入侵檢測(cè)技術(shù)的發(fā)展方

目錄TOC\o"1-5"\h\z引言0入侵檢測(cè)技術(shù)成因1入侵檢測(cè)系統(tǒng)的成長(zhǎng)1入侵檢測(cè)定義與分類2入侵檢測(cè)定義2入侵檢測(cè)技術(shù)分析3入侵檢測(cè)的分類4常用的入侵檢測(cè)技術(shù)方法5神經(jīng)網(wǎng)絡(luò)異常檢測(cè)5概率統(tǒng)計(jì)異常檢測(cè)5專家系統(tǒng)誤用檢測(cè)6基于模型的入侵檢測(cè)6入侵檢測(cè)技術(shù)的發(fā)展方向6分布式合作引擎、協(xié)同式抵抗入侵6智能化入侵檢測(cè)7分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)技術(shù)架構(gòu)7應(yīng)用層入侵檢測(cè)技術(shù)7入侵檢測(cè)技術(shù)的評(píng)測(cè)方法8網(wǎng)絡(luò)安全技術(shù)相結(jié)合8全面的安全防御方案8幺士；五O結(jié)束語(yǔ)8參考文獻(xiàn)9計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究1引言#高了系統(tǒng)的安全性。1.2入侵檢測(cè)系統(tǒng)的成長(zhǎng)上世紀(jì)90年代中期，商業(yè)入侵檢測(cè)產(chǎn)品初現(xiàn)端倪，1994年出現(xiàn)了第一臺(tái)入侵檢測(cè)產(chǎn)品：ASIM。而到了1997年，Cisco將網(wǎng)絡(luò)入侵檢測(cè)集成到其路由器設(shè)備中，同年，ISS推出Realsecure,入侵檢測(cè)系統(tǒng)正式進(jìn)入主流網(wǎng)絡(luò)安全產(chǎn)品階段。在這個(gè)時(shí)期，入侵檢測(cè)通常被視作防火墻的有益補(bǔ)充，這個(gè)階段用戶已經(jīng)能夠逐漸認(rèn)識(shí)到防火墻僅能對(duì)4層以下的攻擊進(jìn)行防御，而對(duì)那些基于數(shù)據(jù)驅(qū)動(dòng)攻擊或者被稱為深層攻擊的威脅行為無能為力。廠商們用得比較多的例子就是大廈保安與閉路監(jiān)控系統(tǒng)的例子，防火墻相當(dāng)于保安，入侵檢測(cè)相當(dāng)于閉路監(jiān)控設(shè)備，那些繞過防火墻的攻擊行為將在“企圖作惡”時(shí)，被入侵檢測(cè)系統(tǒng)逮個(gè)正著。而后，在20001?2003年之間，蠕蟲病毒大肆泛濫，紅色代碼、尼姆達(dá)、震蕩波、沖擊波此起彼伏。由于這些蠕蟲多是使用正常端口，除非明確不需要使用此端口的服務(wù)，防火墻是無法控制和發(fā)現(xiàn)蠕蟲傳播的，反倒是入侵檢測(cè)產(chǎn)品可以對(duì)這些蠕蟲病毒所利用的攻擊代碼進(jìn)行檢測(cè)（就是前面提到的濫用檢測(cè)，將針對(duì)漏洞的攻擊代碼結(jié)合病毒特征做成事件特征，當(dāng)發(fā)現(xiàn)有該類事件發(fā)生，就可判斷出現(xiàn)蠕蟲。），一時(shí)間入侵檢測(cè)名聲大振，和防火墻、防病毒一起并稱為“網(wǎng)絡(luò)安全三大件”。入侵檢測(cè)定義與分類入侵檢測(cè)定義入侵檢測(cè)(IntrusionDetection)技術(shù)是安全審核中的核心技術(shù)之一，是網(wǎng)絡(luò)安全防護(hù)的重要組成部分。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中能夠違反安全策略行為的技術(shù)。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，來檢測(cè)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和相應(yīng)入侵。違反安全策略的行為有：入侵——非法用戶的違規(guī)行為；濫用——合法用戶的違規(guī)行為。入侵檢測(cè)通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反應(yīng)一直進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。入侵檢測(cè)的原理如圖1所示。用戶.前?為w用戶I磐一隔嗓仃為I—[XW3是[ES~~圖1入侵檢測(cè)原理應(yīng)用入侵檢測(cè)技術(shù)，能是在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，填入知識(shí)庫(kù)內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。