網(wǎng)絡(luò)安全技術(shù)之入侵檢測.docx

河南理工大學(xué)計算機網(wǎng)絡(luò)安全課程論文 題 目 入侵檢測技術(shù) 學(xué)生姓名 學(xué) 號 院 系 專業(yè)班級 聯(lián)系電話 年 月 日論現(xiàn)代信息技術(shù)在網(wǎng)絡(luò)信息安全里的應(yīng)用之入侵檢測技術(shù)摘要：本文主要講解的是在網(wǎng)絡(luò)信息安全里的應(yīng)用入侵檢測技術(shù)。通過介紹入侵檢測的概念、系統(tǒng)結(jié)構(gòu)、系統(tǒng)的分類以及入侵檢測的方法等幾個方面系統(tǒng)的透徹的介紹入侵檢測技術(shù)。關(guān)鍵詞：網(wǎng)絡(luò)信息安全 入侵檢測 系統(tǒng)分類 檢測方法1入侵檢測系統(tǒng)概述11基本概念入侵是指任何對系統(tǒng)資源的非授權(quán)使用行為，它對資源的完整性、保密性和可用性造成破壞，可使用戶在計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中失去信任，使系統(tǒng)拒絕對合法用戶服務(wù)等。入侵者可以是一個手工發(fā)出命令的人，也可是一個基于入侵腳本或程序的自動發(fā)布命令的計算機。Anderson把入侵者分為兩類：外部入侵者(一般指來自系統(tǒng)外部的非法用戶)和內(nèi)部入侵者(是指那些擁有一定的訪問系統(tǒng)資源權(quán)限，但是企圖獲取更多的權(quán)利執(zhí)行非授權(quán)操作的內(nèi)部用戶)。入侵檢測就是要識別計算機系統(tǒng)或網(wǎng)絡(luò)上企圖或正在進(jìn)行的入侵活動。而入侵檢測系統(tǒng)就是完成入侵檢測任務(wù)的系統(tǒng)。它是一種增強系統(tǒng)安全的有效方法。入侵檢測對系統(tǒng)中用戶或系統(tǒng)行為的可疑程度進(jìn)行評估，并據(jù)此來鑒別系統(tǒng)中的當(dāng)前行為是否正常，從而幫助系統(tǒng)管理員進(jìn)行安全管理，并對系統(tǒng)所受到的攻擊采取相應(yīng)的對策。評判一個入侵檢測系統(tǒng)的好壞，主要用兩個參數(shù)：虛警率和漏警率。虛警率是指將不是入侵的行為錯檢測為入侵行為的比率；而漏警率則是指將本來是入侵的行為判別為正常行為的比率。12入侵檢測的系統(tǒng)結(jié)構(gòu)應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境和不同的系統(tǒng)安全策略，入侵檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)至少包括數(shù)據(jù)提取、入侵分析、響應(yīng)處理三個部分，另外還可以結(jié)合安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能。一般的入侵檢測系統(tǒng)結(jié)構(gòu)如圖所示。相應(yīng)處理入侵分析知識庫數(shù)據(jù)提取數(shù)據(jù)存儲其中數(shù)據(jù)提取模塊在入侵檢測系統(tǒng)中居于基礎(chǔ)地位，負(fù)責(zé)提取反映受保護(hù)系統(tǒng)運行狀態(tài)的運行數(shù)據(jù)，并完成數(shù)據(jù)的過濾及其它預(yù)處理工作，為入侵分析模塊和數(shù)據(jù)存儲模塊提供原始的安全審計數(shù)據(jù)，是入侵檢測系統(tǒng)的數(shù)據(jù)采集器。入侵分析模塊是入侵檢測系統(tǒng)的核心模塊，包括對原始數(shù)據(jù)的同步、整理、組織、分類、特征提取以及各種類型的細(xì)致分析，提取其中所包含的系統(tǒng)活動特征或模式，用于正常和異常行為的判斷。這種行為的鑒別可以實時進(jìn)行，也可以是事后分析。響應(yīng)處理模塊對系統(tǒng)發(fā)現(xiàn)的入侵者的攻擊行為采取相應(yīng)的措施，響應(yīng)措施主要包括被動響應(yīng)和主動響應(yīng)。2入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)有三種分類方法。第一種是根據(jù)其采用的技術(shù)分類，可以分為：(1)異常檢測異常入侵檢測的假設(shè)是入侵者活動異常于正常主體的活動，根據(jù)這一理念建立主體正?；顒拥摹疤卣鬏喞?，將當(dāng)前主體的活動狀況與已建立的主體的“特征輪廓”相比較，當(dāng)違反其統(tǒng)計規(guī)律時，認(rèn)為該活動可能“入侵”行為。異常檢測的難題在于如何建立“特征輪廓”以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。(2)誤用檢測誤用檢測假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。這一方法可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。這一方法的難點在于如何設(shè)計模式能表達(dá)的“入侵”現(xiàn)象而且不會將正常的活動也包含進(jìn)來。由于異常檢測與誤用檢測各有優(yōu)缺點，許多實際入侵檢測系統(tǒng)通常同時采用這兩種方法。第二種分類方法是根據(jù)系統(tǒng)所監(jiān)測的對象是主機還是網(wǎng)絡(luò)來劃分的： (1)基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)通過監(jiān)視與分析主機的審計記錄檢測入侵。這些系統(tǒng)的實現(xiàn)不全在目標(biāo)主機上，有一些采用獨立的外圍處理機，如Haystack，另外下一代入侵檢測專家系統(tǒng)(NDEs)使用網(wǎng)絡(luò)將主機的信息傳送到中央分析單元。但是它們?nèi)渴歉鶕?jù)目標(biāo)系統(tǒng)的審計記錄工作。這些系統(tǒng)的弱點是若不能及時采集到審計數(shù)據(jù)，入侵者會將主機審計子系統(tǒng)作為攻擊目標(biāo)從而避開入侵檢測系統(tǒng)。(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)安全監(jiān)控器(NSM)為代表的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過在共享網(wǎng)段上對通信數(shù)據(jù)的監(jiān)聽采集數(shù)據(jù)，分析可疑現(xiàn)象。與主機系統(tǒng)相比較而言，這類系統(tǒng)對入侵者是透明的，入侵者本身不知道有入侵檢測系統(tǒng)存在。由于這類系統(tǒng)并不需要主機提供對網(wǎng)絡(luò)通信的保護(hù)而無需顧及異構(gòu)主機間的不同架構(gòu)。(3)基于網(wǎng)關(guān)的入侵檢測系統(tǒng)目前的信息基礎(chǔ)設(shè)施依賴于路由器來互聯(lián)，新一代的高速網(wǎng)絡(luò)結(jié)合了路由與高速交換技術(shù)。Internet路由的基礎(chǔ)非常薄弱，對于這些信息基礎(chǔ)設(shè)施的攻擊，特別是拒絕服務(wù)攻擊將會使局部甚至整個信息基礎(chǔ)設(shè)施無法使用，基于網(wǎng)關(guān)的入侵檢測系統(tǒng)就是通過對網(wǎng)關(guān)中相關(guān)信息的提取，從而提供對整個信息基礎(chǔ)設(shè)施的保護(hù)。第三種分類是根據(jù)系統(tǒng)的工作方式分為離線檢測系統(tǒng)與在線檢測系統(tǒng)：(1)離線檢測系統(tǒng)離線檢測系統(tǒng)是非實時工作的系統(tǒng)，它在事后分析審計事件，從中檢查入侵活動。這一類系統(tǒng)主要有兩個優(yōu)點：首先是通過集中化和自動化節(jié)省成本，解決在組織進(jìn)行檢查和管理審核時遇到的困難；其次該系統(tǒng)可以分析(如趨勢分析)大量歷史事件，適合于調(diào)查過去一段時間內(nèi)發(fā)生的入侵事件。但是離線檢測系統(tǒng)在事后才能發(fā)現(xiàn)安全問題再做出反應(yīng)，對保護(hù)數(shù)據(jù)而言已為時過晚。另外，許多攻擊方法以消除入侵過程的審計記錄為目標(biāo)，從而避開此類入侵檢測系統(tǒng)。(2)在線檢測系統(tǒng)在線檢測系統(tǒng)是實時聯(lián)機的檢測系統(tǒng)，它包含對實時網(wǎng)絡(luò)數(shù)據(jù)包分析，實時主機審計分析，它在入侵行為發(fā)生時，就檢測到網(wǎng)絡(luò)或主機系統(tǒng)的異常數(shù)據(jù)包或?qū)徲嬍录?，從而可以立即做出反?yīng)，采取措施保護(hù)系統(tǒng)安全。在大規(guī)模的網(wǎng)絡(luò)系統(tǒng)中保證檢測的實時性是個難題，此外，還需要避免因錯誤的檢測而影響系統(tǒng)運行。3入侵檢測方法入侵檢測的目的是檢測發(fā)生在網(wǎng)絡(luò)或主機中的入侵攻擊行為。而一個入侵檢測系統(tǒng)能否有效地檢測攻擊行為在很大程度上取決于該系統(tǒng)所采用的入侵檢測模型。最早的入侵檢測模型是由Dorothy Denning在1986年提出的，它描述了怎樣利用審計跟蹤數(shù)據(jù)提高計算機系統(tǒng)的安全性。但使用審計跟蹤數(shù)據(jù)卻存在著缺陷，即冗余信息太多，使得網(wǎng)絡(luò)安全管理員難以進(jìn)行有效的管理，于是新的入侵檢測方法就應(yīng)運而生。現(xiàn)有的入侵檢測系統(tǒng)多采用統(tǒng)計方法、專家系統(tǒng)、模式匹配、狀態(tài)轉(zhuǎn)移等實現(xiàn)系統(tǒng)的檢測引擎，以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結(jié)果。31統(tǒng)計方法基于統(tǒng)計的入侵檢測方法主要用于基于異常的檢測系統(tǒng)中。在基于統(tǒng)計的入侵檢測系統(tǒng)中，假設(shè)正常的網(wǎng)絡(luò)操作存在著一定的統(tǒng)計規(guī)律。如：在一定的時間內(nèi)，發(fā)向一個特定的服務(wù)器的SYN數(shù)據(jù)報應(yīng)小于一定限度；一個用戶的鍵盤鍵入頻率存在著一定的規(guī)律。如果以上測量值超過給定的閥值，即視為可能的入侵行為。統(tǒng)計方法是一種成熟的入侵檢測方法，并使入侵檢測系統(tǒng)能夠?qū)W習(xí)主體的日常行為，將那些與正常活動之間存在較大統(tǒng)計偏差的活動標(biāo)識成為異?；顒?。統(tǒng)計方法也是一種較容易實現(xiàn)的方法，從而得以在產(chǎn)品化的入侵檢測系統(tǒng)中采用。但是，統(tǒng)計方法也有著明顯的缺點：(1)統(tǒng)計方法依賴于大量的審計記錄數(shù)據(jù)，一個純粹的統(tǒng)計入侵檢測系統(tǒng)會忽略那些不會產(chǎn)生或很少產(chǎn)生影響統(tǒng)計規(guī)律記錄的入侵，即使它具有顯著的特征。(2)統(tǒng)計方法中的閾值難以有效地確定，太小的值會使系統(tǒng)將正常的主體活動作為異常入侵來處理，而太大的值則使系統(tǒng)漏掉一些真正的入侵活動。(3)統(tǒng)計方法可以被訓(xùn)練而適應(yīng)入侵模式。當(dāng)入侵者知道它的活動被監(jiān)視時，他可以研究統(tǒng)計入侵檢測系統(tǒng)的統(tǒng)計方法，并在該系統(tǒng)能夠接受的范圍內(nèi)產(chǎn)生審計事件，逐步訓(xùn)練入侵檢測系統(tǒng)，從而其相應(yīng)的特征輪廓偏離正常范圍，最終將入侵事件作為正常事件對待。(4)應(yīng)用系統(tǒng)越來越復(fù)雜，許多主體活動很難用統(tǒng)計模型來刻畫。復(fù)雜系統(tǒng)中的主體行為可能是非線性的，簡單的統(tǒng)計模型不能表達(dá)這樣的主體活動特征，而復(fù)雜的統(tǒng)計模型在其計算量上不能滿足實時的檢測要求，而建模的有效性與可適應(yīng)性也值得探討與評估。32預(yù)測模式生成預(yù)測模式生成(Predicative Pattern Generation)也是一種用于異常檢測的方法，它基于審計事件的序列不是隨機的而是符合可識別模式的假設(shè)。與純粹的統(tǒng)計方法相比，它增加了對事件順序與相互關(guān)系的分析，從而能檢測出統(tǒng)計方法所不能檢測的異常事件。預(yù)測模式生成的優(yōu)勢在于：(1)能夠處理行為多變但是符合一定次序模式特征的主體；(2)由于其規(guī)則中包含了語法信息，從而能夠避免入侵者對系統(tǒng)的訓(xùn)練；(3)系統(tǒng)適應(yīng)性好，規(guī)則能夠通過刪除差的規(guī)則、保留好的規(guī)則而進(jìn)行不斷演化；(4)檢測效率高，由于僅需要處理相關(guān)的審計事件，計算量少，系統(tǒng)反應(yīng)快。預(yù)測模式生成的最大缺點在于：當(dāng)入侵過程產(chǎn)生的事件序列不符合規(guī)則左邊的模式定義時，該時間序列將被標(biāo)識成不認(rèn)識的時間序列，從而無法檢測入侵。33專家系統(tǒng)與運用統(tǒng)計方法與預(yù)測模式生成對入侵進(jìn)行檢測的方法不同，用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對有特征的入侵行為。專家系統(tǒng)將入侵特征轉(zhuǎn)化為一系列的規(guī)則。所有的網(wǎng)絡(luò)活動都可以與專家系統(tǒng)規(guī)則庫中的規(guī)則進(jìn)行匹配，發(fā)現(xiàn)是否存在入侵。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵特征的提取與表達(dá)，是入侵檢測專家系統(tǒng)的關(guān)鍵。根據(jù)有關(guān)文獻(xiàn)，可以將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu))，條件部分為入侵特征，then部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性，建立一個完備的知識庫對于一個大型網(wǎng)絡(luò)系統(tǒng)往往是不可能的，且如何根據(jù)審計記錄中的事件，提取狀態(tài)行為與語言環(huán)境也是較困難的。由于專家系統(tǒng)的不可移植性與規(guī)則的不完備性，現(xiàn)已不宜單獨用于入侵檢測，或單獨形成商品軟件。較適用的方法是將專家系統(tǒng)與采用軟計算方法技術(shù)的入侵檢測系統(tǒng)相結(jié)合在一起，構(gòu)成一個以已知的入侵規(guī)則為基礎(chǔ)，可擴展的動態(tài)入侵事件檢測系統(tǒng)，自適應(yīng)地進(jìn)行特征與異常檢測，實現(xiàn)高效的入侵檢測及其防御。34擊鍵監(jiān)視器擊鍵監(jiān)視器是一種簡單的入侵檢測方法，它通過對用戶擊鍵序列模式的分析檢測入侵行為，它可用于主機的入侵檢測。這一方法不分析系統(tǒng)運行的程序狀態(tài)，僅檢測擊鍵過程。它的缺點非常明顯，首先，批處理或Shell程序可以不通過擊鍵而直接調(diào)用一系列系統(tǒng)攻擊命令序列，除非額外分析這些命令的語法與語義，否則無法對其檢測；其次，操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測接口，需通過額外的鉤子函數(shù)(HOOK)來檢測擊鍵。35狀態(tài)轉(zhuǎn)移分析在狀態(tài)轉(zhuǎn)移分析中，入侵檢測被表示成為目標(biāo)系統(tǒng)的狀態(tài)轉(zhuǎn)換圖。當(dāng)分析審計事件時，著根據(jù)對應(yīng)的條件布爾表達(dá)式，系統(tǒng)從安全狀態(tài)轉(zhuǎn)移到不安全的狀態(tài)，則該事件標(biāo)記為入侵事件。其中對應(yīng)的條件布爾表達(dá)式能夠表示已知的入侵特征。狀態(tài)轉(zhuǎn)移分析的優(yōu)點在于：(1)可以刪除在狀態(tài)模型之外不必要的審計事件分枝；(2)它能夠檢測協(xié)同攻擊；(3)它能夠檢測分布在多個會話過程中的攻擊；(4)它能在一定程度上預(yù)測下一步可能的攻擊方法。但是，狀態(tài)轉(zhuǎn)換分析也存在一些問題。首先，它能夠檢測的入侵模式局限于指定的連續(xù)事件，而不能檢測更多的形式其次，沒有能夠減少狀態(tài)圖搜索空間的通用剪枝方法：再則，這一方法無法檢測如拒絕服務(wù)、失敗登錄、正常功能的非法使用等無法由審計事件直接反應(yīng)或不能表示成為狀態(tài)轉(zhuǎn)換圖的入侵方法。36模式匹配基于模式匹配的入侵檢測方法將已知的入侵特征編碼成為與審計記錄相符合的模式。與狀態(tài)轉(zhuǎn)移分析相類似，當(dāng)新的審計事件產(chǎn)生時，這一方法將尋找與它相匹配的已知入侵模式。與狀態(tài)轉(zhuǎn)移分祈不同之處在于用作限制條件的布爾表達(dá)式與狀態(tài)相關(guān)聯(lián)而不是與轉(zhuǎn)換相關(guān)聯(lián)。該方法主要優(yōu)點有：(1)只需指明與何種模式匹配，而無需設(shè)計如何匹配；(2)多個事件流可以獨立分析，無需合并，從而可以并行處理審計時間：(3)可移植性，用與系統(tǒng)無關(guān)的腳本描述入侵特征，易于在不同的操作系統(tǒng)與審計事件格式之間移植：(4)實時性好，其分析計算方法簡單，對檢測系統(tǒng)的計算資源消耗少；(5)由于其限制條件與狀態(tài)相關(guān)，從而可以檢測出單狀態(tài)的入侵事件。與其它特征檢測方法一樣，該方法只能檢測已知的入侵手段，在完善的管理制度下，對于己知的入侵手段可直接通過常規(guī)的方法防范；而且，該方法容錯性差，模式設(shè)計困難；這一方法不能檢測通過線路竊聽而后進(jìn)行的入侵，也不能阻擋如地址欺騙之類的攻擊。4總結(jié)通過此次對網(wǎng)絡(luò)入侵檢測技術(shù)的學(xué)習(xí)總結(jié)，我不僅了解到了關(guān)于網(wǎng)絡(luò)安全中的入侵檢測的基本內(nèi)容，其中包括入侵檢測系統(tǒng)的系統(tǒng)結(jié)構(gòu)，系統(tǒng)分類，入侵檢測的幾種常用方法。還了解到了許多相關(guān)方面的知識，比如說將數(shù)據(jù)挖掘技術(shù)用在傳統(tǒng)的入侵檢測系統(tǒng)，通過該技術(shù)對整個系統(tǒng)中海量的安全審計數(shù)據(jù)進(jìn)行有效的處理，從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息，抽象出利于進(jìn)行判斷和比較的特征模型。這樣就能夠較好的解決傳統(tǒng)入侵檢測系統(tǒng)的不足之處，從而能夠大大的提高入侵檢測的效率和可靠性。最重要的是，我意識到入侵檢測技術(shù)僅僅只是信息安全的一個小分支而已，知識的海洋是浩瀚無垠的，我們只有將有限的精力集中在某一點處深入學(xué)習(xí)研究，才能出成果。同時也要注意多與實踐相結(jié)合，真正好的理論就是能用在實踐中去的。在今后的學(xué)習(xí)生活當(dāng)中我會