對入侵檢測系統進行探究
近年來,隨著信息和網絡技術的高速發展以及政治、經濟或者軍事利益的驅動,計算機和網絡基礎設施,非凡是各種官方機構的網站,成為黑客攻擊的熱門目標。近年來對電子商務的熱切需求,更加激化了這種入侵事件的增長趨向。由于防火墻只防外不防內,并且很輕易被繞過,所以僅僅依靠防火墻的計算機系統已經不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統就被啟用了。
1、 入侵檢測系統(IDS)概念
1980年,James P.Anderson 第一次系統闡述了入侵檢測的概念,并將入侵行為分為外部滲透、內部滲透和不法行為三種,還提出了利用審計數據監視入侵活動的思想[1。即其之后,1986年Dorothy E.Denning提出實時異常檢測的概念[2并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(IDES),1990年,L.T.Heberlein等設計出監視網絡數據流的入侵檢測系統,NSM(Network Security Monitor)。自此之后,入侵檢測系統才真正發展起來。
Anderson將入侵嘗試或威脅定義為摘要:潛在的、有預謀的、未經授權的訪問信息、操作信息、致使系統不可靠或無法使用的企圖。而入侵檢測的定義為[4摘要:發現非授權使用計算機的個體(如“黑客”)或計算機系統的合法用戶濫用其訪問系統的權利以及企圖實施上述行為的個體。執行入侵檢測任務的程序即是入侵檢測系統。入侵檢測系統也可以定義為摘要:檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件。
入侵檢測系統執行的主要任務包括[3摘要:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反平安策略的行為。入侵檢測一般分為三個步驟摘要:信息收集、數據分析、響應。
入侵檢測的目的摘要:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監視以實施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發生和事態的擴大;
2、 入侵檢測系統模型
美國斯坦福國際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2,該模型的檢測方法就是建立用戶正常行為的描述模型,并以此同當前用戶活動的審計記錄進行比較,假如有較大偏差,則表示有異常活動發生。這是一種基于統計的檢測方法。隨著技術的發展,后來人們又提出了基于規則的檢測方法。結合這兩種方法的優點,人們設計出很多入侵檢測的模型。通用入侵檢測構架(Common Intrusion Detection Framework簡稱CIDF)組織,試圖將現有的入侵檢測系統標準化,CIDF闡述了一個入侵檢測系統的通用模型(一般稱為CIDF模型)。它將一個入侵檢測系統分為以下四個組件摘要:
事件產生器(Event Generators)
事件分析器(Event analyzers)
響應單元(Response units)
事件數據庫(Event databases)
它將需要分析的數據通稱為事件,事件可以是基于網絡的數據包也可以是基于主機的系統日志中的信息。事件產生器的目的是從整個計算機環境中獲得事件,并向系統其它部分提供此事件。事件分析器分析得到的事件并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、修改文件屬性等強烈反應。事件數據庫是存放各種中間和最終數據的地方的通稱,它可以是復雜的數據庫也可以是簡單的文本文件。
3、 入侵檢測系統的分類摘要:
現有的IDS的分類,大都基于信息源和分析方法。為了體現對IDS從布局、采集、分析、響應等各個層次及系統性探究方面的新問題,在這里采用五類標準摘要:控制策略、同步技術、信息源、分析方法、響應方式。
(1)按照信息源分類
按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統的系統審計蹤跡和系統日志來檢測攻擊。基于主機的IDS是在關鍵的網段或交換部位通過捕捉并分析網絡數據包來檢測攻擊。分布式IDS,能夠同時分析來自主機系統日志和網絡數據流,系統由多個部件組成,采用分布式結構。
(2)按照分析方法分類
按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統缺陷知識的數據庫,當收集到的信息和庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法,因此這樣的系統虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的,即任何一種入侵行為都能由于其偏離正常或者所期望的系統和用戶活動規律而被檢測出來。所以它需要一個記錄合法活動的數據庫,由于庫的有限性使得虛警率比較高。