入侵檢測(cè)技術(shù)分析入侵分析的任務(wù)就是在提取到的龐大的數(shù)據(jù)中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測(cè)技術(shù)規(guī)則進(jìn)行比較，從而發(fā)現(xiàn)入侵行為。一方面入侵檢測(cè)技術(shù)系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導(dǎo)致判定入侵的規(guī)則越來越復(fù)雜，為了保證入侵檢測(cè)技術(shù)的效率和滿足實(shí)時(shí)性的要求，入侵分析必須在系統(tǒng)的性能和檢測(cè)技術(shù)能力之間進(jìn)行權(quán)衡，合理地設(shè)計(jì)分析策略，并且可能要犧牲一部分檢測(cè)技術(shù)能力來保證系統(tǒng)可靠、穩(wěn)定地運(yùn)行并具有較快的響應(yīng)速度。分析策略是入侵分析的核心，系統(tǒng)檢測(cè)技術(shù)能力很大程度上取決于分析策略。在實(shí)現(xiàn)上，分析策略通常定義為一些完全獨(dú)立的檢測(cè)技術(shù)規(guī)則?；诰W(wǎng)絡(luò)的入侵檢測(cè)技術(shù)系統(tǒng)通常使用報(bào)文的模式匹配或模式匹配序列來定義規(guī)則，檢測(cè)技術(shù)時(shí)將監(jiān)聽到的報(bào)文與模式匹配序列進(jìn)行比較，根據(jù)比較的結(jié)果來判斷是否有非正常的網(wǎng)絡(luò)行為。這樣以來，一個(gè)入侵行為能不能被檢測(cè)技術(shù)出來主要就看該入侵行為的過程或其關(guān)鍵特征能不能映射到基于網(wǎng)絡(luò)報(bào)文的匹配模式序列上去。有的入侵行為很容易映射，如ARP欺騙，但有的入侵行為是很難映射的，如從網(wǎng)絡(luò)上下載病毒。對(duì)于有的入侵行為，即使理論上可以進(jìn)行映射，但是在實(shí)現(xiàn)上是不可行的，比如說有的網(wǎng)絡(luò)行為需要經(jīng)過非常復(fù)雜的步驟或較長(zhǎng)的過程才能表現(xiàn)其入侵特性，這樣的行為由于具有非常龐大的模式匹配序列，需要綜合大量的數(shù)據(jù)報(bào)文來進(jìn)行匹配，因而在實(shí)際上是不可行的。而有的入侵行為由于需要進(jìn)行多層協(xié)議分析或有較強(qiáng)的上下文關(guān)系，需要消耗大量的處理能力來進(jìn)行檢測(cè)技術(shù)，因而在實(shí)現(xiàn)上也有很大的難度。入侵檢測(cè)的分類通過對(duì)現(xiàn)有入侵檢測(cè)技術(shù)方法的研究，可以從不同角度對(duì)入侵檢測(cè)技術(shù)進(jìn)行分類：(1)按照檢測(cè)數(shù)據(jù)來源。有以下三類：基于主機(jī)的入侵檢測(cè)技術(shù)；基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)；基于主機(jī)和網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)。以上3種入侵檢測(cè)技術(shù)都具有各自的優(yōu)點(diǎn)和不足，可以相互作為補(bǔ)充，一個(gè)晚輩的入侵檢測(cè)系統(tǒng)一定是基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)。(2)按照檢測(cè)技術(shù)。分為異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)。異常檢測(cè)技術(shù)又可稱為基于行為的入侵檢測(cè)技術(shù)，它假定了所有的入侵行為都有異常特性。誤用技術(shù)，又稱為基于知識(shí)的入侵檢測(cè)技術(shù)，它通過攻擊模式、攻擊簽名的形式表達(dá)入侵行為。(3)按照工作方式?？梢苑譃殡x線檢測(cè)和在線檢測(cè)。離線檢測(cè)：在事后分析審計(jì)事件，從中檢測(cè)入侵活動(dòng)，是一種非實(shí)時(shí)工作的系統(tǒng)。在線監(jiān)測(cè)：實(shí)時(shí)聯(lián)機(jī)的檢測(cè)系統(tǒng)，它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，對(duì)實(shí)時(shí)主機(jī)審計(jì)分析。