網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)_第1頁(yè)
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)_第2頁(yè)
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)_第3頁(yè)
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)_第4頁(yè)
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)_第5頁(yè)
已閱讀5頁(yè),還剩6頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究和發(fā)展 摘要:自從計(jì)算機(jī)問(wèn)世以來(lái),安全問(wèn)題就一直存在著,使用者也一直未給予足夠的重視,結(jié)果連接到Internet上的計(jì)算機(jī)暴露在愈來(lái)愈頻繁的攻擊中,該課題先從入侵檢測(cè)系統(tǒng)的發(fā)展概述和演化,然后再進(jìn)一步對(duì)IDS進(jìn)行研究,沿著技術(shù)的發(fā)展方向還有在現(xiàn)實(shí)應(yīng)用中遇到的問(wèn)題驚醒討論。關(guān)鍵詞:計(jì)算機(jī)安全;入侵檢測(cè);入侵檢測(cè)系統(tǒng);入侵檢測(cè)系統(tǒng)的歷史前言伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)攻擊和入侵事件與日俱增,特別是近兩年,政府部門(mén)、軍事機(jī)構(gòu)、金融機(jī)構(gòu)、企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)頻遭黑客襲擊。攻擊者可以從容地對(duì)那些沒(méi)有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵,如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪(fǎng)問(wèn)、肆意

2、竊取和篡改重要的數(shù)據(jù)信息、安裝后門(mén)監(jiān)聽(tīng)程序以便隨時(shí)獲得內(nèi)部信息、傳播計(jì)算機(jī)病毒、摧毀主機(jī)等等。攻擊和入侵事件給這些機(jī)構(gòu)和企業(yè)帶來(lái)了巨大的經(jīng)濟(jì)損失和形象的損害,甚至直接威脅到國(guó)家的安全。傳統(tǒng)上,信息安全研究包括針對(duì)特定的系統(tǒng)設(shè)計(jì)一定的安全策略,建立支持該策略的形式化安全模型,使用身份認(rèn)證、訪(fǎng)問(wèn)控制、信息加密和數(shù)字簽名等技術(shù)實(shí)現(xiàn)安全模型并使之成為針對(duì)各種入侵活動(dòng)的防御屏障。然而近年來(lái)隨著系統(tǒng)入侵行為程度和規(guī)模的加大,安全模型理論自身的局限以及實(shí)現(xiàn)中存在的漏洞逐漸暴露出來(lái),這是信息系統(tǒng)復(fù)雜化后的必然結(jié)果。增強(qiáng)系統(tǒng)安全的一種行之有效的方法是采用一個(gè)比較容易實(shí)現(xiàn)的安全技術(shù),同時(shí)使用輔助的安全系統(tǒng),對(duì)可能

3、存在的安全漏洞進(jìn)行檢查,入侵檢測(cè)就是這樣的技術(shù)。IDS被認(rèn)為是防火墻之后的第而道安全閘門(mén),它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。1.入侵檢測(cè)及IDS概述傳統(tǒng)上,信息安全研究包括針對(duì)特定的系統(tǒng)設(shè)計(jì)一定的安全策略,建立支持該策略的形式化安全模型,使用身份認(rèn)證、訪(fǎng)問(wèn)控制、信息加密和數(shù)字簽名等技術(shù)實(shí)現(xiàn)安全模型并使之成為針對(duì)各種入侵活動(dòng)的防御屏障。然而近年來(lái)隨著系統(tǒng)入侵行為程度和規(guī)模的加大,安全模型理論自身的局限以及實(shí)現(xiàn)中存在的漏洞逐漸暴露出來(lái),這是信息系統(tǒng)復(fù)雜化后的必然結(jié)果。增強(qiáng)系統(tǒng)安全的一種行之有效的方法是采用一個(gè)比較容易實(shí)現(xiàn)的安全技術(shù),同時(shí)使用

4、輔助的安全系統(tǒng),對(duì)可能存在的安全漏洞進(jìn)行檢查,入侵檢測(cè)就是這樣的技術(shù)。1.1 入侵檢測(cè)概述入侵檢測(cè)的研究最早可追溯到20世紀(jì)80年代,但受到重視和快速發(fā)展是在Internet興起之后。早在1980年,J Anderson等人就提出了入侵檢測(cè)的概念,對(duì)入侵行為進(jìn)行了簡(jiǎn)單地劃分,提出使用審計(jì)信息跟蹤用戶(hù)可疑行為。1985年, Denning在Oakland提出第一個(gè)實(shí)時(shí)入侵檢測(cè)專(zhuān)家系統(tǒng)模型,以及實(shí)時(shí)的、基于統(tǒng)計(jì)量分析和用戶(hù)行為輪廓(Profile)的入侵檢測(cè)技術(shù)。該模型是入侵檢測(cè)研究領(lǐng)域的里程碑,此后大量的入侵檢測(cè)系統(tǒng)模型開(kāi)始出現(xiàn),很多都是基于Denning的統(tǒng)計(jì)量分析理論。進(jìn)入90年代以后,隨著

