資源描述:
《網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究和發(fā)展摘 要:自從計算機問世以來,安全問題就一直存在著,使用者也一直未給予足夠的重視,結(jié)果連接到Internet上的計算機暴露在愈來愈頻繁的攻擊中,該課題先從入侵檢測系統(tǒng)的發(fā)展概述和演化,然后再進一步對IDS進行研究,沿著技術(shù)的發(fā)展方向還有在現(xiàn)實應(yīng)用中遇到的問題驚醒討論。關(guān)鍵詞:計算機安全;入侵檢測;入侵檢測系統(tǒng);入侵檢測系統(tǒng)的歷史前言伴隨著計算機網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)攻擊和入侵事件與日俱增,特別是近兩年,政府部門、軍事機構(gòu)、金融機構(gòu)、企業(yè)的計算機網(wǎng)絡(luò)頻遭黑客襲擊。攻擊者可以從容地對那些沒有安全保護的網(wǎng)絡(luò)進行攻擊和入侵,如進行
2、拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時獲得內(nèi)部信息、傳播計算機病毒、摧毀主機等等。攻擊和入侵事件給這些機構(gòu)和企業(yè)帶來了巨大的經(jīng)濟損失和形象的損害,甚至直接威脅到國家的安全。傳統(tǒng)上,信息安全研究包括針對特定的系統(tǒng)設(shè)計一定的安全策略,建立支持該策略的形式化安全模型,使用身份認(rèn)證、訪問控制、信息加密和數(shù)字簽名等技術(shù)實現(xiàn)安全模型并使之成為針對各種入侵活動的防御屏障。然而近年來隨著系統(tǒng)入侵行為程度和規(guī)模的加大,安全模型理論自身的局限以及實現(xiàn)中存在的漏洞逐漸暴露出來,這是信息系統(tǒng)復(fù)雜化后的必然結(jié)果。增強系統(tǒng)安全的一種行之有
3、效的方法是采用一個比較容易實現(xiàn)的安全技術(shù),同時使用輔助的安全系統(tǒng),對可能存在的安全漏洞進行檢查,入侵檢測就是這樣的技術(shù)。IDS被認(rèn)為是防火墻之后的第而道安全閘門,它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。1.入侵檢測及IDS概述傳統(tǒng)上,信息安全研究包括針對特定的系統(tǒng)設(shè)計一定的安全策略,建立支持該策略的形式化安全模型,使用身份認(rèn)證、訪問控制、信息加密和數(shù)字簽名等技術(shù)實現(xiàn)安全模型并使之成為針對各種入侵活動的防御屏障。然而近年來隨著系統(tǒng)入侵行為程度和規(guī)模的加大,安全模型理論自身的局限以及實現(xiàn)中存在的漏洞逐漸暴露出來
4、,這是信息系統(tǒng)復(fù)雜化后的必然結(jié)果。增強系統(tǒng)安全的一種行之有效的方法是采用一個比較容易實現(xiàn)的安全技術(shù),同時使用輔助的安全系統(tǒng),對可能存在的安全漏洞進行檢查,入侵檢測就是這樣的技術(shù)。1.1入侵檢測概述入侵檢測的研究最早可追溯到20世紀(jì)80年代,但受到重視和快速發(fā)展是在Internet興起之后。早在1980年,JAnderson等人就提出了入侵檢測的概念,對入侵行為進行了簡單地劃分,提出使用審計信息跟蹤用戶可疑行為。1985年,Denning在Oakland提出第一個實時入侵檢測專家系統(tǒng)模型,以及實時的、基于統(tǒng)計量分析和用戶行為輪廓(Profile)的入侵檢測技術(shù)
5、。該模型是入侵檢測研究領(lǐng)域的里程碑,此后大量的入侵檢測系統(tǒng)模型開始出現(xiàn),很多都是基于Denning的統(tǒng)計量分析理論。進入90年代以后,隨著Porras和Kemmerer基于狀態(tài)轉(zhuǎn)換分析的入侵檢測技術(shù)的提出和完善,根據(jù)已知攻擊模型進行入侵檢測的方法成為該領(lǐng)域研究的另一熱點。???入侵就是指連續(xù)的相關(guān)系列惡意行為,這種惡意行為將造成對計算機系統(tǒng)或者計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅,包括非授權(quán)的信息訪問、信息的竄改設(shè)置以及拒絕服務(wù)攻擊等等。入侵檢測是指對惡意行為進行診斷、識別并做出響應(yīng)的過程。實施入侵檢測的系統(tǒng)稱為入侵檢測系統(tǒng)(IDS)。衡量入侵檢測系統(tǒng)的兩個最基本指標(biāo)為
6、檢測率和誤報率,兩者分別從正、反兩方面表明檢測系統(tǒng)的檢測準(zhǔn)確性。???實用的入侵檢測系統(tǒng)應(yīng)盡可能地提高系統(tǒng)的檢測率而降低誤報率,但在實際的檢測系統(tǒng)中這兩個指標(biāo)存在一定的抵觸,實現(xiàn)上需要綜合考慮。除檢測率和誤報率外,在實際設(shè)計和實現(xiàn)具體的入侵檢測系統(tǒng)時還應(yīng)考慮操作方便性、抗攻擊能力、系統(tǒng)開銷大小、可擴展性、自適應(yīng)能力、自學(xué)習(xí)能力以及實時性等。???從系統(tǒng)組成上看,入侵檢測一般由3個部分組成:數(shù)據(jù)采集、入侵檢測、響應(yīng)。數(shù)據(jù)采集模塊根據(jù)入侵檢測類型的不同,采集不同類型的數(shù)據(jù),比如網(wǎng)絡(luò)的數(shù)據(jù)包、操作系統(tǒng)的系統(tǒng)調(diào)用日志或者應(yīng)用日志。數(shù)據(jù)采集模塊往往會對采集到的信息進行
7、預(yù)處理,包括對信息進行簡單的過濾,輸出格式化的信息。前者有助于消除冗余數(shù)據(jù),提升系統(tǒng)的性能;后者可提升系統(tǒng)的互操作性。預(yù)處理后的信息一般都先存放到日志數(shù)據(jù)庫中,再提交給分析引擎。分析引擎實現(xiàn)檢測算法。從最簡單的字符串匹配到復(fù)雜的專家系統(tǒng)甚至神經(jīng)網(wǎng)絡(luò),分析引擎是入侵檢測系統(tǒng)的核心,分析引擎最終判定一個行為是異常的還是正常的。檢測策略包含了如何診斷入侵的配置信息、入侵的簽名(也就是入侵的行為特征)。各種閾值也往往存放在檢測策略中。狀態(tài)信息包含了檢測所需的動態(tài)信息,比如部分執(zhí)行的入侵簽名,當(dāng)前發(fā)生在系統(tǒng)中的行為上下文等。分析引擎在做出行為的入侵判斷后將判斷的結(jié)果直
8、接發(fā)給響應(yīng)模塊。響應(yīng)模塊然后根據(jù)響應(yīng)策略中預(yù)定義的規(guī)