(4)按照系統(tǒng)網(wǎng)絡(luò)構(gòu)架。分為幾種是檢測(cè)技術(shù)、分布式檢測(cè)技術(shù)和分層式檢測(cè)技術(shù)。將分析結(jié)果傳到鄰近的上層，高一層的監(jiān)測(cè)系統(tǒng)只分析下一層的分析結(jié)果。分層式檢測(cè)系統(tǒng)通過分析分層式數(shù)據(jù)使系統(tǒng)具有更好的可升級(jí)性。常用的入侵檢測(cè)技術(shù)方法目前，常用的入侵檢測(cè)技術(shù)方法比較多，下面列出幾個(gè)進(jìn)行說明。神經(jīng)網(wǎng)絡(luò)異常檢測(cè)這種方法對(duì)用戶行為具有自學(xué)習(xí)和自適應(yīng)的能力，能夠根據(jù)實(shí)際監(jiān)測(cè)到的信息有效地加以處理并做出入侵可能性的判斷。通過對(duì)下一事件錯(cuò)誤率的預(yù)測(cè)在一定程度上反映用戶行為的異常程度。目前該方法使用比較普遍，但該方法還不成熟。還沒有出現(xiàn)較為完善的產(chǎn)品。概率統(tǒng)計(jì)異常檢測(cè)這種方法是基于對(duì)用戶歷史行為建模，以及在早期的證據(jù)或模型的基礎(chǔ)上．審計(jì)系統(tǒng)實(shí)時(shí)的檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè)，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)．保持跟蹤并監(jiān)測(cè)、記錄該用戶的行為。專家系統(tǒng)誤用檢測(cè)針對(duì)有特征人侵的行為。較多采用專家系統(tǒng)進(jìn)行檢測(cè)。在專家檢測(cè)系統(tǒng)實(shí)現(xiàn)中，通過If-Then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)）的規(guī)則對(duì)安全專家的知識(shí)進(jìn)行表達(dá)。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性?；谀Ｐ偷娜肭謾z測(cè)人侵者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)口令的行為序列，這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖。入侵檢測(cè)技術(shù)的發(fā)展方向可以看到,在入侵檢測(cè)技術(shù)發(fā)展的同時(shí),入侵技術(shù)也在更新,一些地下組織已經(jīng)將如何繞過IDS或攻擊IDS系統(tǒng)作為研究重點(diǎn)。高速網(wǎng)絡(luò),尤其是交換技術(shù)的發(fā)展以及通過加密信道的數(shù)據(jù)通信,使得通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足,而大量的通信量對(duì)數(shù)據(jù)分析也提出了新的要求。隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來越重要,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視,信息戰(zhàn)中的主要攻擊"武器"之一就是網(wǎng)絡(luò)的入侵技術(shù),信息戰(zhàn)的防御主要包括"保護(hù)"、"檢測(cè)技術(shù)"與"響應(yīng)",入侵檢測(cè)技術(shù)則是其中"檢測(cè)技術(shù)"與"響應(yīng)"環(huán)節(jié)不可缺少的部分。近年對(duì)入侵檢測(cè)技術(shù)有幾個(gè)主要發(fā)展方向:分布式合作引擎、協(xié)同式抵抗入侵隨著入侵手段的提高．尤其是分布式、協(xié)同式、復(fù)雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)的單一、缺乏協(xié)作的入侵檢測(cè)技術(shù)已經(jīng)不能滿足需要，這就要求要有充分的協(xié)作機(jī)制。入侵檢測(cè)信息的合作與協(xié)同處理成為必須的。智能化入侵檢測(cè)所謂的智能化方法，即使用智能化的方法與手段來進(jìn)行入侵檢測(cè)?，F(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識(shí)與泛化目。