5、Porras和Kemmerer基于狀態(tài)轉(zhuǎn)換分析的入侵檢測(cè)技術(shù)的提出和完善,根據(jù)已知攻擊模型進(jìn)行入侵檢測(cè)的方法成為該領(lǐng)域研究的另一熱點(diǎn)。    入侵就是指連續(xù)的相關(guān)系列惡意行為,這種惡意行為將造成對(duì)計(jì)算機(jī)系統(tǒng)或者計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅,包括非授權(quán)的信息訪(fǎng)問(wèn)、信息的竄改設(shè)置以及拒絕服務(wù)攻擊等等。入侵檢測(cè)是指對(duì)惡意行為進(jìn)行診斷、識(shí)別并做出響應(yīng)的過(guò)程。實(shí)施入侵檢測(cè)的系統(tǒng)稱(chēng)為入侵檢測(cè)系統(tǒng)(IDS)。 衡量入侵檢測(cè)系統(tǒng)的兩個(gè)最基本指標(biāo)為檢測(cè)率和誤報(bào)率,兩者分別從正、反兩方面表明檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確性。    實(shí)用的入侵檢測(cè)系統(tǒng)應(yīng)盡可能地提高系統(tǒng)的

6、檢測(cè)率而降低誤報(bào)率,但在實(shí)際的檢測(cè)系統(tǒng)中這兩個(gè)指標(biāo)存在一定的抵觸,實(shí)現(xiàn)上需要綜合考慮。除檢測(cè)率和誤報(bào)率外,在實(shí)際設(shè)計(jì)和實(shí)現(xiàn)具體的入侵檢測(cè)系統(tǒng)時(shí)還應(yīng)考慮操作方便性、抗攻擊能力、系統(tǒng)開(kāi)銷(xiāo)大小、可擴(kuò)展性、自適應(yīng)能力、自學(xué)習(xí)能力以及實(shí)時(shí)性等。    從系統(tǒng)組成上看,入侵檢測(cè)一般由3個(gè)部分組成:數(shù)據(jù)采集、入侵檢測(cè)、響應(yīng)。數(shù)據(jù)采集模塊根據(jù)入侵檢測(cè)類(lèi)型的不同,采集不同類(lèi)型的數(shù)據(jù),比如網(wǎng)絡(luò)的數(shù)據(jù)包、操作系統(tǒng)的系統(tǒng)調(diào)用日志或者應(yīng)用日志。數(shù)據(jù)采集模塊往往會(huì)對(duì)采集到的信息進(jìn)行預(yù)處理,包括對(duì)信息進(jìn)行簡(jiǎn)單的過(guò)濾,輸出格式化的信息。前者有助于消除冗余數(shù)據(jù),提升系統(tǒng)的性能;后者可提升系統(tǒng)的互操

7、作性。預(yù)處理后的信息一般都先存放到日志數(shù)據(jù)庫(kù)中,再提交給分析引擎。分析引擎實(shí)現(xiàn)檢測(cè)算法。從最簡(jiǎn)單的字符串匹配到復(fù)雜的專(zhuān)家系統(tǒng)甚至神經(jīng)網(wǎng)絡(luò),分析引擎是入侵檢測(cè)系統(tǒng)的核心,分析引擎最終判定一個(gè)行為是異常的還是正常的。檢測(cè)策略包含了如何診斷入侵的配置信息、入侵的簽名(也就是入侵的行為特征)。各種閾值也往往存放在檢測(cè)策略中。狀態(tài)信息包含了檢測(cè)所需的動(dòng)態(tài)信息,比如部分執(zhí)行的入侵簽名,當(dāng)前發(fā)生在系統(tǒng)中的行為上下文等。分析引擎在做出行為的入侵判斷后將判斷的結(jié)果直接發(fā)給響應(yīng)模塊。響應(yīng)模塊然后根據(jù)響應(yīng)策略中預(yù)定義的規(guī)則進(jìn)行不同的響應(yīng)處理。一般來(lái)說(shuō),可能的響應(yīng)行為包括:發(fā)出報(bào)警,通知管理員。對(duì)惡意行為自動(dòng)地采取反

