入侵檢測技術(shù)概述

1、入侵檢測技術(shù)概述 孟令權(quán)李紅梅黑龍江省計算中心 摘要本文概要介紹了當前常見的網(wǎng)絡(luò)安全技術(shù)入侵檢測技術(shù)，論述了入侵檢測的概念及分類，并分析了其檢測方法和不足之處最后描述了它的發(fā)展趨勢及主要的IDS公司和產(chǎn)品。關(guān)鍵詞 入侵檢測；網(wǎng)絡(luò)；安全； IDS1 引言 入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中 未授權(quán)或異?，F(xiàn)象的技術(shù)， 是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。 違反安 全策略的行為有：入侵非法用戶的違規(guī)行為；濫用用戶的違規(guī)行為。2 入侵檢測的概念入侵檢測 (I n t r u s i o n D e t e c t i o n ， I D ) ，

2、顧名思義，是對入侵行為的檢測。它通過收 集和分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違 反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(Intrusion Detection SystemIDS )。3 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng) (I D S ) 依照信息來源收集方式的不同，可以分為基于主機 (H o s t-Based IDS ) 的和基于網(wǎng)絡(luò) (Netwo r k-BasedIDS ) ；另外按其分析方法可分為異常檢測 (Anomaly Detection ， AD ) 和誤用檢測 (Misuse Detection ，

3、M D ) 。3 1 主機型入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng)是早期的入侵檢測系統(tǒng)結(jié)構(gòu)， 其檢測的目標主要是主機系統(tǒng)和系統(tǒng) 本地用戶， 檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。檢測系統(tǒng)可以運行在被檢測的主機或單獨的主機上。其優(yōu)點是：確定攻擊是否成功； 監(jiān)測特定主機系統(tǒng)活動， 較適合有加密和網(wǎng)絡(luò)交換器的環(huán)境， 不需要另外添加設(shè)備。其缺點： 可能因操作系統(tǒng)平臺提供的日志信息格式不同， 必須針對不同的操作系統(tǒng)安裝不同 類型的入侵檢測系統(tǒng)。 監(jiān)控分析時可能會曾加該臺主機的系統(tǒng)資源負荷 影響被監(jiān)測主機的 效能，甚至成為入侵者利用的工具而使被監(jiān)測的主機負荷過重而死機。3 2 網(wǎng)絡(luò)型入侵檢測系

4、統(tǒng)網(wǎng)絡(luò)入侵檢測是通過分析主機之間網(wǎng)線上傳輸?shù)男畔砉ぷ鞯摹Ｋǔ＠靡粋€工作在 “混雜模式” (PromiscuousMode) 下的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流。它的分析模 塊通常使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。其優(yōu)點是： 成本低； 可以檢測到主機型檢測系統(tǒng)檢測不到的攻擊行為； 入侵者消除入侵證據(jù) 困難；不影響操作系統(tǒng)的性能；架構(gòu)網(wǎng)絡(luò)型入侵檢測系統(tǒng)簡單。其缺點是： 如果網(wǎng)絡(luò)流速高時可能會丟失許多封包， 容易讓入侵者有機可乘； 無法檢測加密 的封包對干直接對主機的入侵無法檢測出。3 3 混和入侵檢測系統(tǒng) 主機型和網(wǎng)絡(luò)型入侵檢測系統(tǒng)都有各自的優(yōu)缺點， 混和入侵檢測系統(tǒng)是基于主

5、機和基于網(wǎng)絡(luò) 的入侵檢測系統(tǒng)的結(jié)合， 許多機構(gòu)的網(wǎng)絡(luò)安全解決方案都同時采用了基于主機和基于網(wǎng)絡(luò)的 兩種入侵檢測系統(tǒng)， 因為這兩種系統(tǒng)在很大程度上互補， 兩種技術(shù)結(jié)合。 能大幅度提升網(wǎng)絡(luò) 和系統(tǒng)面對攻擊和錯誤使用時的抵抗力，使安全實施更加有效。3 4 誤用檢測誤用檢測又稱特征檢測， 這一檢測假設(shè)入侵者活動可以用一種模式來表示， 系統(tǒng)的目標是檢 測主體活動是否符合這些模式。 它可以將已有的入侵方法檢查出來， 但對新的入侵方法無能 為力。其難點在于如何設(shè)計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來。設(shè)定一些入侵活動的特征， 通過現(xiàn)在的活動是否與這些特征匹配來檢測。常用的檢測技術(shù)為( 1 )

