網(wǎng)絡(luò)安全技術(shù)之入侵檢測.docx

河南理工大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)安全課程論文 題 目 入侵檢測技術(shù) 學(xué)生姓名 學(xué) 號(hào) 院 系 專業(yè)班級(jí) 聯(lián)系電話 年 月 日論現(xiàn)代信息技術(shù)在網(wǎng)絡(luò)信息安全里的應(yīng)用之入侵檢測技術(shù)摘要：本文主要講解的是在網(wǎng)絡(luò)信息安全里的應(yīng)用入侵檢測技術(shù)。通過介紹入侵檢測的概念、系統(tǒng)結(jié)構(gòu)、系統(tǒng)的分類以及入侵檢測的方法等幾個(gè)方面系統(tǒng)的透徹的介紹入侵檢測技術(shù)。關(guān)鍵詞：網(wǎng)絡(luò)信息安全 入侵檢測 系統(tǒng)分類 檢測方法1入侵檢測系統(tǒng)概述11基本概念入侵是指任何對(duì)系統(tǒng)資源的非授權(quán)使用行為，它對(duì)資源的完整性、保密性和可用性造成破壞，可使用戶在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中失去信任，使系統(tǒng)拒絕對(duì)合法用戶服務(wù)等。入侵者可以是一個(gè)手工發(fā)出命令的人，也可是一個(gè)基于入侵腳本或程序的自動(dòng)發(fā)布命令的計(jì)算機(jī)。Anderson把入侵者分為兩類：外部入侵者(一般指來自系統(tǒng)外部的非法用戶)和內(nèi)部入侵者(是指那些擁有一定的訪問系統(tǒng)資源權(quán)限，但是企圖獲取更多的權(quán)利執(zhí)行非授權(quán)操作的內(nèi)部用戶)。入侵檢測就是要識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上企圖或正在進(jìn)行的入侵活動(dòng)。而入侵檢測系統(tǒng)就是完成入侵檢測任務(wù)的系統(tǒng)。它是一種增強(qiáng)系統(tǒng)安全的有效方法。入侵檢測對(duì)系統(tǒng)中用戶或系統(tǒng)行為的可疑程度進(jìn)行評(píng)估，并據(jù)此來鑒別系統(tǒng)中的當(dāng)前行為是否正常，從而幫助系統(tǒng)管理員進(jìn)行安全管理，并對(duì)系統(tǒng)所受到的攻擊采取相應(yīng)的對(duì)策。評(píng)判一個(gè)入侵檢測系統(tǒng)的好壞，主要用兩個(gè)參數(shù)：虛警率和漏警率。虛警率是指將不是入侵的行為錯(cuò)檢測為入侵行為的比率；而漏警率則是指將本來是入侵的行為判別為正常行為的比率。12入侵檢測的系統(tǒng)結(jié)構(gòu)應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境和不同的系統(tǒng)安全策略，入侵檢測系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)至少包括數(shù)據(jù)提取、入侵分析、響應(yīng)處理三個(gè)部分，另外還可以結(jié)合安全知識(shí)庫、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能。一般的入侵檢測系統(tǒng)結(jié)構(gòu)如圖所示。相應(yīng)處理入侵分析知識(shí)庫數(shù)據(jù)提取數(shù)據(jù)存儲(chǔ)其中數(shù)據(jù)提取模塊在入侵檢測系統(tǒng)中居于基礎(chǔ)地位，負(fù)責(zé)提取反映受保護(hù)系統(tǒng)運(yùn)行狀態(tài)的運(yùn)行數(shù)據(jù)，并完成數(shù)據(jù)的過濾及其它預(yù)處理工作，為入侵分析模塊和數(shù)據(jù)存儲(chǔ)模塊提供原始的安全審計(jì)數(shù)據(jù)，是入侵檢測系統(tǒng)的數(shù)據(jù)采集器。入侵分析模塊是入侵檢測系統(tǒng)的核心模塊，包括對(duì)原始數(shù)據(jù)的同步、整理、組織、分類、特征提取以及各種類型的細(xì)致分析，提取其中所包含的系統(tǒng)活動(dòng)特征或模式，用于正常和異常行為的判斷。這種行為的鑒別可以實(shí)時(shí)進(jìn)行，也可以是事后分析。