入侵检测技术现状分析与研究
学年论文
题目:入侵检测技术现状分析与研究
学院专业级班
学生姓名学号
指导教师职称
完成日期
入侵检测技术现状分析与研究
【摘要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念
【关键词】IDS、协议、分析、网络安全
目录
第一章绪论 (1)
1.1入侵检测技术的背景 (1)
1.2入侵检测技术的应用与发展现状 (1)
第二章入侵检测技术 (1)
2.1入侵检测系统的分类 (1)
2.1.1基于主机的入侵检测系统 (2)
2.1.2基于网络的入侵检测系统 (2)
2.2入侵检测技术 (3)
2.2.1异常入侵检测技术 (3)
2.2.2误用入侵检测技术 (3)
第三章校园网中的分布式入侵检测分析 (4)
3.1 分布式入侵检测的设计思想 (4)
3.2 校园分布式入侵检测模式的分析 (4)
3.3 采用的入侵检测技术 (5)
第四章入侵检测系统的发展趋势 (7)
第五章总结 (8)
第一章绪论
1.1入侵检测技术的背景
随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来.
美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、
1.2入侵检测技术的应用与发展现状
在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的A TM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地"解释"协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算.所以说研究基于协议分析的入侵检测技术具有很强的现实意义.
第二章入侵检测技术
2.1入侵检测系统的分类
入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主
机的入侵检测系统和基于网络入侵检测系统.按系统的工作方式分为:离线检测系统和在线检测系统.按系统对入侵的反应分为:主动入侵检测系统和被动入侵检测系统.框架图如图所示。
入侵检测系统
主机型网络型
异常检测误用检测
图2-1 入侵检测系统框架图
2.1.1基于主机的入侵检测系统
基于主机的入侵检测系统监视主机的文件系统或者操作系统及各种服务生成的日志文件,以便发现入侵踪迹.它的优点有:不受加密传输的影响,它能够了解被监视主机应用层的活动细节,有效检测发生在应用层的入侵活动,可以检测多种网络环境下的网络包,而不用像网络IDS系统一样需安装多台传感器,这样就使整个系统的成本大大降低;由于使用包含实际发生事件的日志文件,所以比基于网络的系统就更能了解某一入侵行为是否最终成功从而减少错误.它的缺点有:由于作为用户进程运行,这种入侵检测系统依赖于操作系统底层的支持,与系统的体系结构有关,所以它无法了解发生在下层协议的入侵活动;老练的入侵者往往可以进入系统修改、删除有关的日志记录,从而隐藏入侵迹象;由于它位于所监视的每一个主机中,故所占用的资源不能太多,从而大大限制了所采用的检测方法及处理性能.
2.1.2基于网络的入侵检测系统
基于网络的入侵检测系统直接从网络数据流中截获原始的网络包作为信息源,并从中搜索可疑行为.它的优点有:由于该系统直接搜集网络数据包,而网络协议是标准的,因此,与目标系统的体系结构无关,可监视结构不同的各类系统;该系统使用原始网络数据包进行检测,因此它所收集的审计数据被篡改的可能性很小,而且它不影响被保护系统的性能;利用工作在混合模式下的网卡实时监控和分析所有通过共享式网络的传输,能够实时得到目标系统与外界交互的所有信息,包括一些很隐藏的端口扫描和没有成功入侵的尝试.它的缺点有:缺乏终端系统对待定数据报的处理方法等信息,使得从原始的数据包中重构应用层信息很困难,故难以检测发生在应用层的攻击,而对于检测以加密传输方式进行的入侵无能为力.
从入侵检测技术和入侵检测系统可以看出,单独一种方法并不能检测所有类型的入侵,异常检测能检测出已知和未知的攻击,其主要问题是如何正确定义一个正常用户行为.在动态环境中,用建立用户统计来确定正常用户行为几乎是不可能的事情,这时关注一个过程的行为更加有效.误用检测具有较高的正确性,但是不能对未知攻击进行检测.单个主机上安装的IDS在大规模网络中检测入侵时可能会出现困难,而多个主机上安装的IDS同样问题.误用检测比异常检测能更好地适应扩展或向其他计算机系统的移植.目前这些方法除了基于模式的检测方法和状态转换分析,都必须检测大量的数据来判断入侵的行为,这直接影响了检测入侵的时间.异常检测能够适应改变;而误用检测中,知识库需要定期地进行更新.所以要让入侵检测系统更加有效地检测而不错误报警,减少人工干预,入侵检测技术还需要进行大量的研究和开发.
