網(wǎng)絡(luò)入侵檢測技術(shù)論文(2)
網(wǎng)絡(luò)入侵檢測技術(shù)論文
網(wǎng)絡(luò)入侵檢測技術(shù)論文篇二
網(wǎng)絡(luò)安全入侵檢測技術(shù)分析
摘要:本文結(jié)合筆者多年工作經(jīng)驗,對目前國內(nèi)常用的3種網(wǎng)絡(luò)安全入侵檢測技術(shù)作了深入地比較與分析,謹(jǐn)供大家作參考之用。
關(guān)鍵詞:網(wǎng)絡(luò)安全 入侵檢測 對比分析
一、概述
入侵檢測通過系統(tǒng)審計數(shù)據(jù),包括收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包等信息,發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為,對企圖入侵、正在進(jìn)行入侵或己發(fā)生的入侵進(jìn)行識別,并采取相應(yīng)保護(hù)措施的一種技術(shù)。具有入侵檢測功能的系統(tǒng)稱為入侵檢測系統(tǒng)。
入侵檢測技術(shù)是入侵檢測系統(tǒng)的核心,它直接關(guān)系到攻擊的檢測效果、效率、誤報率等性能。入侵檢測技術(shù)主要分為異常檢測技術(shù)、誤用檢測技術(shù)和完整性檢測技術(shù)三大類。
二、異常檢側(cè)
基于異常的入侵檢測技術(shù)主要來源這樣的思想:任何人的正常行為都是有一定的規(guī)律的,并且可以通過分析這些行為產(chǎn)生的日志信息總結(jié)出這些規(guī)律,而入侵和誤用行為則通常和正常的行為存在一定的差異,通過當(dāng)前活動與系統(tǒng)歷史正?;顒又g的差異就可以檢測出入侵。
異常檢測又稱為基于行為的檢測,它根據(jù)使用者的行為或資源使用狀況是否偏離正常的情況來判斷入侵是否發(fā)生。在異常檢測中,觀察到的不是已知的入侵行為,而是通信過程中的異?,F(xiàn)象。這種不正常行為可以分為外部闖入、內(nèi)部滲透和不恰當(dāng)使用資源。
異常檢測基于已掌握了的被保護(hù)對象的正常工作模式,并假定正常工作模式相對穩(wěn)定。一般方法是建立一個對應(yīng)“正常活動”的系統(tǒng)或用戶的正常輪廓,檢測入侵活動時,異常檢測程序產(chǎn)生當(dāng)前的活動輪廓并同正常輪廓比較,當(dāng)活動輪廓與正常輪廓發(fā)生顯著偏離時即認(rèn)為是入侵。異常檢測與系統(tǒng)相對無關(guān),通用性較強。它最大的優(yōu)點是有可能檢測出以前從未出現(xiàn)過的攻擊方法。但由于不可能對整個系統(tǒng)內(nèi)的所有用戶行為進(jìn)行全面的描述,而且每個用戶的行為是經(jīng)常改變的,所以它的主要缺陷在于誤檢率很高,而且配置和管理起來比較復(fù)雜,尤其在用戶多,或工作方式經(jīng)常改變的環(huán)境中。另外,由于行為模式的統(tǒng)計數(shù)據(jù)不斷更新,入侵者如果知道某系統(tǒng)處在檢測器的監(jiān)視之下,他們可以通過惡意訓(xùn)練的方式,促使檢測系統(tǒng)緩慢地更改統(tǒng)計數(shù)據(jù),以至于最初認(rèn)為是異常的行為,經(jīng)一段時間訓(xùn)練后也被認(rèn)為是正常的,這是目前異常檢測所面臨的一大困難。