響應(yīng)處理模塊對(duì)系統(tǒng)發(fā)現(xiàn)的入侵者的攻擊行為采取相應(yīng)的措施，響應(yīng)措施主要包括被動(dòng)響應(yīng)和主動(dòng)響應(yīng)。2入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)有三種分類方法。第一種是根據(jù)其采用的技術(shù)分類，可以分為：(1)異常檢測異常入侵檢測的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)，根據(jù)這一理念建立主體正?；顒?dòng)的“特征輪廓”，將當(dāng)前主體的活動(dòng)狀況與已建立的主體的“特征輪廓”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能“入侵”行為。異常檢測的難題在于如何建立“特征輪廓”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。(2)誤用檢測誤用檢測假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動(dòng)是否符合這些模式。這一方法可以將已有的入侵方法檢查出來，但對(duì)新的入侵方法無能為力。這一方法的難點(diǎn)在于如何設(shè)計(jì)模式能表達(dá)的“入侵”現(xiàn)象而且不會(huì)將正常的活動(dòng)也包含進(jìn)來。由于異常檢測與誤用檢測各有優(yōu)缺點(diǎn)，許多實(shí)際入侵檢測系統(tǒng)通常同時(shí)采用這兩種方法。第二種分類方法是根據(jù)系統(tǒng)所監(jiān)測的對(duì)象是主機(jī)還是網(wǎng)絡(luò)來劃分的： (1)基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)通過監(jiān)視與分析主機(jī)的審計(jì)記錄檢測入侵。這些系統(tǒng)的實(shí)現(xiàn)不全在目標(biāo)主機(jī)上，有一些采用獨(dú)立的外圍處理機(jī)，如Haystack，另外下一代入侵檢測專家系統(tǒng)(NDEs)使用網(wǎng)絡(luò)將主機(jī)的信息傳送到中央分析單元。但是它們?nèi)渴歉鶕?jù)目標(biāo)系統(tǒng)的審計(jì)記錄工作。這些系統(tǒng)的弱點(diǎn)是若不能及時(shí)采集到審計(jì)數(shù)據(jù)，入侵者會(huì)將主機(jī)審計(jì)子系統(tǒng)作為攻擊目標(biāo)從而避開入侵檢測系統(tǒng)。(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)安全監(jiān)控器(NSM)為代表的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過在共享網(wǎng)段上對(duì)通信數(shù)據(jù)的監(jiān)聽采集數(shù)據(jù)，分析可疑現(xiàn)象。與主機(jī)系統(tǒng)相比較而言，這類系統(tǒng)對(duì)入侵者是透明的，入侵者本身不知道有入侵檢測系統(tǒng)存在。由于這類系統(tǒng)并不需要主機(jī)提供對(duì)網(wǎng)絡(luò)通信的保護(hù)而無需顧及異構(gòu)主機(jī)間的不同架構(gòu)。(3)基于網(wǎng)關(guān)的入侵檢測系統(tǒng)目前的信息基礎(chǔ)設(shè)施依賴于路由器來互聯(lián)，新一代的高速網(wǎng)絡(luò)結(jié)合了路由與高速交換技術(shù)。Internet路由的基礎(chǔ)非常薄弱，對(duì)于這些信息基礎(chǔ)設(shè)施的攻擊，特別是拒絕服務(wù)攻擊將會(huì)使局部甚至整個(gè)信息基礎(chǔ)設(shè)施無法使用，基于網(wǎng)關(guān)的入侵檢測系統(tǒng)就是通過對(duì)網(wǎng)關(guān)中相關(guān)信息的提取，從而提供對(duì)整個(gè)信息基礎(chǔ)設(shè)施的保護(hù)。第三種分類是根據(jù)系統(tǒng)的工作方式分為離線檢測系統(tǒng)與在線檢測系統(tǒng)：(1)離線檢測系統(tǒng)離線檢測系統(tǒng)是非實(shí)時(shí)工作的系統(tǒng)，它在事后分析審計(jì)事件，從中檢查入侵活動(dòng)。