摘 要:入侵检测技术因能同时检测来自网络外部的恶意攻击和内部的破坏行为而得到了广泛研究,然而,由于入侵检测技术自身的复杂性和不成熟性,在当前的大规模、分布式和高速的网络环境中还存在很多问题。本文从入侵检测技术概念、入侵检测技术分类出发,研究了分布式、自动化和智能化是入侵检测技术发展的方向,这需要入侵检测技术与防火墙等网络安全技术相结合。
关键词:网络安全;入侵检测;防火墙
随着Internet的迅速发展,计算机及计算机网络逐渐成为被攻击的目标,从而导致公司形象受损商业信息失窃、研究数据被盗、个人信息失密等,因此计算机及网络的安全问题成为研究的焦点.要保证计算机网络的安全,首先要防止对网络的攻击行为,现在一般使用防火墙技术进行防范。另外,当防火墙被攻破或被绕开时,还要能够及时发现这种恶意行为,并在这种行为对系统或数据进行破坏之前,能够采取一定的行为,如进行报警、切断连接、封掉IP或进行反击等,这就是入侵检测技术(Intrusion Detection Technology,简称IDT)。
一、入侵检测技术
1980年,James P.Anderson在题为《ComputSecurity Threat Monitoring and Surveillance》(《计算机安全威胁监控和监视》)的技术报告中,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为内部渗透、外部渗透和不法行为3种,提出了利用审计跟踪数据监视活动的思想。入侵检测技术就是依据这一思想建立起来的一种积极主动的安全防护技术,它提供了对内部攻击、外部攻击和误操作的实时保护,能在网络系统受到危害之前进行拦截和响应。它主要完成以下功能:监视、分析用户和系统的活动检查系统的配置和漏洞;评估关键系统和数据的完整性;识别代表已知的攻击活动模式;对反常行为模式进行统计分析;对操作系统进行校验管理,判断是否有破坏安全的用户行为。
二、入侵检测技术分类
根据不同的结构和监听策略,入侵检测系统主要分为两类:基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。
(一)主机型入侵检测系统
主机型入侵检测系统通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。HIDS一般监视WindowsNT上的系统、事件、安全日志以及Unix环境中的SYSLOG文件。一旦发现这些文件发生任何变化,IDS将比较新的日志记录与攻击签名以发现他们是否匹配。主机型入侵检测系统具有以下优点:对分析“可能的攻击行为”非常有用;非常适用于加密和交换环境;比较实时的检测和应答;不需要额外的硬件。它的弱点是:如果把HIDS安装在需要保护的设备上,则会降低系统的效率。另外,它还依赖于服务器固有的日志和监视能力。
(二)网络型入侵检测系统
网络型入侵检测系统一般放在比较重要的网段内不停的监视网段中的各种数据包,并对每一个数据包或可疑的数据包进行特征分析。如果数据包与系统内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前大部分入侵检测产品都是基于网络的。网络入侵检测系统的优点是:它不会在业务系统的主机中安装额外的软件,从而不会影响主机的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能;当网络入侵检测系统发生故障时不会影响正常业务的运行;部署一个网络入侵检测系统的风险远低于布置一个主机型入侵检测系统。但是,网络入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络数据包,在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。
三、入侵检测技术的发展趋势
入侵检测技术可以用于文件系统的完整性检测、用户行为检测和网络异常检测等.但是仅仅发现入侵行为还不够,还必须采取进一步的措施以制止攻击,避免造成进一步危害,如改变网络配置、切断连接、向攻击者发出警告信息、进行反击等。理想的情况是,在入侵行为造成危害之前就已经采取了必要的措施。
