测口令的行为序列。这种行为序列构成了具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。与专家系统通常放弃处理那些不确定的中间结论的缺点相比,这一方法的优点在于它基于完善的不确定性推理数学理论。基于模型的入侵检测方法可以仅监测一些主要的审计事件。当这些事件发生后,再开始记录详细的审计,从而减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击(coordinate attack)和多层攻击(multi-stage attack)。为分布式IDS系统所采用。
(3)简单模式匹配(Pattern Matching):基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时,这一方法将寻找与它相匹配的已知入侵模式。
(4)软计算方法:软计算方法包含了神经网络、遗传算法与模糊技术。近年来己有关于运用神经网络进行入侵检测实验的报道,但还没有正式的产品问世。
3.2.2 异常检测(Anomaly detection)
异常检测假设入侵者活动异常于正常的活动。为实现该类检测,IDS建立正常活动的“规范集(Normal profile)”,当主体的活动违反其统计规律时,认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制,所以能够检测新的入侵行为。大多数的正常行为的模型使用一种矩阵的数学模型,矩阵的数量来自于系统的各种指标。比如CPU使用率、内存使用率、登录的时间和次数、网络活动、文件的改动等。异常检测的缺点是:若入侵者了解到检测规律,就可以小心的避免系统指标的突变,而使用逐渐改变系统指标的方法逃避检测。另外检测效率也不高,检测时间较长。最重要的是,这是一种“事后”的检测,当检测到入侵行为时,破坏早已经发生了。
统计方法是当前产品化的入侵检测系统中常用的方法,它是一种成熟的入侵检测方法,它使入侵检测系统能够学习主体的日常行为,将那些与正常活动之间存在较大统计偏差的活动标识成为异常活动。常用的入侵检测统计模型为:操作模型、方差、计算参数的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统[8~11]。
4 入侵检测技术发展趋势
目前,国内、外入侵检测技术的发展趋势[12, 13]为:
(1)分布式入侵检测。这个概念有两层含义:第一层,即针对分布式网络攻击的检测方法:第二层即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式系统是现代IDS主要发展方向之一,它能够在数据收集、入侵分析和自动响应方面最大限度地发挥系统资源的优势,其设计模型具有很大的灵活性。
(2)智能化入侵检测。即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建IDS也是常用的方法之一。
(3)网络安全技术相结合。结合防火墙、PKIX、安全电子交