異常檢測的關(guān)鍵問題在于正常使用模式的建立以及如何利用該模式對當(dāng)前的系統(tǒng)/用戶行為進(jìn)行比較,從而判斷出與正常模式的偏離程度。基于異常的檢測與系統(tǒng)相對無關(guān),通用性較強,不受已知知識的限制,因而它甚至有可能檢測出未知的攻擊行為。然而,異常檢測技術(shù)存在以下幾個主要問題:
?、湃绾斡行У乇硎居脩舻恼P袨槟J?即選擇哪些數(shù)據(jù)才能有效地反映用戶的行為,并且這些數(shù)據(jù)容易獲取和處理。由于系統(tǒng)、用戶的行為是不斷改變的,因而正常模式具有時效性,需要不斷修正和更新。當(dāng)用戶行為突然發(fā)生改變時,容易引起誤報。
⑵闡值的確定比較困難。當(dāng)闡值設(shè)定較高時,容易引起漏報,而閩值設(shè)定較低時,容易引起誤報。由于不可能對系統(tǒng)內(nèi)的所有用戶行為進(jìn)行全面的描述,在用戶數(shù)目眾多、用戶行為經(jīng)常動態(tài)改變時,系統(tǒng)誤報率較高。
?、钱惓z測方法大多訓(xùn)練時間較長,在訓(xùn)練期,系統(tǒng)不能正常工作;如果入侵者知道系統(tǒng)處于訓(xùn)練期,可以采用逐步更新用戶模型的方式,使得系統(tǒng)將入侵行為也當(dāng)作正常行為來建立正常模式。由于異常檢測缺乏精確的判定標(biāo)準(zhǔn),誤檢率高,使得基于異常的入侵檢測系統(tǒng)大多仍停留于研究領(lǐng)域。
下面介紹一種常用的異常檢測方法:基于概率統(tǒng)計模型的異常檢測方法概率統(tǒng)計方法是最早也是使用得最多的一種異常檢測方法,這種入侵檢測方法是基于對用戶歷史行為建模以及在早期的證據(jù)或模型的基礎(chǔ)上,審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況。系統(tǒng)根據(jù)每個用戶以前的歷史行為,生成每個用戶的歷史行為記錄集,當(dāng)用戶改變他們的行為習(xí)慣時,這種異常就會被檢測出來。
IDES、NIDES、Haystaek、EMERLD等系統(tǒng)都采用了基于統(tǒng)計的異常檢測手段,該種方法維護(hù)方便,不需對規(guī)則庫不斷地更新和維護(hù);但是,該種檢測方法存在以下缺陷:
?、儆捎诖蠖鄶?shù)統(tǒng)計分析系統(tǒng)是以批處理方式對審計記錄進(jìn)行分析,因而不能提供對入侵行為的實時檢測和自動響應(yīng)功能,這是因為數(shù)據(jù)處理過程和模式庫的維護(hù)都需要大量的存儲資源和計算資源,因此檢測系統(tǒng)總是滯后于審計記錄的產(chǎn)生;
②概率統(tǒng)計的另一個問題在于所能表達(dá)的事件范圍,統(tǒng)計分析的特性導(dǎo)致了它不能反映事件在時間順序上的前后相關(guān)性,因此事件發(fā)生的順序通常不作為分析引擎所考察的系統(tǒng)屬性,然而許多入侵行為的系統(tǒng)異常都依賴于事件的發(fā)生順序;門限值若選擇不當(dāng),將會導(dǎo)致系統(tǒng)出現(xiàn)大量的誤報。
三、誤用檢側(cè)
誤用檢測首先對標(biāo)識特定入侵的行為模式進(jìn)行編碼,建立入侵模式庫,然后對檢測過程中得到的審計事件數(shù)據(jù)進(jìn)行過濾,檢查是否包含入侵模式來檢測攻擊。誤用檢測又稱為基于知識的檢測或特征檢測。它通過分析入侵過程的特征、條件、排列以及事件間的關(guān)系來描述入侵行為的跡象。與異常入侵檢測相反,誤用入侵檢測主要是按預(yù)先定義好的入侵模式對用戶活動行為進(jìn)行模式匹配來檢測入侵行為。
