论文导读:入侵检测技术(IDS)是近年来出现的新型网络安全技术,它是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动,它的应用扩展了系统管理员的安全管理能力,帮助计算机系统抵御攻击。但是目前,入侵检测技术主要停留在异常检测和误用检测上,这两种方法都还不完善,存在着这样那样的缺陷。随着网络信息技术的发展,入侵检测技术也在不断地发展,已经出现了很多新的方向,如宽带高速网络的实时入侵检测技术、大规模分布式入侵检测技术等。
关键词:计算机网络,入侵,检测技术,方向
随着网络的技术的不断发展,互联网的开放性也得到了长足的发展,这为网络信息的共享和交互使用提供了很大方便,但同时也对信息的安全性提出了严峻的挑战。近年来,随着网络的普及与应用领域的逐渐扩展,网络安全与信息安全问题日渐突出。在网络安全的实践中,建立一个完全安全的系统是不现实的。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
入侵检测技术(IDS)是近年来出现的新型网络安全技术,它是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动,它的应用扩展了系统管理员的安全管理能力,帮助计算机系统抵御攻击。因而,研究入侵检测方法和技术,根据这些方法和技术建立相应的入侵检测系统对保证网络安全是非常必要的。
一、入侵检测系统的分类
1.按照检测类型划分
(1)异常检测类型:检测与可接受行为之间的偏差,如果可以定义每项可接受的行为就应该是入侵。首先总结正常操作应该具备的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
(2)误用检测类型:检测与已知的不可接受行为之间的匹配程度,如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起警告。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
2.按照检测对象划分
(1)基于主机:系统分析的数据是计算机操作系统的时间日志、应用程序的时间日志、系统调用、端口调用和安全审计记录。主机入侵检测系统保护的一般是所在的主机系统。是代理来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台通信。
(2)基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器组成,传感器是一台将以太网置于混杂模式的计算机,用于嗅探网络上的数据包。科技论文。
(3)混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统,既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
3.按照工作方式分类
(1)离线检测:这是一种非实时工作的系统,在时间发生后分析审计时间,从中检查入侵事件。这类系统的成本低,可以分析大量事件,调查长期的情况,有利于其它方法提供及时的保护。而且,很多侵入在完成之后都将审计事件删除,使其无法审计。
(2)在线检测:对网络数据包或主机的审计事件进行实时分析,可以快速反映,保护系统的安全;但在系统规模比较大时,难以保证实时性。
二、入侵检测系统存在的主要问题
1.误报
误报是指被入侵检测系统测出但其实是正常及合法使用受保护网络和计算机的警报。假警报不但令人讨厌,并且降低入侵检测系统的效率。攻击者可以而且往往是利用包结构伪造无威胁的,“正常”假警报,以诱使收受人把入侵检测系统关掉。
没有一个入侵检测无敌于误报,应用系统总会发生错误,原因是:缺乏共享信息的标准机制和集中协调的机制,不同的网络及主机有小同的安全问题,不同的入侵检测系统有各自的功能;缺乏揣摩数据在一段时间内行为的能力;缺乏有效跟踪分析等。
2.精巧及有组织的攻击
攻击可以来自四面八方,特别是一群人组织策划且攻击者技术高超的攻击,攻击者花费很多时间准备,并发动全球性攻击,要找出这样复杂的攻击是一件难事。
3.入侵检测系统的互动性能不高
在大型网络中,网络的不同部分可能使用了多种入侵检测系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息,共同协作来发现攻击、做出相应并阻止攻击是关系整个系统安全性的重要因素。
三、入侵检测系统发展的主要趋势
目前除了完善常规的、传统的技术(模式识别和完整性检测)外,入侵检测系统应重点加强与统计分析相关技术的研究。许多学者在研究新的检测办法,如采用自动代理的主动防御办法,将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为以下几个方面:
1.入侵检测系统的标准化
就目前而言,入侵检测系统还缺乏相应的标准,不同的入侵检测系统之间的数据交换和信息通信几乎不可能。目前,DARPA和IETF的入侵检测工作组试图对入侵检测系统进行标准化工作,分别制定了CIDF和IDMEF标准,从体系结构、通信机制、消息格式等各方面对入侵检测系统规范化,但进展非常缓慢,尚没有被广泛接受的标准出台。因而,具有标准化接口的入侵检测系统将是下一代入侵检测系统的特征。
2.分布式入侵检测
分布式入侵检测的第一层含义是针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来实现分布式的攻击,其中的关键技术为信息的协同处理与入侵攻击的全局信息的提取。
3.应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的入侵检测系统仅能检测Web之类的通用协议,不能处理如Lotus Notes数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。科技论文。
4.智能入侵检测
目前,入侵方法越来越多样化与综合化,尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域,但这些只是一些尝试性的研究工作,需要对智能化的入侵检测系统进一步研究,以解决其自学习与自适应能力。
5.建立入侵检测系统评价体系
设计通用的入侵检测测试、评估办法和平台,实现对多种入侵检测系统的检测,已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行,评价指标有:能否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。
6.综合性检测系统
单一的技术很难构筑一道强有力的安全防线,这就需要和其他安全技术共同组成更完备的安全的保障系统,如结合防火墙、PKIX、安全电子交易SET等新的网络安全与电子商务技术,提供完整的网络安全保障体系。科技论文。
四、结语
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。但是目前,入侵检测技术主要停留在异常检测和误用检测上,这两种方法都还不完善,存在着这样那样的缺陷。网络入侵技术不断发展,入侵行为表现出不确定性、复杂性、多样性等特点;网络应用的发展带来了新的问题,如高速网络其流量大,基于网络的检测系统如何适应这种情况?基于主机审计数据这怎样做到既减小数据量,又能有效地检测到入侵行为?入侵检测技术己经成为当前网络技术领域内的一个研究热点,在未来的发展过程中,将越来越多地与其他科学和技术进行交融汇合,如数据融合、人工智能以及网络管理等等。随着网络信息技术的发展,入侵检测技术也在不断地发展,已经出现了很多新的方向,如宽带高速网络的实时入侵检测技术、大规模分布式入侵检测技术等。
参考文献:
[1]戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社.2002.
[2]孙知信,徐红霞.模糊技术在入侵检测系统中的应用研究综述[J].南京邮电大学学报.2006,(2).
[3]裴庆祺.模糊入侵检测技术研究[M].西安:西安电子科技大学.2004.
[4]唐正军.入侵检测技术导轮[M].北京:机械工业出版社,2004.
|