(一)分布式入侵检测
为了克服基于主机的入侵检测和基于网络的入侵检测的不足,现在人们又提出了一种新的入侵检测技术,即分布式入侵检测(Distributed IntrusionDetection System,简称DIDS).分布式入侵检测有两方面的含义,一是对分布式攻击的入侵检测技术,二是入侵检测系统采用分布式计算技术.分布式入侵检测技术主要有层次式入侵检测和协作式入侵检测两类.协作式入侵检测系统各分布部件之间不存在主从之分,相互协作,优点是比较灵活,系统的容错能力较强,各分布部件可以独立工作;缺点是各分布部件之间的协调算法比较复杂,缺少一个统一的处理模块,不利于对全局的安全事件的理解.而层次式入侵检测系统则把系统分成若干层次,上层部件控制下层部件,它的优点是系统由控制中心统一控制,有利于大规模入侵事件的检测,效率比协作式高;缺点是如果主控模块遭到破坏,则整个系统的工作会受到影响,系统的可扩充性也较差.目前流行的Manager/Agent结构不仅可以监控整个网络的入侵和攻击行为、审查日志文件,还可以进行实时入侵活动的探测,代表了网络分布式入侵检测技术的发展趋势。
(二)入侵检测技术和防火墙技术相结合
将入侵检测技术和防火墙技术相结合,可以起到互补的作用。一方面,防火墙不能拒绝内部攻击,而且在策略配置上容易发生遗漏或错误,而利用NIDS则可以弥补这样的不足.两者功能结合的具体实施方法为NIDS利用传感器收集事件,分析器通过异常检测或误用检测方法检测入侵或入侵企图。若发现异常,通知管理器做出反应,还要通知防火墙,并动态修改防火墙的规则,断开或屏蔽可疑主机通信流量。这样可以更加有针对性地拒绝攻击,更加有针对性地实现防火墙的配置。另一方面,NIDS不能有效地防止对自身的攻击,但通过访问防火墙可以调整NIDS的分析器,使之不分析被防火墙屏蔽了的在内部网之外的流量类型,减小NIDS的负载,提高网络性能。
(三)主动防御技术
另外一种常用的技术是采用主动防御技术,也就是所谓的陷阱网络。陷阱网络是一种专门让黑客攻陷的网络或主机,在主动引入机制或诱骗机制的作用下,将黑客的入侵
行为引入到一个可以控制的范围,消耗其时间,了解其使用的方法和技术,追踪其来源,记录其犯罪证据.陷阱网络系统适用于各种规格的网络,在网络防火墙、入侵检测系统等安全措施的配合下,能弥补原有安全防御的不足,大大地提升网络安全性能.采取主动防御的入侵检测技术将会对入侵检测体系结构产生影响,是目前研究的热点。
(四)基于免疫学的入侵检测
基于免疫学的入侵检测系统也是近来兴起的新技术。免疫计算机与人体免疫系统类似,它是根据系统调用序列区分正常行为和异常行为,类似于免疫系统根据肽链区分自身物质和非自身物质,只有和正常行为模式数据库相匹配的行为才被视为正常,否则视为入侵.同时,由于正常行为数据库是根据操作经验产生的,而且该数据库与本地操作环境有关,因此每个结点的数据库均不同,有效地提高了结点和网络的安全性。
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到高度重视。但是,我国内的入侵检测现状还是仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块。
可见,入侵检测技术及其产品还具有较大的发展空间。
参考文献:
[1]吉根林,帅克,孙志挥.数据挖掘技术及应用[J].南京师大学报,2000,(23):25~27.
[2]张琨,徐永红,王珩,等.基于免疫学的入侵检测系统模型[J].南京理工大学学报,2002,(26):337~340.
[3]矫健,韩芳溪,毛忠东.网络攻击手段及防御系统设计[J].计算机工程与应用,2003,(3):168~170.
[4]路璐,马先立.利用网络入侵检测系统与防火墙的功能结合构建安全网络模型[J].计算机应用研究,2002,(10):93~95.
[5]陈晓苏,姜朝,肖道举.基于高性能网络的入侵检测系统架构[J].华中科技大学学报,2002,(3):4~6.