8、擊措施,一方面可自動(dòng)地重新配置目標(biāo)系統(tǒng),阻斷入侵者;另一方面可以重新配置檢測(cè)策略和數(shù)據(jù)采集策略,如可針對(duì)正在執(zhí)行的特定行為采集更多的信息,對(duì)行為的性質(zhì)進(jìn)行更準(zhǔn)確的判斷。1.2入侵檢測(cè)系統(tǒng)(IDS)詮釋IDS是一種網(wǎng)絡(luò)安全系統(tǒng),當(dāng)有敵人或惡意用戶(hù)視圖通過(guò)Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí),IDS能夠檢測(cè)出來(lái),并進(jìn)行報(bào)警,通知網(wǎng)絡(luò)該采取措施進(jìn)行響應(yīng)。在本質(zhì)上,入侵檢測(cè)系統(tǒng)是一種典型的“窺探設(shè)備”。他不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽(tīng)端口),無(wú)須轉(zhuǎn)發(fā)所有流量,而只需要在網(wǎng)絡(luò)上被動(dòng)地、無(wú)聲息地收集他所關(guān)心的報(bào)文即可。入侵檢測(cè)/響應(yīng)流程如圖1所示(參見(jiàn)附錄圖1)。我們做一個(gè)形象的比喻:假如防火墻

9、是一幢大樓的門(mén)衛(wèi),那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓,或內(nèi)部人員有越界行為,只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。IDS入侵檢測(cè)系統(tǒng)以信息來(lái)源的不同和檢測(cè)方法的差異分為幾類(lèi)。根據(jù)信息來(lái)源可分為基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS,根據(jù)檢測(cè)方法又可分為異常入侵檢測(cè)和濫用入侵檢測(cè)。不同于防火墻,IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)備,沒(méi)有跨接在任何鏈路上,無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此,對(duì)IDS的部署,惟一的要求是:IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里,"所關(guān)注流量"指的是來(lái)自高危網(wǎng)絡(luò)區(qū)域的訪(fǎng)問(wèn)流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)

10、絡(luò)拓?fù)渲?,已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò),絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此,IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在: (1)盡可能靠近攻擊源 (2)盡可能靠近受保護(hù)資源 這些位置通常是: ·服務(wù)器區(qū)域的交換機(jī)上 ·Internet接入路由器之后的第一臺(tái)交換機(jī)上 ·重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上 由于入侵檢測(cè)系統(tǒng)的市場(chǎng)在近幾年中飛速發(fā)展,許多公司投入到這一領(lǐng)域上來(lái)。Venustech(啟明星辰)、Internet Security System(ISS)、思科、賽門(mén)鐵克等公司都推出了自己的產(chǎn)品。目前,IDS分析及檢測(cè)入侵階段一般

11、通過(guò)以下幾種技術(shù)手段進(jìn)行分析:特征庫(kù)匹配、基于統(tǒng)計(jì)的分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則用于事后分析。2.入侵檢測(cè)系統(tǒng)的分類(lèi)對(duì)于目前已有入侵檢測(cè)的分類(lèi)有多種方法,比較通用的方法有兩種:一種就是根據(jù)檢測(cè)所基于的原則不同,將入侵檢測(cè)系統(tǒng)劃分為異常檢測(cè)IDS,誤用檢測(cè)IDS和分布式的IDS;另外一種是根據(jù)數(shù)據(jù)采集點(diǎn)的不同,將IDS分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS 。2.1根據(jù)檢測(cè)方法的不同分類(lèi)2.1.1異常檢測(cè)IDS異常檢測(cè),也稱(chēng)為基于行為的入侵檢測(cè),以系統(tǒng)、網(wǎng)絡(luò)、用戶(hù)或進(jìn)程的正常行為建立輪廓模型(即正常行為模式),將與之偏離較大的行為解釋成入侵。該方法基于如下的