2.2入侵检测技术
入侵检测技术主要分为两类:异常入侵检测和误用入侵检测.
2.2.1异常入侵检测技术
异常入侵检测是指为所监测的系统建立一个在正常情况下的描述文件,任何违反该描述的事件的发生都被认为是可疑的,即观测活动偏离正常系统使用方式的程度.常用的异常检测技术有:
1.统计分析
最早的异常检测系统采用的是统计分析技术.首先,检测器根据用户对象的动作为每个用户建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否异常行为.统计分析的优点:有成熟的概率统计理论支持,维护方便,不需要象误用检测系统那样不断地对规则库进行更新和维护等.统计分析的缺点:大多数统计分析系统是以批处理的方式对审计记录进行分析的,不能提供对入侵行为的实时检测,统计分析不能反映事件在时间顺序上的前后相关性,而不少入侵行为都有明显的前后相关性,门限值的确定非常棘手等.
2.神经网络
这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断.利用神经网络所具有的识别,分类和归纳能力,可以使入侵检测系统适应用户行为特征的可变性.从模式识别的角度来看,入侵检测系统可以使用神经网络来提取用户行为的模式特征,并以此创建用户的行为特征轮廓.总之,把神经网络引入入侵检测系统,能很好地解决用户行为的动态特征以及搜索数据的不完整性,不确定性所造成的难以精确检测的问题.利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测输出.将神经网络应用于攻击模式的学习,理论上也是可行的.但目前主要应用于系统行为的学习,包括用户以及系统守护程序的行为.与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新.
神经网络也存在一些问题:在不少情况下,系统趋向于形成某种不稳定的网络结构,不能从训练数据中学习特定的知识,这种情况目前尚不能完全确定产生的原因;另外,神经网络对判断为异常的事件不会提供任何解释或说明信息,这导致了用户无法确认入侵的责任人,也无法判断究竟是系统哪方面存在的问题导致了攻击者得以成功入侵.
2.2.2误用入侵检测技术
误用入侵检测是对已知系统和应用软件的弱点进行入侵建模,从而对观测到的用户行为和资源使用情况进行模式匹配而达到检测目的.常见的误用入侵检测技术有以下几种:
1.模式匹配
模式匹配是最常用的误用检测技术,特点是原理简单,扩展性好,检测效率高,可以实时检测;但是只能适用于比较简单的攻击方式.它将收集到的信息与已知的网络入侵和系统误用模式串进行比较,从而发现违背安全策略的行为.著名的轻量级开放源代码入侵检测系统Snort就是采用这种技术.
2.专家系统
该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析.该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正.专家系统方法存在一些实际问题:处理海量数据时存在效率问题,这是由于专家系统的推理和决策模块通常使用解释型语言来实现,所以执行速度比编译型语言慢;专家系统的性能完全取决于设计者的知识和技能;规则库维护非常艰巨,更改规则时必须考虑到对知识库中其他规则的影响等等.
3.状态迁移法
状态迁移图可用来描述系统所处的状态和状态之间可能的迁移.状态迁移图用于入侵检测时,表示了入侵者从合法状态迁移到最终的危害状态所采取的一系列行动.在检测未知的脆弱性时,因为状态迁移法强调的是系统处于易受损的状态而不是未知入侵的审计特征,因此这种方法更具有健壮性.而它潜在的一个弱点是太拘泥于预先定义的状态迁移序列.这种模型运行在原始审计数据的抽象层次上,它利
用系统状态的观念和事件的转变流;这就有可能提供了一种既能减少误警率又能检测到新的攻击的途径.另外,因为涉及了比较高层次的抽象,有希望把它的知识库移植到不同的机器,网络和应用的入侵检测上.
