论文导读:入侵检测系统作为安全的最后一道屏障,能提供强大的主动策略和解决方案,成为既能防止内部入侵又能防止外部入侵、保护用户数据的主要手段和发展趋势。为企业设计的入侵检测系统,其体系结构如图3所示。
关键词:信息安全,企业,入侵检测系统
1 引言
随着互联网和信息技术的飞速发展,利用网络入侵的事件越来越多,网络安全问题已成为人们关注的焦点,各种网络安全方案及安全产品应运而生。入侵检测系统作为安全的最后一道屏障,能提供强大的主动策略和解决方案,成为既能防止内部入侵又能防止外部入侵、保护用户数据的主要手段和发展趋势。入侵检测的研究最早可以追溯到James P•Anderson在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,报告中第一次详细阐述了入侵检测的概念。
入侵检测(IntrusionDetection)是对入侵行为的检测或发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测作为防火墙的合理补充,在不影响网络性能的情况下能对网络进行监听,提供对内部攻击、外部攻击和误操作的实时保护,从而扩展了系统管理员的安全管理能力,大大提高了网络的安全性。
2 入侵检测系统概念
入侵检测系统(IntrusionDetection System,IDS)是进行入侵检测的软件与硬件的组合。它是一种网络安全系统,当恶意用户试图通过Internet进入网络或者计算机系统时,它能够检测出来并进行报警,通知网络该采取措施进行响应。在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),也无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。与其他安全产品不同,入侵检测系统需要更多的智能,它必须能够将收集到的数据进行分析,并得出有价值的结果。在实际的部署中,入侵检测系统是并联在网络中,通过旁路监听的方式实时地监视网络中的流量,对网络的运行和性能无任何影响,同时判断其中是否有攻击的企图。一个合格的入侵检测系统能大大地简化管理员的工作,保证网络安全的运行。入侵检测/响应流程图如图1所示。
图1 入侵检测/响应流程图
3 入侵检测系统的分类
3.1 依照信息来源收集方式分类
入侵检测系统依照信息来源收集方式的不同,可分为主机型(Host-Based IDS)和网络型(Network-BasedIDS)两种;另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD),其分类架构图如图2所示;
图2 入侵检测系统分类架构图
(1)主机型入侵检测系统
主机型入侵检测系统是早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。
(2)网络型入侵检测系统
网络型入侵检测系统是通过分析主机之间网线上传输的信息来工作的,它通常利用一个工作在“混杂模式”下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。
(3)“混和”型入侵检测系统
上文提到主机型和网络型的入侵检测系统都有各自的优缺点,而将这两种系统进行有机结合的入侵检测系统,不妨称之为“混和”型入侵检测系统。许多机构的网络安全解决方案都采用了“混和”型入侵检测系统,因为它能够大幅度提升网络和系统面对攻击和错误使用时的抵抗力,使得安全实施更加有效。
3.2 依照入侵检测方法分类
(1)异常检测
异常检测是指根据用户的行为或资源使用状况的正常程度来判断是否属于入侵。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,便认为该活动可能是“入侵”行为。
对于异常检测的理论研究而言,目前主要采用了专家系统、量化分析、统计分析和基于规则的检测等处理手段,如标准偏差模型、马尔可夫过程模型、Haystack系统、Wisdom and Sense系统等。
(2)误用检测
误用检测根据已知的攻击方法,预先定义入侵模式,通过判断这些模式是否出现来完成检测任务。这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它能够将已有的入侵方法检查出来,但对新的入侵方法却无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
对于误用检测而言,目前主要有简单模式匹配、专家系统、状态转移法等处理方法,如Snort、P-BEST专家系统、STAT系统及IDIOT系统等。
由上可知,误用检测和异常检测都具有各自的优缺点,因此,实用的系统通常同时采用以上两种技术,同时兼顾其优点,以降低漏检率和误检率。
4 入侵检测系统采用的技术手段
通常入侵检测系统采用以下三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中模式匹配和统计分析用于实时的入侵检测,而完整性分析则用于事后分析。
1/2 1 2 下一页 尾页 |