這一類系統(tǒng)主要有兩個(gè)優(yōu)點(diǎn)：首先是通過集中化和自動(dòng)化節(jié)省成本，解決在組織進(jìn)行檢查和管理審核時(shí)遇到的困難；其次該系統(tǒng)可以分析(如趨勢(shì)分析)大量歷史事件，適合于調(diào)查過去一段時(shí)間內(nèi)發(fā)生的入侵事件。但是離線檢測系統(tǒng)在事后才能發(fā)現(xiàn)安全問題再做出反應(yīng)，對(duì)保護(hù)數(shù)據(jù)而言已為時(shí)過晚。另外，許多攻擊方法以消除入侵過程的審計(jì)記錄為目標(biāo)，從而避開此類入侵檢測系統(tǒng)。(2)在線檢測系統(tǒng)在線檢測系統(tǒng)是實(shí)時(shí)聯(lián)機(jī)的檢測系統(tǒng)，它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，實(shí)時(shí)主機(jī)審計(jì)分析，它在入侵行為發(fā)生時(shí)，就檢測到網(wǎng)絡(luò)或主機(jī)系統(tǒng)的異常數(shù)據(jù)包或?qū)徲?jì)事件，從而可以立即做出反應(yīng)，采取措施保護(hù)系統(tǒng)安全。在大規(guī)模的網(wǎng)絡(luò)系統(tǒng)中保證檢測的實(shí)時(shí)性是個(gè)難題，此外，還需要避免因錯(cuò)誤的檢測而影響系統(tǒng)運(yùn)行。3入侵檢測方法入侵檢測的目的是檢測發(fā)生在網(wǎng)絡(luò)或主機(jī)中的入侵攻擊行為。而一個(gè)入侵檢測系統(tǒng)能否有效地檢測攻擊行為在很大程度上取決于該系統(tǒng)所采用的入侵檢測模型。最早的入侵檢測模型是由Dorothy Denning在1986年提出的，它描述了怎樣利用審計(jì)跟蹤數(shù)據(jù)提高計(jì)算機(jī)系統(tǒng)的安全性。但使用審計(jì)跟蹤數(shù)據(jù)卻存在著缺陷，即冗余信息太多，使得網(wǎng)絡(luò)安全管理員難以進(jìn)行有效的管理，于是新的入侵檢測方法就應(yīng)運(yùn)而生?，F(xiàn)有的入侵檢測系統(tǒng)多采用統(tǒng)計(jì)方法、專家系統(tǒng)、模式匹配、狀態(tài)轉(zhuǎn)移等實(shí)現(xiàn)系統(tǒng)的檢測引擎，以分析事件的審計(jì)記錄、識(shí)別特定的模式、生成檢測報(bào)告和最終的分析結(jié)果。31統(tǒng)計(jì)方法基于統(tǒng)計(jì)的入侵檢測方法主要用于基于異常的檢測系統(tǒng)中。在基于統(tǒng)計(jì)的入侵檢測系統(tǒng)中，假設(shè)正常的網(wǎng)絡(luò)操作存在著一定的統(tǒng)計(jì)規(guī)律。如：在一定的時(shí)間內(nèi)，發(fā)向一個(gè)特定的服務(wù)器的SYN數(shù)據(jù)報(bào)應(yīng)小于一定限度；一個(gè)用戶的鍵盤鍵入頻率存在著一定的規(guī)律。如果以上測量值超過給定的閥值，即視為可能的入侵行為。統(tǒng)計(jì)方法是一種成熟的入侵檢測方法，并使入侵檢測系統(tǒng)能夠?qū)W習(xí)主體的日常行為，將那些與正?；顒?dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)標(biāo)識(shí)成為異常活動(dòng)。統(tǒng)計(jì)方法也是一種較容易實(shí)現(xiàn)的方法，從而得以在產(chǎn)品化的入侵檢測系統(tǒng)中采用。但是，統(tǒng)計(jì)方法也有著明顯的缺點(diǎn)：(1)統(tǒng)計(jì)方法依賴于大量的審計(jì)記錄數(shù)據(jù)，一個(gè)純粹的統(tǒng)計(jì)入侵檢測系統(tǒng)會(huì)忽略那些不會(huì)產(chǎn)生或很少產(chǎn)生影響統(tǒng)計(jì)規(guī)律記錄的入侵，即使它具有顯著的特征。(2)統(tǒng)計(jì)方法中的閾值難以有效地確定，太小的值會(huì)使系統(tǒng)將正常的主體活動(dòng)作為異常入侵來處理，而太大的值則使系統(tǒng)漏掉一些真正的入侵活動(dòng)。(3)統(tǒng)計(jì)方法可以被訓(xùn)練而適應(yīng)入侵模式。