第三章校园网中的分布式入侵检测系统分析
随着网络时代的到来,校园计算机网络安全不容忽视。许多高校都建立起自己的局域网,校园一般通过网关与Internet相连,网关成为整个局域网的安全集中点,校园里所有的机器都处在同一安全级别,当入侵者入侵校园网攻击时,只要突破了校园网的网关,攻破学校一台机器,整个网络就将面临的瘫痪的危险。为保障校园网络的安全和顺利进行,通常在校园网中采用以Snort为核心的分布式入侵检测系统。
3.1分布式入侵检测的设计思想
随着校园网中功能需求的增加,学校对外交流的提高、网上招生的要求、学生宿舍上网,越来越多的部门和教室需要接入校园网络中,网络中心对校园网不断的改造,提高校园网络的安全性。分布式入侵检测系统对院校实现管理网络化合教学手段现代化、提高学校的管理水平和教学质量、实现网络信息资源共享、丰富师生业余文化生活的同时在安全方面发挥积极作用。通过分布式入侵检测系统来检测多个主机、多个网段上的数据和信息,对这些信息进行关联和综合分析,来发现可能存在的分布式网络攻击行为并进行响应处理的入侵检测系统。
分布式入侵检测系统采取了分布式检测的体系结构,主机控制响应单元,它对网络探测响应单元在分级控制台的管理下分别检测本机、本网段的入侵行为,具有良好的分布性、可扩展性;并在网络检测响应单元系统中设计了协议分析模块,控制台采用分级控制台和总控制台。分布式通过共同协作的机制,从多层面上实施检测。提高入侵检测的效果。
分布式入侵检测的设计应满足以下几点功能:
①入侵检测能够识别可疑行为,检测入侵。
②攻击行为检测的准确性,并进行警报,降低检测报警中的误报和漏报。
③入侵检测能针对不同的警报级别分别作出不同的响应。
④入侵检测必须允许管理员适时监控攻击行为,对不同的功能和报警进行手动控制。
⑤入侵检测能够处理大规模的攻击。
⑥入侵检测的各组件之间能根据检测到的入侵和报警相互通信。
⑦入侵检测本身具有稳健性,对攻击手法的改变具有适应性。
⑧入侵检测具有可扩展性,能满足今后网络扩展的需要
⑨为保障网络安全,入侵检测自身应具有高可靠性,能保障不间断运行。
3.2校园分布式入侵检测模式的分析
当前网络结构逐步复杂化和大型化的趋势下,分布式入侵检测由于检测范围大,检测时可以采用不同的检测方法,通过将各个传感器放置在不同的组件上,实现信息收集汇总。入侵检测系统的工作
入侵检测
过滤规则可疑网络活动检测
入侵响应
图3-1 入侵检测系统工作流程
流程如图3-1所示。
Snort 是一个功能强大的入侵检测系统,具有灵活、可定制和可扩展的特点。因此采用以Snort 为核心的分布式入侵检测系统。基于Snort 的分布式入侵检测系统按功能主要由三个部分组成:传感器、数据管理中心、管理决策中心,是一个三层结构。如图3-2所示。
图3-2 分布式入侵检测系统的总体结构
传感器用于收集来自网络上的数据,通过均匀的分布在重要网段上,收集各方位传来的数据。是分布式入侵检测系统重要组成部分。然后将收集来的数据进行简单的数据处理,并采用基于协议分析和基于模式匹配结合的方法更全面的检测入侵行为,并将入侵数据日志到数据管理中心数据库中,进行存储和处理。
数据管理中心是负责收集传感器传来的一系列报警数据,并对收集的报警数据进行处理。数据中心存储过程中进行数据整理,防止需要存储的数据信息量过多,方便对数据库报警信息的分类和管理。 管理决策中心是网络管理员与机器交互信息中心,负责汇总信息整理成材料,以图文形式显示数据信息,方便管理员作出相应的决策机制。提高网络信息的安全性。
传感器用于捕获来自网络上的数据,是进行入侵检测的基础,它是由Snort 实现的。由于Snort 本身没有抓包工具,所以采用外部抓包工具Winpcap 。Winpcap 负责直接从网络上抓包,将采集到的数据进行简单处理传送到数据管理中心进行封装。Winpcap 提供了一套标准的网络数据包捕获的编程接口、捕获原始数据包、在数据包发往应用程序之前按照自定义的规则将某些特别的数据包过滤掉、在网络上发送原始的数据包、收集网络通信过程中的统计信息。