誤用檢測的關(guān)鍵在于如何通過入侵模式準(zhǔn)確地描述入侵活動的特征、條件、排列和關(guān)系,從而有效地檢測入侵。誤用檢測由于針對具體的入侵模式庫進(jìn)行判斷,因而檢測率高,同時因為檢測結(jié)果有明確的參照,也為管理員做出相應(yīng)措施提供了方便。然而,誤用檢測也存在以下缺陷:
?、庞捎谌肭帜J綆焓芤阎R的局限,只能檢測己知的攻擊模式,對于未知攻擊和已知攻擊的變形則無能為力。
?、迫肭帜J綆斓木S護(hù)工作量大。只有擁有完備的入侵模式庫,IDS才能檢測到大量的攻擊行為。隨著新的攻擊方法不斷出現(xiàn),入侵模式庫也需要不斷更新。
?、怯捎卺槍唧w系統(tǒng)的依賴性太強,系統(tǒng)移植性不好。由于誤用檢測方法原理簡單因而已經(jīng)成為入侵領(lǐng)域中應(yīng)用最為廣泛的檢測手段和機(jī)制之一,大部分商用系統(tǒng)都采用了基于誤用檢測的入侵檢測技術(shù)。
下面介紹一種常用的誤用檢測方法:基于模型推理的誤用檢測方法。該方法是通過構(gòu)建一些誤用的模型,在此基礎(chǔ)上對某些行為活動進(jìn)行監(jiān)視,并推理出是否發(fā)生了入侵行為。其采用的原理是:特定的場景腳本可以由特定的可觀察的活動推導(dǎo)出來。因而通過觀察,可以推導(dǎo)出特定入侵場景腳本的一系列活動來檢測出入侵企圖。
其缺點是:創(chuàng)建入侵檢測模型的工作量大,系統(tǒng)整體性能將受到影響;在系統(tǒng)解釋模塊如何有效地翻譯入侵腳本也是個問題;模型的維護(hù)比較困難。
四、完整性檢驗
完整性檢驗是一種簡單而且高效的監(jiān)控入侵者的方法。它為系統(tǒng)的每個文件生成一個校驗和,然后定期地將這個檢驗和與源文件比較,以確保文件沒有被修改。如果文件被未授權(quán)修改,就會發(fā)生警報。
任何一個系統(tǒng)正常運作時都會帶來大量文件規(guī)則的變化。因此,必須小心調(diào)整完整性檢驗IDS以避免誤報。當(dāng)發(fā)生合法的變換時,需要重置校驗和。
完整性檢驗可以用語檢測網(wǎng)頁的篡改。攻擊者常常可以進(jìn)入未打補丁的對外的web服務(wù)器以篡改Web服務(wù)器顯示的內(nèi)容。完整性檢驗IDS能對特殊的Web頁面文件產(chǎn)生校驗和并對其監(jiān)控。當(dāng)攻擊者改變Web頁面內(nèi)容時,校驗和檢驗失敗,從而引起相關(guān)人員的注意。網(wǎng)站發(fā)布的網(wǎng)頁文件不能頻繁更改,否則引起大量誤報。另外,IDS被配置成自動回滾恢復(fù)到文件的初始狀態(tài)。
五、結(jié)語
入侵檢測系統(tǒng)通過對計算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)中的關(guān)鍵信息進(jìn)行實時采集和分析,從而判斷出非法用戶入侵和合法用戶濫用資源的行為,并做出適當(dāng)響應(yīng)。它在傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上,實現(xiàn)了檢測與響應(yīng),起著主動防御作用,從而使得對網(wǎng)絡(luò)安全事故的處理,由原來的事后發(fā)現(xiàn)發(fā)展到了事前報警、自動響應(yīng),并可以為追究入侵者的法律責(zé)任提供有效證據(jù)。因此,入侵檢測技術(shù)的出現(xiàn)使網(wǎng)絡(luò)安全領(lǐng)域的研究進(jìn)入了一個新的階段。
看了“網(wǎng)絡(luò)入侵檢測技術(shù)論文”的人還看: