網(wǎng)絡(luò)入侵檢測方法研究

1、網(wǎng)絡(luò)入侵檢測方法研究摘要介紹網(wǎng)絡(luò)入侵的過程與處理流程,入侵檢測的分類,入侵檢測目標(biāo)與評(píng)估參數(shù),對(duì)于入侵檢測的手段與方法作了回顧,總結(jié)入侵檢測的評(píng)估參數(shù)。最后提出了以后入侵檢測技術(shù)的發(fā)展趨勢(shì) 關(guān)鍵詞入侵檢測 檢測流程 評(píng)估參數(shù) 中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:B文章編號(hào):1671-7597(2008)0420082-01 一、入侵檢測的流程與結(jié)構(gòu) 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)涉及到許多技術(shù)領(lǐng)域,主要包括密碼技術(shù)、防火墻技術(shù)、安全協(xié)議、身份認(rèn)證技術(shù)、訪問控制技術(shù)和安全監(jiān)控技術(shù)等。事實(shí)上,對(duì)于網(wǎng)絡(luò)安全來講,任何技術(shù)都不是獨(dú)立存在的,而是相輔相成,互為補(bǔ)充和利用的。我們從安全防范技術(shù)的機(jī)理上分別加以介紹。 在圖1

2、中給出了一個(gè)通用的入侵檢測系統(tǒng)結(jié)構(gòu)。 數(shù)據(jù)提取模塊的作用在于為系統(tǒng)提供數(shù)據(jù),數(shù)據(jù)的來源可以是主機(jī)上的日志和變動(dòng)信息,也可以是網(wǎng)絡(luò)上的數(shù)據(jù)信息,甚至是流量變化等,這些都可以作為數(shù)據(jù)源。數(shù)據(jù)提取模塊在獲得數(shù)據(jù)之后,需要對(duì)數(shù)據(jù)進(jìn)行簡單的處理,如簡單的過濾、數(shù)據(jù)格式的標(biāo)準(zhǔn)化等,然后將經(jīng)過處理的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。 數(shù)據(jù)分析模塊的作用在于對(duì)數(shù)據(jù)進(jìn)行深入地分析,發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件,傳遞給結(jié)果處理模塊。數(shù)據(jù)分析的方式多種多樣,可以簡單到對(duì)某種行為的計(jì)數(shù)(如一定時(shí)間內(nèi)某個(gè)特定用戶登錄失敗的次數(shù),或者某種特定類型報(bào)文的出現(xiàn)次數(shù)),也可以是一個(gè)復(fù)雜的專家系統(tǒng)。該模塊是一個(gè)入侵檢測系統(tǒng)的核心,在許

3、多文獻(xiàn)和研究報(bào)告中,所說的入侵檢測方法就是指的數(shù)據(jù)分析方法。數(shù)據(jù)分析方法也是本文研究的重點(diǎn)。 結(jié)果處理模塊的作用在于告警與反應(yīng),這實(shí)際上與PZDR模型的R有所重疊。從非技術(shù)角度來說,結(jié)果處理模塊的告警是通知管理員,而R的作用在于產(chǎn)生一個(gè)正式的告警,作為單位個(gè)體正式的安全事件進(jìn)行處理;從技術(shù)角度來說,兩者的功能很難劃分,也可以將結(jié)果處理的反應(yīng)功能歸結(jié)為R的一部分。 二、入侵檢測的分類 根據(jù)入侵檢測系統(tǒng)監(jiān)控對(duì)象及數(shù)據(jù)源的不同可分為:基于網(wǎng)絡(luò)(Network一based)的入侵檢測系統(tǒng)和基于主機(jī)(Host一based)的入侵檢測系統(tǒng);根據(jù)檢測方法的不同可分為兩大類:誤用檢測和異常檢測?；诰W(wǎng)絡(luò)的ID

4、S主要目的是用來保護(hù)某一網(wǎng)段,所基于的數(shù)據(jù)源是從網(wǎng)絡(luò)上采集的數(shù)據(jù)包;而基于主機(jī)的IDS一般用來監(jiān)視主機(jī)信息,其數(shù)據(jù)源通常包括操作系統(tǒng)審計(jì)記錄、系統(tǒng)日志、基于應(yīng)用的審計(jì)信息、基于目標(biāo)的對(duì)象信息等。圖2從不同角度對(duì)入侵檢測系統(tǒng)進(jìn)行分類: 誤用檢測首先使用形式化方法來描述入侵特征(signature,或稱為入侵模式,pattems)并構(gòu)建入侵特征庫,通過模式匹配方式來檢測已知類型攻擊及其變種行為。異常檢測則是使用形式化方法來描述網(wǎng)絡(luò)和用戶的正常行為模式,構(gòu)建網(wǎng)絡(luò)和用戶正常活動(dòng)簡檔(Profile,或檔案,輪廓),檢測過程中捕獲那些與正?；顒?dòng)簡檔不相符的異常行為,并進(jìn)一步在異常行為集合中區(qū)分出入侵行為

5、。 另外,IDS對(duì)檢測到的入侵行為可采取不同的反應(yīng)方式:采取某種行動(dòng)(例如關(guān)閉服務(wù))的ros為積極響應(yīng);若只是產(chǎn)生一些警報(bào)或者通知,則稱之為消極響應(yīng)。審計(jì)信息分析通常在兩種模式下工作,不間斷持續(xù)運(yùn)行的檢測過程,稱為實(shí)時(shí)的,術(shù)語“實(shí)時(shí)”只是表明IDS對(duì)入侵的反應(yīng)足夠快;反之為事后處理。IDS在結(jié)構(gòu)特征上的發(fā)展趨勢(shì)和計(jì)算機(jī)系統(tǒng)發(fā)展的趨勢(shì)相一致:傳統(tǒng)的IDS是集中式的,意味著它們或者作為一個(gè)單一的模塊運(yùn)行,或者是一系列交互的實(shí)體,而所有實(shí)體都繼承了總的IDS的功能;而分布式IDS由不同實(shí)體組成,分布在系統(tǒng)中的每一個(gè)實(shí)體都執(zhí)行自己的任務(wù),各實(shí)體之間通過消息或其他機(jī)制進(jìn)行交互。這里“分布”的概念指功能上

6、的分布,而不是物理上的分布。 三、入侵檢測目標(biāo)與評(píng)估參數(shù) 入侵檢測的目標(biāo)是確認(rèn)那些由系統(tǒng)內(nèi)部人員和外部入侵者未經(jīng)授權(quán)使用、濫用和誤用計(jì)算機(jī)系統(tǒng)的行為。它所基于的基本思想是:入侵者的行為有別于正常使用者,并且可以檢測得到針對(duì)系統(tǒng)的非授權(quán)行為。評(píng)估入侵檢測系統(tǒng)的兩個(gè)重要參數(shù)是正確檢出率和誤報(bào)率。其中,正確檢出是指入侵檢測系統(tǒng)捕獲到的攻擊行為,正確檢出率等于正確捕捉到的攻擊數(shù)目和全部攻擊數(shù)目之比;誤報(bào)指入侵檢測系統(tǒng)將正常行為誤認(rèn)為攻擊行為,誤報(bào)率等于IDS的誤報(bào)數(shù)目與IDS所輸出的全部警報(bào)數(shù)目(真正攻擊數(shù)目與被誤認(rèn)為攻擊的正常活動(dòng)之和)之比。理想的入侵檢測系統(tǒng)應(yīng)該同時(shí)具有較高的正確檢出率和較低的誤報(bào)率。然而實(shí)際上二者是相矛盾的,Axelsson詳細(xì)說明了其原因所在?？梢詮臋z出率和誤報(bào)率的角度分析誤用和異常檢測。誤用檢測由于采用準(zhǔn)確或模糊匹配方式而具有較低的誤報(bào)率,但其弱點(diǎn)是不能檢測那些未包含在入侵特征模式庫中的未知入侵類型;而異常檢測的最大優(yōu)勢(shì)在于具有捕捉未知類型攻擊的能力,但其誤報(bào)率很高,這是由正?；顒?dòng)簡檔的準(zhǔn)確性及綜合程度所決定的。 四、結(jié)束語 入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù), 提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在代其他安全系統(tǒng)如: 訪問控制、加密