预处理器以插件的形式实现,它使得Snort 入侵检测系统具有模块化的特征,使系统具有灵活的扩展能力和配置能力。用户和程序员能够将各种不同功能的模块化的插件方便地融入Snort 之中,用来针对可疑行为检查包或者修改包,以便检测引擎对其进行正确的解释,从而提高检测的准确性和速度。预处理可以分为两类,一类是用于针对可疑行为或者对包进行修改,以便对数据进行分析检测时可以正确的识别;另一类是负责对流量标准化,以便进行检测时可以准确的匹配特征。通过它可以提高模式匹配的检测效率。预处理器使入侵检测系统可以处理跨多个包的数据,还可以规范化有多个数据表达形式的协议数据。通过预处理系统具有异常检测的能力,可以发现还没有对应规则的攻击。另外用户还可以根据需要自己编写新的预处理插件。
3.3 采用的入侵检测技术
Snort 入侵检测系统是基于误用检测的入侵检测软件。一般采用模式匹配的方法检测入侵行为。模式匹配是将获得的数据与系统内相应数据进行比较,从而发现违背安全策略的行为。具有原理简单、扩展性好、分析速度快等优点。 管理决策中心
数据管理中心 数据管理中心
传
感器 传 感器 传 感器 传 感器 传 感器
模式匹配算法有很多,BM(Boyer-Moore)算法是一种常用的精确匹配算法,其中Snort入侵检测系统急速使用BM算法来进行特征匹配。更具数据显示:Snort在进行检测的时候调用字符串匹配函数所需要的时间占总时间的25.2%,所以字符串匹配算法效率队Snort来说很重要。BM算法利用跳过不必要的比较来减少字符之间的匹配,以减少匹配次数来提高检测效率。
如:在主字符串(记做P)搜索的文本(记做T),将P的第一个字符记做P1,P的最后一个字符记做Pm;T的第一个字符记做T1,T的最后一个字符记做Tn;则有:
主字符串P:abcacdabaababbaab 模式子串T:ababbaab
定义一个函数K:x→{1,2,…,m};当字符不匹配时,实现下标的移动。
n 若任意字符x不出现在T中或x=Pi;(i=m)
K[x]= n-I 若x在T,这里的i=max{i: Pi=x,1﹤=i﹤=m-1}
①匹配自右向左进行:
在开始前,将主字符串P与文本T左部对齐,而匹配搜索从P的最右边一个字符开始,
②忽略不匹配的字符:
图3-3坏字符算法(1)
x,y在匹配的过程中发生了匹配失败a≠b,这时候判断b.如果在x中没有发现.说明只要含有b就不可能匹配,所以跳到b的后面,继续匹配.如图3-3所示。
图3-4坏字符算法(2)
x,y在匹配的过程中发生了匹配失败a≠b,这时候判断b.如果在x中发现有b,则从右边数第一个b和y中的b对齐.如图3-4所示。
③发现匹配字符:
图3-5 好后缀处理算法(1)
关于"u"的部分是匹配成功的.某一次匹配失败.描述起来就是x[i+1 .. m-1]=y[i+j+1 ..
j+m-1]=u and x[i]≠y[i+j]如果"u"的部分在x中能找到.那么找到此位置与b对齐,但新位置必须满足c≠b,如图3-5所示。
图3-6 好后缀处理算法(2)
关于"u"的部分是匹配成功的.某一次匹配失败.描述起来就是x[i+1 .. m-1]=y[i+j+1 ..
j+m-1]=u and x[i]≠y[i+j]如果"u"的部分在x中不能找到.那么找到x的一个最大前缀"v" 满足是"u"中最大后缀.然后使这2部分对齐. 如图3-6所示。
通过基于模式匹配的检测方法,快速地探测网络上不安全因素的存在。它利用网络协议的高度规则性,只提取数据包的重要特征送入处理模块进行检测,不仅节约了检测部分的资源,传输的时候也极大提高了单位时间的包特传输速率。且同模式匹配技术结合,使得入侵检测系统具有检测速度快、系统消耗低、降低误报率等优点。
第四章入侵检测系统的发展趋势
与防火墙等高度成熟的产品相比,入侵检测系统还存在相当多的问题,这些问题大多数是目前入侵检测系统的结构所难以克服的,而且这些矛盾可能越来越尖锐。入侵技术的发展与演化主要反映在以下几个方面:
入侵或攻击的综合化与复杂化。攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法。入侵检测系统必须不断跟踪最新的安全技术,才能不致被攻击者远远超越。