6、 專家系統(tǒng)：采用一系列的檢測規(guī)則分析入侵的特征行為。(2 ) 基于模型： 基于模型的入侵檢測方法可以僅監(jiān)測一些主要的審計事件。 當這些事件發(fā)生 后，再開始記錄詳細的審計， 從而減少審計事件處理負荷。 這種檢測方法的另外一個特點是 可以檢測組合攻擊和多層攻擊。(3 )簡單模式：基于模式匹配的入侵檢測方法將已知的入侵特征編碼成為與審計記錄相符合 的模式。當新的審計事件產(chǎn)生時，這一方法將尋找與它相匹配的已知入侵模式。(4 ) 軟計算方法：軟計算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。3 5 異常檢測異常檢測假設(shè)是入侵者活動異常于正常主體的活動。 根據(jù)這一理念建立主體正?；顒拥?“活 動簡檔”，將當前

7、主體的活動狀況與“活動簡檔”相比較，當違反其統(tǒng)計規(guī)律時，認為該活 動可能是“入侵”行為。4 入侵檢測技術(shù)的發(fā)展方向無論從規(guī)模與方法上入侵技術(shù)近年來都發(fā)生了變化。 入侵的手段 與技術(shù)也有了“進步與發(fā)展” 。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個方面：( 1 ) 入侵或攻擊的綜合化與復雜化。入侵者在實施入侵或攻擊時往往同時采取多種入侵的 手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。( 2 ) 入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機執(zhí)行。由于防范技 術(shù)的發(fā)展使得此類行為不能奏效。分布式攻擊 (D Dos ) 是近期最常用的攻擊手段，它能在很 短時間內(nèi)

8、造成被攻擊主機的癱瘓， 且此類分布式攻擊的單機信息模式與正常通信無差異， 往 往在攻擊發(fā)動的初期不易被確認。( 3 ) 攻擊對象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體，但近期來的攻擊行為卻發(fā)生了 策略性的改變， 由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護系統(tǒng)。 現(xiàn)已有專門針對 I D S 作攻擊的報道， 攻擊者詳細地分析了 I D S 的審計方式、特征描述、通信模式找出 I D S 的弱點，然后加以 攻擊。5 主要的 IDS 公司和及其產(chǎn)品目前國內(nèi)外已有很多公司開發(fā)入侵檢測系統(tǒng)，有的作為獨立 的產(chǎn)品，有的作為防火墻的一部分， 其結(jié)構(gòu)和功能也不盡相同。 非商業(yè)化的產(chǎn)品如 S n o r t 這 一類的自由軟件

9、；優(yōu)秀的商業(yè)產(chǎn)品有如：I S S公司的R e a l S e c u re是分布式的入侵檢測系統(tǒng)， C i s c o 公司的 N e t R a n g e r 、N A I 公司的 C y b e r C o p 是基于網(wǎng)絡(luò)的入侵檢測 系統(tǒng)，T r u s t e d In f o r m a t io n S y s t e m 公司的S t a l k e r s是基于主機的檢測系統(tǒng)。下 面主要介紹一下 I S S公司的 R e a l S e c u r e和C i s c o公司的N e t R a n g e r。5 1 RealSecureReal Secure是目前使用范圍最廣的商用入侵檢測系統(tǒng)，它分為兩部分，引擎和控制臺。弓摩也就是我們所說的檢測器。 IS S 提供的引擎有兩個版本， Window s NT 和 UNIX ，控制臺 是運行在 Windows NT系統(tǒng)上。Real Secure的默認設(shè)置就能夠檢測到大量的有用信息，報告 也相當不錯，是目前最直觀、界面最友好的入侵檢測系統(tǒng)。5 2 Net RangerNet Ran ger包括檢測器和分析工作站，這些組件之間通過特殊的協(xié)議進行通信，它的檢測器被設(shè)計成可以檢測 C i s c o 路由器的系統(tǒng)紀錄和數(shù)據(jù)包， 這是所有商業(yè)版本中能力最強的一 種，而且還支持數(shù)據(jù)包的裝配功能，這樣即使攻擊