网络安全与入侵检测技术的应用研究_网络安全入侵检测技术
网络安全与入侵检测技术的应用研究由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“网络安全入侵检测技术”。
网络安全与入侵检测技术的应用研究
摘要:介绍了入侵检测系统和预警技术的含义,并对入侵检测系统模型进行深入分析和分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。
关键词:入侵检测 网络安全 防火墙
随着Internet的应用日益广泛和电子商务的兴起,网络安全作为一个无法回避的问题呈现在人们面前。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。入侵检测技术概述
入侵检测就是对指向计算和网络资源的恶意行为的识别和响应过程,为通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
如果一个系统的计算机或者网络安装了入侵检测系统,它会监视系统的某些范围,当系统受到攻击的时候,它可以检测出来并做出响应。入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件,再分析处理这些事件,检测出入侵事件。入侵检测系统是使这监控和分析过程自动化的产品,可以是软件,也可以是硬件。
入侵检测是对防火墙的合理补充,可以帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。如果与“传统”的静态防火墙技术共同使用,将可以大大提高系统的安全防护水平。入侵检测系统实现
入侵检测系统不但需要使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,而且还应能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等,入侵检测系统的实现一般包括以下几个步骤。2.1 信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。入侵检测利用的信息一般来自以下四个方面: ⑴系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。
⑵目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变,特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。
⑶程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现,每个进程执行在具有不同权限的环境中。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。
⑷物理形式的入侵信息 这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。2.2 信号分析
对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
⑴模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单,也可以很复杂。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
⑵统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
⑶完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。入侵检测系统的局限性
由于网络的危害行为是一系列十分复杂的活动,特别是有预谋、有组织的网络入侵,入侵检测系统的研究遇到了以下三方面亟待解决的问题。3.1 入侵技术在不断发展
入侵检测技术以网络攻击技术研究为依托,通过跟踪入侵技术的发展增强入侵检测能力。在因特网上有大量的黑客站点,发布大量系统漏洞资料和探讨攻击方法。更为令人担忧的是有组织的活动,国外已将信息战手段同核生化武器等列在一起,作为战略威慑加以讨论,破坏者所具备的能力,对我们是很大的未知数。
入侵技术的发展给入侵检测造成了很大的困难,预先了解所有可能的入侵方法是困难的,因此一个有效的入侵检测系统不仅需要识别已知的入侵模式,还要有能力对付未知的入侵模式。
3.2 入侵活动可以具有很大的时间跨度和空间跨度
有预谋的入侵活动往往有较周密的策划、试探性和技术性准备,一个入侵活动的各个步骤有可能在一段相对长的时间跨度和相当大的空间跨度之上分别地完成,给预警带来困难。一个检测模型总会有一个有限的时间窗口,从而忽略滑出时间窗口的某些事实。同时,检测模型对于在较大空间范围中发生的的异常现象的综合、联想能力也是有限的。3.3 非线性的特征还没有有效的识别模型
入侵检测技术的难度不仅仅在于入侵模式的提取,更在于入侵模式的检测策略和算法。因为入侵模式是一个静态的事物,而现实的入侵活动则是灵活多变的。有效的入侵检测模型应能够受大的时间跨度和空间跨度。从技术上说,入侵技术已经发展到一定阶段,而入侵检测技术在理论上、模型上和实践上还都没有真正发展起来。在市场上能看得到的入侵检测系统也都处在同一水平。
面对复杂的网络入侵活动,网络入侵检测技术的研究不仅仅包括入侵技术的研究,更要重视建立入侵检测策略和模型的理论研究。入侵检测技术研究的主要内容
网络入侵检测技术研究主要包括:网络入侵技术研究、检测模型研究、审计分析策略研究等。通过将这些技术组合起来,形成一个互动发展的有机体。4.1 入侵技术研究
入侵技术研究包括三个部分:第一,密切跟踪分析国际上入侵技术的发展,不断获得最新的攻击方法。通过分析这些已知的攻击方法来丰富预警系统的检测能力。第二,加强并利用预警系统的审计、跟踪和现场记录功能,记录并反馈异常事件实例。通过实例分析提取可疑的网络活动特征,扩充系统的检测范围,使系统能够应对未知的入侵活动。第三,利用攻网技术的研究成果,创造新的入侵方法,并应用于检测技术。4.2 检测模型研究
对于预警系统来说,检测模型的确定是很重要的。由于入侵活动的复杂性,仅仅依靠了解入侵方法还不能完全实现预警,还应有适当检测模型与之配合。在预警技术研究中,入侵检测模型是关键技术之一。4.3 审计分析策略研究
预警技术研究的另一个重点在于对审计数据的分析处理。其中包括:威胁来源的识别、企图的判定、危害程度和能力的判断等等。预警所产生的审计数据是检测与预警的宝贵资源。这些审计数据可能是很大量的,如果缺乏有效的分析手段将会浪费这一资源。结束语
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视。但在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术外,应重点加强统计分析的相关技术应用研究。
参考文献
[1] 黄亚飞.防火墙技术与应用.武汉:湖北教育出版社,2003 [2] 张小斌.网络安全与黑客防范.北京:清华大学出版社,1999