入侵主体对象的间接化,恶意信息采用加密的方法传输。通过一定的技术,可掩盖攻击主体的源地址、主机位置和攻击信息。
不断增大的入侵或攻击的规模。对于网络的入侵与攻击,在其初期往往是针对某公司或一个网站,而现在入侵或攻击的规模不断增大,单一的入侵检测系统已很难应付。可以想见,随着网络流量的进一步加大,对入侵检测系统将提出更大的挑战,在PC机上运行纯软件系统的方式需要突破。
入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行,分布式攻击是近期最常用的攻击手段。所谓的分布式拒绝服务在很短时间内可造成被攻击主机的瘫痪,且此类分布式攻击的单片机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。
攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。
入侵检测系统作为一种新兴的网络安全手段,从一开始就受到了大家的重视。近年来,入侵检测技术获得了极大地发展,今后的入侵检测技术大致可朝以下几个方向发展。
(1)云计算入侵检测的发展
随着云计算成为全球新兴产业的重要代表,网络入侵者都将目光投到了云计算这一未来充满巨大市场空间的领域。由于云计算环境拥有强大的计算能力、海量的存储空间和丰富的用户信息,对网络入侵者具有很大的诱惑力,云计算环境目前已经成为网络入侵者的攻击目标。特别是作为云计算服务供应商,在为云计算用户提供计算、存储和各种软件式服务的过程中,很容易遭受各种安全威胁与攻击的考验。同时,云计算环境下的网络攻击发动更加快速、攻击能力更加强大、攻击后果更加严重,使得云计算环境的入侵检测变得更加重要。
(2) 集成网络分析和管理功能
入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的方向。
(3) 安全性和易用性的提高
入侵检测是个安全产品,自身安全极为重要。因此,目前的入侵检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增强,例如:全中文的图形界面,自动的数据库维护,多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。
(4) 高速实时入侵检测技术
大量高速网络技术在近年内不断出现,在此背景下的各种宽带接入手段层出不穷,其中很多已经得到了广泛的应用。如何实现高速网络下的实时入侵检测已经成为一个现实的问题。目前,虽然市场上也可以见到一些基于千兆以太网环境的入侵检测产品,但其性能指标还远未满足要求。
(5) IDS与其他安全部件的互动
实现网络与信息的安全是一项系统工程,不是哪一种单独的安全部件就可以完成的。只有在不同的安全部件之间实现互联互动,才能更好的保证网络与信息的安全。随着防火墙、入侵检测等技术的不断发展,实现它们之间的互动显得越来越重要。因此,对于安全部件之间的互动协议和接口标准的研究,也会是对IDS研究的一个重要方向。
由于IDS的地位越来越重要,防护的网络规模越来越大,因此应该把IDS和其他安全部件放在一个对等的位置来考虑它们之间的互动。应该考虑不同厂家的IDS之间,IDS与防火墙之间,IDS与响应部件之间的互动。在这方面还有很大一部分工作需要解决。
(6) IDS标准化工作
标准化的工作对于一项技术的发展至关主要。在某一个技术领域,如果没有相应的标准,那么该领域的发展将会是无序的。IDS经历了20多年的发展,近几年又成为网络与信息安全领域的一个研究热点,但是到目前为止,尚没有一个相关的国际标准出现,国内也没有IDS方面的标准。因此,IDS的标准化工作应引起业内的广泛重视。在IDS中,应该进行标准化的工作主要包括:大规模分布式IDS的体系结构、入侵特征等数据的描述、IDS内部的通信协议和数据交换协议、安全部件间的互动协议和接口标准等。
第五章总结
通过查找相关资料,加深对入侵检测技术的了解,对当下流行技术进行了简单的介绍以及比较.