12、假設(shè):入侵會(huì)引起用戶(hù)或系統(tǒng)行為的異常。 異常檢測(cè)方法具有檢測(cè)系統(tǒng)中未知攻擊的能力,由于新攻擊方法總是不斷出現(xiàn),因此異常檢測(cè)技術(shù)一直較受重視,產(chǎn)生了大量的異常檢測(cè)技術(shù)。下面對(duì)其中的主要技術(shù)進(jìn)行介紹和分析。1. 統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法是異常檢測(cè)的主要方法之一。該方法依據(jù)系統(tǒng)中特征變量的歷史數(shù)據(jù)建立統(tǒng)計(jì)模型,并運(yùn)用該模型對(duì)特征變量未來(lái)的取值進(jìn)行預(yù)測(cè)和檢測(cè)偏離。系統(tǒng)中的特征變量有用戶(hù)登錄失敗次數(shù)、CPU和I/O利用率、文件訪(fǎng)問(wèn)數(shù)及訪(fǎng)問(wèn)出錯(cuò)率、網(wǎng)絡(luò)連接數(shù)、擊鍵頻率、事件間的時(shí)間間隔等。 (a)均值與標(biāo)準(zhǔn)偏差模型以單個(gè)特征變量為檢測(cè)對(duì)象,假定特征變量滿(mǎn)足正態(tài)分布,根據(jù)該特征變量的歷史數(shù)據(jù)統(tǒng)計(jì)出分布參數(shù)(均值

13、、標(biāo)準(zhǔn)偏差),并依此設(shè)定信任區(qū)間。在檢測(cè)過(guò)程中,若特征變量的取值超出信任區(qū)間,則認(rèn)為發(fā)生異常。 (b)多元模型以多個(gè)特征變量為檢測(cè)對(duì)象,分析多個(gè)特征變量間的相關(guān)性,是均值與標(biāo)準(zhǔn)偏差模型的擴(kuò)展,不僅能檢測(cè)到單個(gè)特征變量值的偏離,還能檢測(cè)到特征變量間關(guān)系的偏離。 (c) Markov過(guò)程模型將每種類(lèi)型的事件定義為系統(tǒng)的一個(gè)狀態(tài),用狀態(tài)轉(zhuǎn)換矩陣來(lái)表示狀態(tài)的變化,若對(duì)應(yīng)于所發(fā)生事件的狀態(tài)轉(zhuǎn)移概率較小,則該事件可能為異常事件。 (d) 時(shí)間序列模型。將事件計(jì)數(shù)與資源消耗根據(jù)時(shí)間排列成序列,如果某一新事件在相應(yīng)時(shí)間發(fā)生的概率較低,則該事件可能為入侵。    以統(tǒng)計(jì)分析方法形成

14、系統(tǒng)或用戶(hù)的行為輪廓,實(shí)現(xiàn)簡(jiǎn)單,且在度量選擇較好時(shí)(即系統(tǒng)或用戶(hù)行為的變化會(huì)在相應(yīng)的度量上產(chǎn)生顯著的變化)能夠可靠檢測(cè)出入侵。該方法的缺點(diǎn)為:以系統(tǒng)或用戶(hù)一段時(shí)間內(nèi)的行為特征為檢測(cè)對(duì)象,檢測(cè)的時(shí)效性差,在檢測(cè)到入侵時(shí)入侵可能已造成損害;度量的閾值難以確定;忽略了事件間的時(shí)序關(guān)系。 2. 基于數(shù)據(jù)挖掘的檢測(cè)方法數(shù)據(jù)挖掘是一種利用分析工具在大量數(shù)據(jù)中提取隱含在其中且潛在有用的信息和知識(shí)的過(guò)程。入侵檢測(cè)過(guò)程也是利用所采集的大量數(shù)據(jù)信息,如主機(jī)系統(tǒng)日志、審計(jì)記錄和網(wǎng)絡(luò)數(shù)據(jù)包等,對(duì)其進(jìn)行分析以發(fā)現(xiàn)入侵或異常的過(guò)程。因此,可利用數(shù)據(jù)挖掘技術(shù),從大量數(shù)據(jù)中提取盡可能多的隱藏的安全信息,抽象出有利于比較和判斷

15、的特征模型(如基于異常檢測(cè)的正常行為輪廓)。 數(shù)據(jù)挖掘算法有多種,運(yùn)用到入侵檢測(cè)中的主要有關(guān)聯(lián)分析、序列分析和聚類(lèi)分析3種,其中關(guān)聯(lián)分析方法主要分析事件記錄中數(shù)據(jù)項(xiàng)間隱含的關(guān)聯(lián)關(guān)系,形成關(guān)聯(lián)規(guī)則;序列分析方法主要分析事件記錄間的相關(guān)性,形成事件記錄的序列模式;聚類(lèi)分析識(shí)別事件記錄的內(nèi)在特性,將事件記錄分組以構(gòu)成相似類(lèi),并導(dǎo)出事件記錄的分布規(guī)律。在建立上述的關(guān)聯(lián)規(guī)則、序列模式和相似類(lèi)后,即可依此檢測(cè)入侵或異常。    基于數(shù)據(jù)挖掘的檢測(cè)方法建立在對(duì)所采集大量信息進(jìn)行分析的基礎(chǔ)之上,只能進(jìn)行事后分析,即僅在入侵事件發(fā)生后才能檢測(cè)到入侵的存在。3.其他檢測(cè)方法其他的異常

