資源描述:
《[精品]入侵檢測面臨的挑戰(zhàn)及對策》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、入侵檢測面臨的挑戰(zhàn)及對策吳禮發(fā)摘要近兒年來,入侵檢測作為一種重要的網(wǎng)絡安全技術(shù),發(fā)展非常迅速。但是,網(wǎng)絡技術(shù)和網(wǎng)絡攻擊技術(shù)的發(fā)展也給入侵檢測帶來了諸多挑戰(zhàn)。本文首先簡要介紹了入侵檢測的基本原理和技術(shù),然后從多個角度重點分析了冃前入侵檢測所而臨的挑戰(zhàn),以及相應的應對策略。關(guān)鍵字入侵檢測,入侵檢測系統(tǒng),網(wǎng)絡安全1概述近幾年來,隨著Internet的高速發(fā)展和LI益普及,網(wǎng)絡入侵事件迅速增長,網(wǎng)絡安全越來越受到人們的重視。作為一種重耍的網(wǎng)絡安全手段,入侵檢測(ID:IntrusionDetection)得到了快速的發(fā)展。入侵檢測是指通過從計算機網(wǎng)絡系統(tǒng)屮的若干關(guān)鍵點收集
2、信息,并分析這些信息,檢查網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡彖。入侵檢測系統(tǒng)(IDS:IntrusionDetectionSystem)被認為是防火墻之后的第二道安全閘門,從而提供對內(nèi)部攻擊、外部攻擊和課操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。盡管入侵檢測技術(shù)發(fā)展很快,但面臨著一些問題。本文首先簡要介紹了入侵檢測的基本原理和技術(shù),然后從多個角度重點分析了入侵檢測所面臨的這些問題,并探討了相應的對策。2入侵檢測目詢,主要有兩類IDS:基于主機的和基于網(wǎng)絡的?;谥鳈C的IDS主要從受保護主機上收集信息,從而發(fā)現(xiàn)入侵證據(jù)。此類系統(tǒng)-般主要使用操作
3、系統(tǒng)的審計、跟蹤H志作為輸入,某些系統(tǒng)也會主動與主機系統(tǒng)進行交互以獲得不存在于系統(tǒng)口志中的信息。其所收集的信息集中在系統(tǒng)調(diào)用和應用層審計上,試圖從口志判斷濫用和入侵事件的線索。基于網(wǎng)絡的IDS主要是從網(wǎng)絡屮的關(guān)鍵網(wǎng)段收集網(wǎng)絡分組信息,并對流量進行分析以提取其特征模式,再與已知攻擊特征相匹配或與匸常網(wǎng)絡行為原型相比較來識別攻擊事件。它能在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)測,發(fā)現(xiàn)入侵事件并作出響應。由于每一種IDS均冇其局限性,因此,綜合兩者優(yōu)點的綜合入侵檢測系統(tǒng)得到快速發(fā)展?;旌戏植际饺肭謾z測系統(tǒng)可以從不同的主機系統(tǒng)、網(wǎng)絡部件和通過網(wǎng)絡監(jiān)聽方式收集數(shù)據(jù),這些系統(tǒng)綜
4、介利用網(wǎng)絡數(shù)據(jù)和來自主機系統(tǒng)中的審計信息來發(fā)現(xiàn)入侵行為。入侵檢測方法主要分為兩大類:基于異常(anomaly-based)的入侵檢測與基于特征(signature-based)的入侵檢測兩類。異常入侵檢測系統(tǒng)記錄用戶在系統(tǒng)上的活動,并且根據(jù)這些記錄創(chuàng)建活動的統(tǒng)計報告。如果報告表明它與正常用戶的行為冇明顯的不同,那么檢測系統(tǒng)就會將這種活動視為入侵。顯而易見,當入侵集合與異?;顒蛹洗嬖谙嘟磺闆r時,一定會存在“漏報(false-negative)和“誤報(falsepositive)v問題。為了使“漏報”和"誤報"的概率較為符合實際盂要,這類系統(tǒng)的主要問題是選擇一個區(qū)
5、分異常事件的“閾值”O(jiān)而調(diào)整和更新某些系統(tǒng)特征度量值的方法非常復雜,開銷巨大。特征入侵檢測(也稱為謀用入侵檢測)是事先對已知的入侵方式進行定義(即定義入侵方式的特征),并且將這些方式寫進系統(tǒng)中。然后,將網(wǎng)絡上檢測到的攻擊與系統(tǒng)定義的已知入侵特征進行對比,如果兩者相同,則認為發(fā)生了入侵。基于特征的入侵檢測系統(tǒng)是建立在使用某種模式或者特征描述方法能夠?qū)θ魏我阎暨M行表達這一理論:基礎(chǔ)上的。并幾,它不適合檢測一些未知特征的攻擊。一般來說,入侵檢測系統(tǒng)由三部分構(gòu)成:傳感器(sensor),分析器(analyzer)和用戶接口(userinterface)o傳感器,也稱為
6、探測引擎(engine),它的作用是收集數(shù)據(jù)。它所收集的數(shù)據(jù)中包含入侵的信息或證據(jù)。分析器接收一個或多個傳感器送來的數(shù)據(jù),并根據(jù)這些信息判斷是否有入侵事件發(fā)牛。用戶接口的主要功能是使得用戶查看系統(tǒng)的輸岀或控制系統(tǒng)的行為。在某些系統(tǒng)屮,用戶接口相當于“管理者”(manager或director)>"控制臺”(console)o3入侵檢測面臨的挑戰(zhàn)和對策3.1網(wǎng)絡攻擊帶來的挑戰(zhàn)近兒年來,網(wǎng)絡安全技術(shù)發(fā)展迅速。但是,網(wǎng)絡攻擊事件卻呈快速增長趨勢。一個很重要的原因是網(wǎng)絡攻擊技術(shù)在以更快的速度發(fā)展。攻擊者在不斷地提高他們攻擊網(wǎng)絡系統(tǒng)的能力,變換攻擊模式和攻擊工具。攻擊工具提
7、供的攻擊方式也越來越復:朵,向高度的口動化、復雜化和分布式方向發(fā)展。而入侵檢測技術(shù)的發(fā)展跟不上攻擊能力捉高的步伐。3」」攻擊工具的自動化網(wǎng)絡攻擊從最初的手工發(fā)起和實施已發(fā)展到高度的白動化攻擊。-?般來說,攻擊者實施自動化攻擊主要包插四個步驟:掃描攻擊冃標;攻陷冃標;利川攻陷的冃標發(fā)起新一輪的攻擊;協(xié)調(diào)管理所發(fā)起的所有攻擊。自動化、分布式攻擊工具的出現(xiàn)使得上述每一個步驟均可白動完成。例如,大最的分布式拒絕服務(DDOS:DistributedDenialOfService)攻擊T具,著名的紅色代碼和Nimda病毒等均是自動化程度很高的攻擊工具。3.1.2攻擊工具的復
8、雜化為了防