入侵检测作为一种积极主动的安全防护技术,提供了对内、外部攻击和误操作的实时保护,在网络系统中受到危害之前拦截和响应入侵。虽然入侵检测技术的算法多样化,但两类入侵检测技术界限还是比较模糊的,随着科技发展,两类技术渐渐的朝综合趋势发展。而且它也不是一个完整的网络解决方案,应该与其它安全部件实现联动,进一出提高其性能。
从某种意义上来说,“安全”永远只是一个理论上的相对概念,仍然有一些不安全的因素没有考虑到。也正是如此,人们提出了入侵检测的概念,用来贴补系统安全性的巨大漏洞。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,因为入侵检测提供了对内部攻击、外部攻击和误操作的实时保护。
参考文献
[1]戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社
[2]聂元铭,丘平.网络信息安全技术[M].北京:科学出版社
[3]董玉格,金海,赵振.攻击与防护-网络安全与实用防护技术[M].北京:人民邮电出版社
[4]戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用
[5]刘文淘.网络入侵检测系统[M].北京:电子工业出版社
[6]贺文华,陈志刚.网络安全现状分析与发展趋势[J].湖南人文科技学院
[7]褚永刚,杨义先。入侵检测系统的技术发展趋势[J].北京邮电大学信息安全中心
The Present situation analysis and research of Intrusion Detection Technology
【Abstract】With the rapid development and popularity of network, network security has become an important information security. The small personal information of the user, to the enterprise important data, but imperceptibly theft, give oneself and even bring interest loss. Intrusion detection technology in 1980 by JamesP.Anderson in giving a confidential customer wrote a report entitled " computer security threat monitoring and surveillance " technical report, audit records can be used to identify computer misuse, he gave the threats were classified, first elaborated the concept of intrusion detection
【Key words】IDS, protocol analysis, the security of network
入侵检测技术综述
入侵检测技术综述 胡征兵1Shirochin V.P.2 乌克兰国立科技大学 摘要 Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品。 关键词入侵检测入侵检测系统网络安全防火墙 1 引言 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对安全解决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统来保证安全,依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[1]。 2 入侵检测的概念、模型 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。 入侵检测的研究最早可以追溯到詹姆斯·安德森[1]在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础 , 他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。 Denning[2]在1987年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 ●信息来源(Information Source):为检测可能的恶意攻击,IDS所检测的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。 ●分析引擎(Analysis Engine):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。 ●响应模组(Response Component):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。 3 入侵检测系统的分类 入侵检测系统依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD),其分类架构如图1所示: 图 1. 入侵检测系统分类架构图
计算机网络安全的入侵检测技术研究
计算机网络安全的入侵检测技术研究 计算机网络在给人类工作、生活、娱乐等带来极大便 利的同时,其中存在的安全问题也越来越突出。入侵检测技术作为一种重要的网络安全防护技术,受到了网络安全人员的青睐。本文对入侵检测技术的相关理论进行了介绍,对当前入侵检测技术存在的问题进行了详细的分析和讨论,并对入侵检测技术未来的发展趋势进行了展望。 关键词】计算机网络网络安全入侵检测 1 引言当前,计算机网络已经得到了广泛应用,人们工 作、学 习、生活、社交、娱乐等等各个方面几乎都离不开网络,然而,计算机网络中存在的安全问题也给人们造成了极大困扰,已经成为无法回避且亟待解决的重要问题,如果不能及时采取相应的防御或解决措施,将严重制约社会的发展和信息化进程。入侵检测技术作为一种解决网络安全问题的十分有效的技术之一,得到了网络安全人员的青睐。入侵检测技术能够有效检测来自网络内部和外部网络入侵,对网络提供实时保护。 2 入侵检测技术相关理?概述入侵检测技术能够及时检测 出当前系统中出现的异常 现象,该技术在系统中的关键节点收集信息,并通过对这些信息的分析,从中检测出系统当前是否遭到恶意侵袭或是否存在违反安全策略的行为出现。 入侵检测技术通常包括信息收集、信息分析和问题处理 等 3 个主要步骤。在信息分析部分,将收集到的信息传送给驻留在传感器中的检测引擎,利用统计分析、模式匹配等技术进行实时检测,利用完整性分析等技术进行事后检测分析,当出现误用模式时,将告警信息发送给控制台;在问题处理部分,