16、檢測(cè)方法有基于規(guī)則的方法、人工免疫法、基于機(jī)器學(xué)習(xí)的檢測(cè)方法和基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)方法等。異常檢測(cè)的優(yōu)點(diǎn)為:不需獲取攻擊特征,能檢測(cè)未知攻擊或已知攻擊的變種,且能適應(yīng)用戶(hù)或系統(tǒng)等行為的變化。但異常檢測(cè)具有如下的缺點(diǎn):一般根據(jù)經(jīng)驗(yàn)知識(shí)選取或不斷調(diào)整閾值以滿(mǎn)足系統(tǒng)要求,閾值難以設(shè)定;異常不一定由攻擊引起,系統(tǒng)易將用戶(hù)或系統(tǒng)的特殊行為(如出錯(cuò)處理等)判定為入侵,同時(shí)系統(tǒng)的檢測(cè)準(zhǔn)確性受閾值的影響,在閾值選取不當(dāng)時(shí),會(huì)產(chǎn)生較多的檢測(cè)錯(cuò)誤,造成檢測(cè)錯(cuò)誤率高;攻擊者可逐漸修改用戶(hù)或系統(tǒng)行為的輪廓模型,因而檢測(cè)系統(tǒng)易被攻擊者訓(xùn)練;無(wú)法識(shí)別攻擊的類(lèi)型,因而難以采取適當(dāng)?shù)拇胧┳柚构舻睦^續(xù)。2.1.2誤用檢測(cè)IDS

17、誤用檢測(cè),也稱(chēng)為基于知識(shí)或基于簽名的入侵檢測(cè)。誤用檢測(cè)IDS根據(jù)已知攻擊的知識(shí)建立攻擊特征庫(kù),通過(guò)用戶(hù)或系統(tǒng)行為與特征庫(kù)中各種攻擊模式的比較確定是否發(fā)生入侵。常用的誤用檢測(cè)技術(shù)主要有: 1. 基于專(zhuān)家系統(tǒng)的檢測(cè)方法專(zhuān)家系統(tǒng)是入侵檢測(cè)中常用的一種檢測(cè)方法,通過(guò)將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)的規(guī)則,前者為構(gòu)成入侵的條件,后者為發(fā)現(xiàn)入侵后采取的響應(yīng)措施。專(zhuān)家系統(tǒng)的優(yōu)點(diǎn)為把系統(tǒng)的推理控制過(guò)程和問(wèn)題的最終解答相分離,即用戶(hù)不需要理解或干預(yù)專(zhuān)家系統(tǒng)內(nèi)部的推理過(guò)程,只需把專(zhuān)家系統(tǒng)看作一個(gè)黑盒子。在將專(zhuān)家系統(tǒng)應(yīng)用于入侵檢測(cè)時(shí),存在下列問(wèn)題:缺乏處理序列數(shù)據(jù)的能力,即不能處理數(shù)據(jù)的前后相關(guān)性;性能取決

18、于設(shè)計(jì)者的知識(shí);只能檢測(cè)已知的攻擊模式;無(wú)法處理判斷不確定性;規(guī)則庫(kù)難以維護(hù),更改規(guī)則時(shí)要考慮對(duì)規(guī)則庫(kù)中其他規(guī)則的影響。2.基于狀態(tài)轉(zhuǎn)移分析的檢測(cè)方法狀態(tài)轉(zhuǎn)移分析方法運(yùn)用狀態(tài)轉(zhuǎn)換圖來(lái)表示和檢測(cè)已知的攻擊模式,即運(yùn)用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)移表達(dá)式來(lái)描述已知的攻擊模式,以有限狀態(tài)機(jī)模型來(lái)表示入侵過(guò)程。入侵過(guò)程由一系列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到入侵狀態(tài)的行為組成,其中初始狀態(tài)為入侵發(fā)生前的系統(tǒng)狀態(tài),入侵狀態(tài)表示入侵完成后系統(tǒng)所處的狀態(tài)。 用于誤用檢測(cè)的狀態(tài)轉(zhuǎn)移分析引擎包括一組狀態(tài)轉(zhuǎn)移圖,各自代表一種入侵或滲透模式。每當(dāng)有新行為發(fā)生時(shí),分析引擎檢查所有的狀態(tài)轉(zhuǎn)移圖,查看是否會(huì)導(dǎo)致系統(tǒng)的狀態(tài)轉(zhuǎn)移。如果新行為否定

