【摘 要】本文基于网络安全越来越受到各国重视的大背景,对有关入侵监测,入侵监测的目的,入侵监测的系统功能构成,入侵监测的分类,基于网络和基于主机的两种入侵检测技术做了详细论述最后又简单介绍了国内外入侵监测系统的产品的一些情况和未来入侵监测系统的发展方向。
【关键词】网络安全 入侵检测
一、现在网络安全隐患
随着计算机技术的发展在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系
统策略以加强系统的安全性。
二、入侵检测的定义
入侵检测是从系统(网络)的关键点采集信息并分析信息,察看系统(网络)中是否有违法安全策略的行为,保证系统(网络)的安全性,完整性和可用性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。Www.lw881.com
三、入侵检测的系统功能构成
一个入侵检测系统的功能结构如图一所示,它至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。
入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开,分析出入侵行为并对入侵者进行定位。
入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。
由于单个入侵检测系统的检测能力和检测范围的限制,入侵检测系统一般采用分布监视集中管理的结构,多个检测单元运行于网络中的各个网段或系统上,通过远程管理功能在一台管理站点上实现统一的管理和监控。
四、入侵检测系统分类
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
1.基于网络的入侵检测系统
基于网络的入侵检测系统通过网络监视来实现数据提取。在internet中,局域网普遍采用ieee 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式,任何一台主机发送的数据包,都会在所经过的子网中进行广播,也就是说,任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下,主机的网卡对每一个到达的数据包进行过滤,只将目的地址是本机的或广播地址的数据包放入接收缓冲区,而将其他数据包丢弃,因此,正常情况下网络上的主机表现为只关心与本机有关的数据包,但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略,使网卡能够接收经过本网段的所有数据包,无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式,目前绝大部分网卡都提供这种设置,因此,在需要的时候,对网卡进行合理的设置就能获得经过本网段的所有通信信息,从而实现网络监视的功能。在其他网络环境下,虽然可能不采用广播的方式传送报文,但目前很多路由设备或交换机都提供数据报文监视功能。
2.基于网络的入侵检测系统
基于主机的入侵检测系统将检测模块驻留在被保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。
基于主机的入侵检测系统可以有若干种实现方法:
检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。
基于主机日志的安全审计,通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,从而不被发觉;并且主机的日志能够提供的信息有限,有的入侵手段和途径不会在日志中有所反映,日志系统对有的入侵行为不能做出正确的响应,例如利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用arp欺骗来伪装成其他主机进行通信,这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。
五、入侵检测技术的发展方向
近年对入侵检测技术有几个主要发展方向:
(1)分布式入侵检测与通用入侵检测架构
传统的ids一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的ids系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。
(2)应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的ids仅能检测如web之类的通用协议,而不能处理如lotus notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
(3)智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的ids加以进一步的研究以解决其自学习与自适应能力。
入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
参考文献:
[1][美]rebecca gurley bace.入侵检测[m].人民邮电出版社,1991.
[2]paul e. proctor.入侵检测使用手册[m].中国电力出版社,1998.