当控制台收到来自系统的告警信息时,根据事先定义的响应策略,采取终止进程、切断连接等措施。 在计算机网络安全应用中使用到的入侵检测技术主要 包括基于主机和基于网络的两种入侵检测系统。其中,基于主机的入侵检测系统的重点检测对象是计算机,通过预先对主机进行相应的设置,根据计算机的运行状态和相关参数来判断该主机是否收到非法入侵,基于主机的入侵检测系统能够对当前的攻击是否成功进行判断,为主机采取相应的措施提供可靠依据,基于入侵网络的入侵检测系统通常通过设置多个安全点。 3 存在问题和发展趋势 3.1 存在问题 3.1.1 入侵检测技术 相对落后随着计算机技术的不断发张,尽管入侵检测技术 在不断
入侵检测技术概述
入侵检测技术概述 孟令权李红梅黑龙江省计算中心 摘要 本文概要介绍了当前常见的网络安全技术——入侵检测技术,论述了入侵检测的概念及 分类,并分析了其检测方法和不足之处.最后描述了它的发展趋势及主要的IDS公司和产品。 关键词 入侵检测;网络;安全;IDS 1 引言 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵——非法用户的违规行为;滥用——用户的违规行为。 2 入侵检测的概念 入侵检测(I n t r u s i o n D e t e c t i o n ,I D ) ,顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违 反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系 统(Intrusion Detection SystemIDS ) 。 3 入侵检测系统的分类 入侵检测系统(I D S ) 依照信息来源收集方式的不同,可以分为基于主机(H o s t-Based IDS ) 的和基于网络(Netwo r k-BasedIDS ) ;另外按其分析方法可分为异常检测(Anomaly Detection ,AD ) 和误用检测(Misuse Detection ,M D ) 。 3 .1主机型入侵检测系统 基于主机的入侵检测系统是早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上。 其优点是:确定攻击是否成功;监测特定主机系统活动,较适合有加密和网络交换器的环境,不需要另外添加设备。 其缺点:可能因操作系统平台提供的日志信息格式不同,必须针对不同的操作系统安装不同类型的入侵检测系统。监控分析时可能会曾加该台主机的系统资源负荷.影响被监测主机的效能,甚至成为入侵者利用的工具而使被监测的主机负荷过重而死机。 3 .2 网络型入侵检测系统 网络入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在“混杂模式”(PromiscuousMode) 下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。 其优点是:成本低;可以检测到主机型检测系统检测不到的攻击行为;入侵者消除入侵证据困难;不影响操作系统的性能;架构网络型入侵检测系统简单。 其缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包对干直接对主机的入侵无法检测出。 3 .3混和入侵检测系统 主机型和网络型入侵检测系统都有各自的优缺点,混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合,许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,因为这两种系统在很大程度上互补,两种技术结合。能大幅度提升网络和系统面对攻击和错误使用时的抵抗力,使安全实施更加有效。 3 . 4 误用检测
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
入侵检测技术的现状及未来
入侵检测技术的现状及未来 【摘要】入侵检测能有效弥补传统防御技术的缺陷,近年来入侵检测系统已经成为网络安全的系统中的重要组成部分。本文在对当前主流入侵检测技术及系统进行详细研究分析的基础上,指出了入侵检测系统面临的问题和挑战。最后对入侵检测系统的未来发展方向进行了讨论,展望了应用人工智能技术的入侵检测系统、基于Android平台的入侵检测系统、基于云模型和支持向量机的特征选择方法等新方向。 【关键词】网络安全;入侵检测;异常检测;智能技术 0.引言 目前,在网络安全日趋严峻的情况下,解决网络安全问题所采用的防火墙、身份认证、数据加密、虚拟子网等一般被动防御方法已经不能完全抵御入侵。此时,研究开发能够及时准确对入侵进行检测并能做出响应的网络安全防范技术,即入侵检测技术(ID,Intrusion Detection),成为一个有效的解决途径。入侵检测作为一种积极主动地安全防护技术,已经成为网络安全领域中最主要的研究方向。 1.入侵检测概述 1.1入侵检测的基本概念 入侵检测(Intrusion Detection),即是对入侵行为的检测。入侵是指潜在的、有预谋的、未被授权的用户试图“接入信息、操纵信息、致使系统不可靠或不可用”的企图或可能性。它通过从计算机网络或计算机系统的关键点收集信息,并对收集到的信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。而入侵检测系统则是入侵检测的软件与硬件的组合。 1.2入侵检测系统的通用模型 1987年Dorothy E Denning[1]提出了入侵检测的模型,首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分:主体(Subjects)、对象(Objects)、审计记录(Audit Record)、活动档案(Active Profile)、异常记录(Anomaly Record )、活动规则(Activity Rules)。 2.入侵检测系统采用的检测技术 从技术上看,入侵可以分为两类:一种是有特征的攻击,它是对已知系统的系统弱点进行常规性的攻击;另一种是异常攻击。与此对应,入侵检测也分为两类:基于特征的(Signature-based即基于滥用的)和基于异常的(Anomaly-based,也称基于行为的)。
入侵检测系统的研究