19、了當(dāng)前狀態(tài)的斷言,分析引擎將狀態(tài)轉(zhuǎn)移圖回溯到斷言仍然成立的狀態(tài);如果新行為使系統(tǒng)狀態(tài)轉(zhuǎn)移到了入侵狀態(tài),狀態(tài)轉(zhuǎn)移信息就被發(fā)送到?jīng)Q策引擎,由決策引擎根據(jù)預(yù)定義的策略采取相應(yīng)措施。 以狀態(tài)轉(zhuǎn)移分析方法表示的攻擊檢測(cè)過(guò)程只與系統(tǒng)狀態(tài)的變化有關(guān),而與攻擊的過(guò)程無(wú)關(guān)。狀態(tài)轉(zhuǎn)移分析方法能檢測(cè)到協(xié)同攻擊和慢攻擊;能在攻擊行為尚未到達(dá)入侵狀態(tài)時(shí)檢測(cè)到該攻擊行為,從而及時(shí)采取相應(yīng)措施阻止攻擊行為。狀態(tài)轉(zhuǎn)換圖給出了保證攻擊成功的特征行為的最小子集,能檢測(cè)到具有相同入侵模式的不同表現(xiàn)形式。狀態(tài)轉(zhuǎn)移分析方法中狀態(tài)對(duì)應(yīng)的斷言和特征行為需要手工編碼,在用于復(fù)雜的入侵場(chǎng)景時(shí)會(huì)存在問(wèn)題。3.其他檢測(cè)方法其他的誤用檢測(cè)方法有基于

20、有色Petri(CP)-Net的誤用檢測(cè)及基于鍵盤(pán)監(jiān)控的誤用檢測(cè)等。誤用檢測(cè)的優(yōu)點(diǎn)為:攻擊檢測(cè)的準(zhǔn)確率高;能夠識(shí)別攻擊的類(lèi)型。誤用檢測(cè)的缺點(diǎn)為:只能檢測(cè)已知攻擊;滯后于新出現(xiàn)的攻擊,對(duì)于新的攻擊,僅在其包含進(jìn)攻擊特征庫(kù)后才能檢測(cè)到;攻擊特征庫(kù)維護(hù)困難,新攻擊出現(xiàn)后需由專(zhuān)家根據(jù)專(zhuān)業(yè)知識(shí)抽取攻擊特征,不斷更新攻擊特征庫(kù);攻擊者可通過(guò)修改攻擊行為,使其與攻擊特征庫(kù)中的特征不相符,從而繞過(guò)檢測(cè)。 誤用檢測(cè)和異常檢測(cè)各有優(yōu)缺點(diǎn),具有一定的互補(bǔ)性。通常檢測(cè)系統(tǒng)為提高入侵檢測(cè)性能,將這兩種技術(shù)結(jié)合以實(shí)現(xiàn)入侵檢測(cè)。3.IDS存在的問(wèn)題1998年2月,Secure Networks Inc.指出IDS有許多弱點(diǎn)

21、,主要為:IDS對(duì)數(shù)據(jù)的檢測(cè);對(duì)IDS自身攻擊的防護(hù)。由于當(dāng)代網(wǎng)絡(luò)發(fā)展迅速,網(wǎng)絡(luò)傳輸速率大大加快,這造成了IDS工作的很大負(fù)擔(dān),也意味著IDS對(duì)攻擊活動(dòng)檢測(cè)的可靠性不高。而IDS在應(yīng)對(duì)對(duì)自身的攻擊時(shí),對(duì)其他傳輸?shù)臋z測(cè)也會(huì)被抑制。同時(shí)由于模式識(shí)別技術(shù)的不完善,IDS的高虛警率也是它的一大問(wèn)題。3.1誤/漏報(bào)率高IDS常用的檢測(cè)方法有特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)、協(xié)議分析等。而這些檢測(cè)方式都存在缺陷。比如異常檢測(cè)通常采用統(tǒng)計(jì)方法來(lái)進(jìn)行檢測(cè),而統(tǒng)計(jì)方法中的閾值難以有效確定,太小的值會(huì)產(chǎn)生大量的誤報(bào),太大的值又會(huì)產(chǎn)生大量的漏報(bào)。而在協(xié)議分析的檢測(cè)方式中,一般的IDS只簡(jiǎn)單地處理了常用的如HTTP、等,