較為一致的解決方案應(yīng)為高效常規(guī)意義下的入侵檢測(cè)系統(tǒng)與具有智能檢測(cè)功能的檢測(cè)軟件或模塊的結(jié)合使用。并且需要對(duì)智能化的入侵檢測(cè)技術(shù)加以進(jìn)一步地研究以提高其自學(xué)習(xí)與自適應(yīng)能力。分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)技術(shù)架構(gòu)傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。同時(shí)不同的IDS系統(tǒng)之間不能協(xié)同工作能力,為解決這一問題,需要分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)技術(shù)架構(gòu)。CIDF以構(gòu)建通用的IDS體系結(jié)構(gòu)與通信系統(tǒng)為目標(biāo),6丫口5跟蹤與分析分布系統(tǒng)入侵,EMER-ALD實(shí)現(xiàn)在大規(guī)模的網(wǎng)絡(luò)與復(fù)雜環(huán)境中的入侵檢測(cè)技術(shù)。應(yīng)用層入侵檢測(cè)技術(shù)許多入侵的語(yǔ)義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測(cè)技術(shù)如WEB之類的通用協(xié)議,而不能處理如LotusNotes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測(cè)技術(shù)保護(hù)。Stillerman等人已經(jīng)開始對(duì)CORBA的n5研究。入侵檢測(cè)技術(shù)的評(píng)測(cè)方法用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià),評(píng)價(jià)指標(biāo)包括IDS檢測(cè)技術(shù)范圍、系統(tǒng)資源占用、IDS系統(tǒng)自身的可靠性與魯棒性。從而設(shè)計(jì)通用的入侵檢測(cè)技術(shù)測(cè)試與評(píng)估方法與平臺(tái)，實(shí)現(xiàn)對(duì)多種IDS系統(tǒng)的檢測(cè)技術(shù)已成為當(dāng)前IDS的另一重要研究與發(fā)展領(lǐng)域。網(wǎng)絡(luò)安全技術(shù)相結(jié)合結(jié)合防火墻、PKIX、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)安全保障。全面的安全防御方案使用安全工程風(fēng)險(xiǎn)管理的思想與各種方法處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。從管理制度、網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)加密、防火墻、病毒防護(hù)、入侵檢測(cè)等多方位全面的對(duì)網(wǎng)絡(luò)作全面的評(píng)估．然后設(shè)計(jì)和實(shí)施可行的解決方案。結(jié)束語(yǔ)隨著網(wǎng)絡(luò)的進(jìn)一步發(fā)展以及黑客攻擊手段的多樣化，網(wǎng)絡(luò)安全問題的日益突出，入侵檢測(cè)技術(shù)作為保護(hù)計(jì)算機(jī)系統(tǒng)安全的重要組成部分受到越來越多人們的關(guān)注和重視．并已經(jīng)開始在各種不同網(wǎng)絡(luò)環(huán)境中發(fā)揮關(guān)鍵作用。本文分析概括了入侵的方式，入侵檢測(cè)技術(shù)的定義、工作原理與分類、入侵檢測(cè)技術(shù)的方法。并且，提出了今后的發(fā)展趨勢(shì)．目的在于為進(jìn)一步的研究起到啟發(fā)和借鑒作用?？梢灶A(yù)見，入侵檢測(cè)技術(shù)的發(fā)展將對(duì)網(wǎng)絡(luò)應(yīng)用具有重要意義并產(chǎn)生深遠(yuǎn)影響，而入侵檢測(cè)技術(shù)的未來發(fā)展方向?qū)⒅饕侵悄艿姆植际饺肭謾z測(cè)系統(tǒng)，研究和開發(fā)自主知識(shí)產(chǎn)權(quán)的入侵檢測(cè)系統(tǒng)將成為我國(guó)信息安全領(lǐng)域的重要課題。參考文獻(xiàn)[1]王艷華，馬志強(qiáng)，藏露入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究．信息技術(shù)．2009，6：