(3)按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個中心節點控制系統中所有的監視、檢測和報告。在部分分布式IDS中,監控和探測是由本地的一個控制點控制,層次似的將報告發向一個或多個中心站。在全分布式IDS中,監控和探測是使用一種叫“代理”的方法,代理進行分析并做出響應決策。
(4)按照同步技術分類
同步技術是指被監控的事件以及對這些事件的分析在同一時間進行。按照同步技術劃分,IDS劃分為間隔批任務處理型IDS和實時連續性IDS。在間隔批任務處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內產生的信息,并在入侵發生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續型IDS中,事件一發生,信息源就傳給分析引擎,并且馬上得到處理和反映。實時IDS是基于網絡IDS首選的方案。
(5)按照響應方式分類
按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時,主動IDS會采用以下三種響應摘要:收集輔助信息;改變環境以堵住導致入侵發生的漏洞;對攻擊者采取行動(這是一種不被推薦的做法,因為行為有點過激)。被動響應IDS則是將信息提供給系統用戶,依靠管理員在這一信息的基礎上采取進一步的行動。
4、 IDS的評價標準
目前的入侵檢測技術發展迅速,應用的技術也很廣泛,如何來評價IDS的優缺點就顯得非常重要。評價IDS的優劣主要有這樣幾個方面[5摘要:(1)準確性。準確性是指IDS不會標記環境中的一個合法行為為異常或入侵。(2)性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說,必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(fault tolerance)。當被保護系統遭到攻擊和毀壞時,能迅速恢復系統原有的數據和功能。(5)自身反抗攻擊能力。這一點很重要,尤其是“拒絕服務”攻擊。因為多數對目標系統的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS,再實施對系統的攻擊。(6)及時性(Timeliness)。一個IDS必須盡快地執行和傳送它的分析結果,以便在系統造成嚴重危害之前能及時做出反應,阻止攻擊者破壞審計數據或IDS本身。
除了上述幾個主要方面,還應該考慮以下幾個方面摘要:(1)IDS運行時,額外的計算機資源的開銷;(2)誤警報率/漏警報率的程度;(3)適應性和擴展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。
5、 IDS的發展趨勢
隨著入侵檢測技術的發展,成型的產品已陸續應用到實踐中。入侵檢測系統的典型代表是ISS(國際互聯網平安系統公司)公司的RealSecure。目前較為聞名的商用入侵檢測產品還有摘要:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內的該類產品較少,但發展很快,已有總參北方所、中科網威、啟明星辰等公司推出產品。
人們在完善原有技術的基礎上,又在探究新的檢測方法,如數據融合技術,主動的自主代理方法,智能技術以及免疫學原理的應用等。其主要的發展方向可概括為摘要:
(1)大規模分布式入侵檢測。傳統的入侵檢測技術一般只局限于單一的主機或網絡框架,顯然不能適應大規模網絡的監測,不同的入侵檢測系統之間也不能協同工作。因此,必須發展大規模的分布式入侵檢測技術。
(2)寬帶高速網絡的實時入侵檢測技術。大量高速網絡的不斷涌現,各種寬帶接入手段層出不窮,如何實現高速網絡下的實時入侵檢測成為一個現實的新問題。
(3)入侵檢測的數據融合技術。目前的IDS還存在著很多缺陷。首先,目前的技術還不能對付練習有素的黑客的復雜的攻擊。其次,系統的虛警率太高。最后,系統對大量的數據處理,非但無助于解決新問題,還降低了處理能力。數據融合技術是解決這一系列新問題的好方法。
(4)和網絡平安技術相結合。結合防火墻,病毒防護以及電子商務技術,提供完整的網絡平安保障。
6、 結束語
在目前的計算機平安狀態下,基于防火墻、加密技術的平安防護固然重要,但是,要根本改善系統的平安目前狀況,必須要發展入侵檢測技術,它已經成為計算機平安策略中的核心技術之一。IDS作為一種主動的平安防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護。隨著網絡通信技術平安性的要求越來越高,入侵檢測技術必將受到人們的高度重視。