22、其余大量的協(xié)議報(bào)文完全可能造成IDS漏報(bào),如果考慮支持盡量多的協(xié)議類(lèi)型分析,網(wǎng)絡(luò)的成本將無(wú)法承受。3.2沒(méi)有主動(dòng)防御能力IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理,所以檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新。3.3缺乏準(zhǔn)確定位和處理機(jī)制IDS僅能識(shí)別IP地址,無(wú)法定位IP地址,不能識(shí)別數(shù)據(jù)來(lái)源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候,只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口,但這樣關(guān)閉同時(shí)會(huì)影響其他正常用戶(hù)的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。3.4性能普遍不足目前市場(chǎng)上的IDS產(chǎn)品大多采用的是特征檢測(cè)技術(shù),這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展,在大流量沖擊、多IP分片情況下都可能造成

23、IDS的癱瘓或丟包,形成DoS攻擊。4.入侵檢測(cè)及網(wǎng)絡(luò)安全的發(fā)展方向4.1入侵檢測(cè)技術(shù)的發(fā)展方向IDS雖然存在一些缺陷,但換個(gè)角度我們看到,各種相關(guān)網(wǎng)絡(luò)安全的黑客和病毒都是依賴(lài)網(wǎng)絡(luò)平臺(tái)進(jìn)行的,而如果在網(wǎng)絡(luò)平臺(tái)上就能切斷黑客和病毒的傳播途徑,那么就能更好地確保安全。這樣,網(wǎng)絡(luò)設(shè)備和IDS設(shè)備聯(lián)動(dòng)就應(yīng)運(yùn)而生了。IDS和網(wǎng)絡(luò)交換設(shè)備聯(lián)動(dòng),是指交換機(jī)或防火墻在運(yùn)行的過(guò)程中,將各種數(shù)據(jù)流的信息上報(bào)給安全設(shè)備,IDS系統(tǒng)可根據(jù)上報(bào)信息和數(shù)據(jù)流內(nèi)容進(jìn)行檢測(cè),在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候,進(jìn)行有針對(duì)性的動(dòng)作,并將這些對(duì)安全事件反應(yīng)的動(dòng)作發(fā)送到交換機(jī)或防火墻上,由交換機(jī)或防火墻來(lái)實(shí)現(xiàn)精確端口的關(guān)閉和斷開(kāi),由此即產(chǎn)生

24、了入侵防御系統(tǒng)(IPS)的概念。簡(jiǎn)單地理解,可認(rèn)為IPS就是防火墻加上入侵檢測(cè)系統(tǒng)。IPS技術(shù)在IDS監(jiān)測(cè)的功能上又增加了主動(dòng)響應(yīng)的功能,力求做到一旦發(fā)現(xiàn)有攻擊行為,即時(shí)響應(yīng),主動(dòng)切斷連接。他的部署方式不像IDS并聯(lián)在網(wǎng)絡(luò)中,而是以串聯(lián)的方式接入網(wǎng)絡(luò)中,其功能示意如圖2所示(參見(jiàn)附錄圖2)。除了IPS,也有廠(chǎng)商提出了IMS(入侵管理系統(tǒng))。IMS是個(gè)過(guò)程,在行為未發(fā)生前要考慮網(wǎng)絡(luò)中有什么漏洞,判斷有可能會(huì)形成什么攻擊行為和面臨的入侵危險(xiǎn);在行為發(fā)生時(shí)或即將發(fā)生時(shí),不僅要檢測(cè)出入侵行為,還要主動(dòng)阻斷,終止入侵行為;在入侵行為發(fā)生后,還要深層次分析入侵行為,通過(guò)關(guān)聯(lián)分析,來(lái)判斷是否還會(huì)出現(xiàn)下一個(gè)攻