當(dāng)入侵者知道它的活動(dòng)被監(jiān)視時(shí)，他可以研究統(tǒng)計(jì)入侵檢測系統(tǒng)的統(tǒng)計(jì)方法，并在該系統(tǒng)能夠接受的范圍內(nèi)產(chǎn)生審計(jì)事件，逐步訓(xùn)練入侵檢測系統(tǒng)，從而其相應(yīng)的特征輪廓偏離正常范圍，最終將入侵事件作為正常事件對(duì)待。(4)應(yīng)用系統(tǒng)越來越復(fù)雜，許多主體活動(dòng)很難用統(tǒng)計(jì)模型來刻畫。復(fù)雜系統(tǒng)中的主體行為可能是非線性的，簡單的統(tǒng)計(jì)模型不能表達(dá)這樣的主體活動(dòng)特征，而復(fù)雜的統(tǒng)計(jì)模型在其計(jì)算量上不能滿足實(shí)時(shí)的檢測要求，而建模的有效性與可適應(yīng)性也值得探討與評(píng)估。32預(yù)測模式生成預(yù)測模式生成(Predicative Pattern Generation)也是一種用于異常檢測的方法，它基于審計(jì)事件的序列不是隨機(jī)的而是符合可識(shí)別模式的假設(shè)。與純粹的統(tǒng)計(jì)方法相比，它增加了對(duì)事件順序與相互關(guān)系的分析，從而能檢測出統(tǒng)計(jì)方法所不能檢測的異常事件。預(yù)測模式生成的優(yōu)勢(shì)在于：(1)能夠處理行為多變但是符合一定次序模式特征的主體；(2)由于其規(guī)則中包含了語法信息，從而能夠避免入侵者對(duì)系統(tǒng)的訓(xùn)練；(3)系統(tǒng)適應(yīng)性好，規(guī)則能夠通過刪除差的規(guī)則、保留好的規(guī)則而進(jìn)行不斷演化；(4)檢測效率高，由于僅需要處理相關(guān)的審計(jì)事件，計(jì)算量少，系統(tǒng)反應(yīng)快。預(yù)測模式生成的最大缺點(diǎn)在于：當(dāng)入侵過程產(chǎn)生的事件序列不符合規(guī)則左邊的模式定義時(shí)，該時(shí)間序列將被標(biāo)識(shí)成不認(rèn)識(shí)的時(shí)間序列，從而無法檢測入侵。33專家系統(tǒng)與運(yùn)用統(tǒng)計(jì)方法與預(yù)測模式生成對(duì)入侵進(jìn)行檢測的方法不同，用專家系統(tǒng)對(duì)入侵進(jìn)行檢測，經(jīng)常是針對(duì)有特征的入侵行為。專家系統(tǒng)將入侵特征轉(zhuǎn)化為一系列的規(guī)則。所有的網(wǎng)絡(luò)活動(dòng)都可以與專家系統(tǒng)規(guī)則庫中的規(guī)則進(jìn)行匹配，發(fā)現(xiàn)是否存在入侵。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識(shí)庫的完備性，知識(shí)庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵特征的提取與表達(dá)，是入侵檢測專家系統(tǒng)的關(guān)鍵。根據(jù)有關(guān)文獻(xiàn)，可以將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu))，條件部分為入侵特征，then部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫的完備性，建立一個(gè)完備的知識(shí)庫對(duì)于一個(gè)大型網(wǎng)絡(luò)系統(tǒng)往往是不可能的，且如何根據(jù)審計(jì)記錄中的事件，提取狀態(tài)行為與語言環(huán)境也是較困難的。由于專家系統(tǒng)的不可移植性與規(guī)則的不完備性，現(xiàn)已不宜單獨(dú)用于入侵檢測，或單獨(dú)形成商品軟件。較適用的方法是將專家系統(tǒng)與采用軟計(jì)算方法技術(shù)的入侵檢測系統(tǒng)相結(jié)合在一起，構(gòu)成一個(gè)以已知的入侵規(guī)則為基礎(chǔ)，可擴(kuò)展的動(dòng)態(tài)入侵事件檢測系統(tǒng)，自適應(yīng)地進(jìn)行特征與異常檢測，實(shí)現(xiàn)高效的入侵檢測及其防御。34擊鍵監(jiān)視器擊鍵監(jiān)視器是一種簡單的入侵檢測方法，它通過對(duì)用戶擊鍵序列模式的分析檢測入侵行為，它可用于主機(jī)的入侵檢測。這一方法不分析系統(tǒng)運(yùn)行的程序狀態(tài)，僅檢測擊鍵過程。