25、擊行為。4.2網(wǎng)絡(luò)安全的發(fā)展方向4.2.1檢測(cè)和訪(fǎng)問(wèn)控制技術(shù)將共存共榮以IDS為代表的檢測(cè)技術(shù)和以防火墻為代表的訪(fǎng)問(wèn)控制技術(shù)從根本上來(lái)說(shuō)是兩種截然不同的技術(shù)行為。(1)防火墻是網(wǎng)關(guān)形式,需求高性能和高可靠性。因此防火墻注重吞吐率、延時(shí)、HA等方面的需求。防火墻最主要的特征應(yīng)當(dāng)是通(傳輸)和斷(阻隔)兩個(gè)功能,所以其傳輸需求是非常高的。(2)而IDS是個(gè)以檢測(cè)和發(fā)現(xiàn)為特征的技術(shù)行為,其追求的是漏報(bào)率和誤報(bào)率的降低。其對(duì)性能的追求主要在:抓包不能漏、分析不能錯(cuò),而不是微秒級(jí)的快速結(jié)果。IDS由于較高的技術(shù)特征,所以其計(jì)算復(fù)雜度是非常高的。從這個(gè)意義上來(lái)講,檢測(cè)和訪(fǎng)問(wèn)控制技術(shù)將在一個(gè)較長(zhǎng)的時(shí)期內(nèi)更加

26、關(guān)注其自身的特點(diǎn),各自提高性能和可靠性,既不會(huì)由一方取代另一方,也不會(huì)簡(jiǎn)單的形成融合技術(shù)。4.2.2檢測(cè)和訪(fǎng)問(wèn)控制的協(xié)同是必然趨勢(shì)雖然檢測(cè)技術(shù)和訪(fǎng)問(wèn)控制技術(shù)存在著一定程度的差異,不過(guò)兩個(gè)技術(shù)的協(xié)同工作和在應(yīng)用上的融合又是個(gè)迫切的需求和必然趨勢(shì)。安全產(chǎn)品的融合、協(xié)同、集中管理是網(wǎng)絡(luò)安全的發(fā)展方向。大型企業(yè)需要一體化的安全解決方案,需要細(xì)力度的安全控制手段。中小企業(yè)一邊希望能夠獲得切實(shí)的安全保障,一邊又不可能對(duì)信息安全有太多的投入。從早期的主動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)到入侵檢測(cè)系統(tǒng)和防火墻聯(lián)動(dòng),再到IPS和IMS,形成了一個(gè)不斷完善的解決安全需求的過(guò)程。4.2.3怎么進(jìn)行技術(shù)融合“集中檢測(cè),分布控制”這個(gè)

27、觀(guān)點(diǎn)對(duì)于怎么看待檢測(cè)技術(shù)和訪(fǎng)問(wèn)控制技術(shù)的走向是非常重要的。一個(gè)準(zhǔn)確度不能完全令人滿(mǎn)意的IDS,經(jīng)過(guò)人工的分析能變得準(zhǔn)確。同樣,經(jīng)過(guò)大規(guī)模的IDS部署后的集中分析及和其他檢測(cè)類(lèi)技術(shù)關(guān)聯(lián)分析,能獲得更加精確的結(jié)果。這樣局部的事件檢測(cè)就向全局性的事件檢測(cè)方向發(fā)展。根據(jù)全局性的檢測(cè)結(jié)果就能進(jìn)行全局性的響應(yīng)和控制。全局性的檢測(cè)能有效解決檢測(cè)的準(zhǔn)確率問(wèn)題,不過(guò)同時(shí)帶來(lái)的就是檢測(cè)過(guò)程變長(zhǎng),局部速度不夠快的問(wèn)題。所以,面對(duì)一些局部事件和能準(zhǔn)確地判斷出的問(wèn)題,阻斷后帶來(lái)的負(fù)面效應(yīng)相對(duì)較少,針對(duì)其檢測(cè)能比較快速的時(shí)候,IPS就是個(gè)比較好的方案了。4.2.4人仍是網(wǎng)絡(luò)安全管理的決定因素不可否認(rèn)的是,人的因素仍然是網(wǎng)絡(luò)安全管理的決定因素,網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)也并不是系統(tǒng)漏洞,而是人的漏洞。安全問(wèn)題的核心問(wèn)題就是人的問(wèn)題。因?yàn)橐磺胁话踩囊蛩厝珌?lái)自人(或說(shuō)一部分人)。那么我們和信息網(wǎng)絡(luò)安全威脅的斗爭(zhēng),實(shí)際上是和人(或說(shuō)一部分人)的斗爭(zhēng),這樣性質(zhì)的斗爭(zhēng),自不待言,注定了他的艱巨性、復(fù)雜性和持久性。因此,單純依靠安全技術(shù)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論