它的缺點(diǎn)非常明顯，首先，批處理或Shell程序可以不通過擊鍵而直接調(diào)用一系列系統(tǒng)攻擊命令序列，除非額外分析這些命令的語法與語義，否則無法對(duì)其檢測；其次，操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測接口，需通過額外的鉤子函數(shù)(HOOK)來檢測擊鍵。35狀態(tài)轉(zhuǎn)移分析在狀態(tài)轉(zhuǎn)移分析中，入侵檢測被表示成為目標(biāo)系統(tǒng)的狀態(tài)轉(zhuǎn)換圖。當(dāng)分析審計(jì)事件時(shí)，著根據(jù)對(duì)應(yīng)的條件布爾表達(dá)式，系統(tǒng)從安全狀態(tài)轉(zhuǎn)移到不安全的狀態(tài)，則該事件標(biāo)記為入侵事件。其中對(duì)應(yīng)的條件布爾表達(dá)式能夠表示已知的入侵特征。狀態(tài)轉(zhuǎn)移分析的優(yōu)點(diǎn)在于：(1)可以刪除在狀態(tài)模型之外不必要的審計(jì)事件分枝；(2)它能夠檢測協(xié)同攻擊；(3)它能夠檢測分布在多個(gè)會(huì)話過程中的攻擊；(4)它能在一定程度上預(yù)測下一步可能的攻擊方法。但是，狀態(tài)轉(zhuǎn)換分析也存在一些問題。首先，它能夠檢測的入侵模式局限于指定的連續(xù)事件，而不能檢測更多的形式其次，沒有能夠減少狀態(tài)圖搜索空間的通用剪枝方法：再則，這一方法無法檢測如拒絕服務(wù)、失敗登錄、正常功能的非法使用等無法由審計(jì)事件直接反應(yīng)或不能表示成為狀態(tài)轉(zhuǎn)換圖的入侵方法。36模式匹配基于模式匹配的入侵檢測方法將已知的入侵特征編碼成為與審計(jì)記錄相符合的模式。與狀態(tài)轉(zhuǎn)移分析相類似，當(dāng)新的審計(jì)事件產(chǎn)生時(shí)，這一方法將尋找與它相匹配的已知入侵模式。與狀態(tài)轉(zhuǎn)移分祈不同之處在于用作限制條件的布爾表達(dá)式與狀態(tài)相關(guān)聯(lián)而不是與轉(zhuǎn)換相關(guān)聯(lián)。該方法主要優(yōu)點(diǎn)有：(1)只需指明與何種模式匹配，而無需設(shè)計(jì)如何匹配；(2)多個(gè)事件流可以獨(dú)立分析，無需合并，從而可以并行處理審計(jì)時(shí)間：(3)可移植性，用與系統(tǒng)無關(guān)的腳本描述入侵特征，易于在不同的操作系統(tǒng)與審計(jì)事件格式之間移植：(4)實(shí)時(shí)性好，其分析計(jì)算方法簡單，對(duì)檢測系統(tǒng)的計(jì)算資源消耗少；(5)由于其限制條件與狀態(tài)相關(guān)，從而可以檢測出單狀態(tài)的入侵事件。與其它特征檢測方法一樣，該方法只能檢測已知的入侵手段，在完善的管理制度下，對(duì)于己知的入侵手段可直接通過常規(guī)的方法防范；而且，該方法容錯(cuò)性差，模式設(shè)計(jì)困難；這一方法不能檢測通過線路竊聽而后進(jìn)行的入侵，也不能阻擋如地址欺騙之類的攻擊。4總結(jié)通過此次對(duì)網(wǎng)絡(luò)入侵檢測技術(shù)的學(xué)習(xí)總結(jié)，我不僅了解到了關(guān)于網(wǎng)絡(luò)安全中的入侵檢測的基本內(nèi)容，其中包括入侵檢測系統(tǒng)的系統(tǒng)結(jié)構(gòu)，系統(tǒng)分類，入侵檢測的幾種常用方法。還了解到了許多相關(guān)方面的知識(shí)，比如說將數(shù)據(jù)挖掘技術(shù)用在傳統(tǒng)的入侵檢測系統(tǒng)，通過該技術(shù)對(duì)整個(gè)系統(tǒng)中海量的安全審計(jì)數(shù)據(jù)進(jìn)行有效的處理，從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息，抽象出利于進(jìn)行判斷和比較的特征模型。這樣就能夠較好的解決傳統(tǒng)入侵檢測系統(tǒng)的不足之處，從而能夠大大的提高入侵檢測的效率和可靠性。最重要的是，我意識(shí)到入侵檢測技術(shù)僅僅只是信息安全的一個(gè)小分支而已，知識(shí)的海洋是浩瀚無垠的，我們只有將有限的精力集中在某一點(diǎn)處深入學(xué)習(xí)研究，才能出成果。同時(shí)也要注意多與實(shí)踐相結(jié)合，真正好的理論就是能用在實(shí)踐中去的。在今后的學(xué)習(xí)生活當(dāng)中我會(huì)