入侵检测系统的研究 【摘要】近几年来,随着网络技术以及网络规模的 不断扩大,此时对计算机系统的攻击已经是随处可见。现阶段,安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。 【关键词】入侵检测系统研究情况 、刖言 目前的安全防护主要有防火墙等手段,但是由于防火墙 本身容易受到攻击,并且内部网络中存在着一系列的问题,从而不能够发挥其应有的作用。面对这一情况,一些组织开 始提出了通过采用更强大的主动策略以及方案来增强网络 的安全性。其中个最有效的解决方法那就是入侵检测。入 侵检测采用的是一种主动技术,从而弥补防火墙技术的不足,并且也可以防止入侵行为。 二、入侵检测系统的概述 (一)入侵检测系统的具体功能 入侵检测就是要借助计算机和网络资源来识别以及响 应一些恶意使用行为。检测的内容主要分为两个部分:外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为
止,入侵检测成为继防火墙之后的第二道安全闸门。在网络 安全体系中,入侵检测是成为一个非常重要的组成部分。总 之,入侵检测的功能主要包括了以下几个功能:第一,对用户活动进行监测以及分析;第二,审计系统构造变化以及弱点;第三,对已知进攻的活动模式进行识别反映,并且要向相关人士报警;第四,统计分析异常行为模式,保证评估重要系统以及数据文件的完整性以及准确性;第五,审计以及跟踪管理操作系统。 二)入侵检测系统的模型 在1987 年正式提出了入侵检测的模型,并且也是第 次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分:第一部分,主体。主体就是指在目标系统上进行活动的实体,也就是一般情况下所说的用户。第二部分,对象。对象就是指资源,主要是由系统文件、设备、命令等组成的。第三部分,审计记录。在主体对象中,活动起着操作性的作用,然而对操作系统来说,这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动,比如:违反系统读写权限。资源使用情况主要指的是在系统内部,资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分,活动档案。活动档案就是指系统正常行为的模型,并且可以将系统正常活动的相关信息保存下来。第五部分,异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分,活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下,通过将系统的正常活动模型作为准则,并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录,如果已经发生了入侵,那么此时就应该采用相应的处理措施。 三)入侵检测系统的具体分类 通过研究现有的入侵检测系统,可以按照信息源的不同 将入侵检测系统分为以下几类: 第一,以主机为基础的入侵检测系统。通过对主机的审 计记录来进行监视以及分析,从而可以达到了入侵检测。这 监视主要发生在分布式、加密以及交换的环境中,从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点,那就是该系统与具体操作系统平台有联系,从而很难将来自网络的入侵检测出来,并且会占有一定的系
入侵检测技术现状分析与研究
学年论文 题目:入侵检测技术现状分析与研究 学院专业级班 学生姓名学号 指导教师职称 完成日期
入侵检测技术现状分析与研究 【摘要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念 【关键词】IDS、协议、分析、网络安全
目录 第一章绪论 (1) 1.1入侵检测技术的背景 (1) 1.2入侵检测技术的应用与发展现状 (1) 第二章入侵检测技术 (1) 2.1入侵检测系统的分类 (1) 2.1.1基于主机的入侵检测系统 (2) 2.1.2基于网络的入侵检测系统 (2) 2.2入侵检测技术 (3) 2.2.1异常入侵检测技术 (3) 2.2.2误用入侵检测技术 (3) 第三章校园网中的分布式入侵检测分析 (4) 3.1 分布式入侵检测的设计思想 (4) 3.2 校园分布式入侵检测模式的分析 (4) 3.3 采用的入侵检测技术 (5) 第四章入侵检测系统的发展趋势 (7) 第五章总结 (8)
第一章绪论 1.1入侵检测技术的背景 随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来. 美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、 1.2入侵检测技术的应用与发展现状 在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的A TM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地"解释"协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算.所以说研究基于协议分析的入侵检测技术具有很强的现实意义. 第二章入侵检测技术 2.1入侵检测系统的分类 入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主
入侵检测系统研究的论文
入侵检测系统研究的论文 摘要介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。 关键词入侵检测系统;cidf ;网络安全;防火墙 0 引言 近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统(ids)概念 1980年,james 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(ides),1990年,等设计出监视网络数据流的入侵检测系统,nsm(network security monitor)。自此之后,入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。 入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大; 2 入侵检测系统模型 美国斯坦福国际研究所(sri)的于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(common intrusion detection framework简称cidf)组织,试图将现有的入侵检测系统标准化,cidf阐述了一个入侵检测系统的通用模型(一般称为cidf模型)。它将一个入侵检测系统分为以下四个组件: 事件产生器(event generators) 事件分析器(event analyzers) 响应单元(response units) 事件数据库(event databases) 它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应
入侵检测系统技术综述
本文由♀皓月♂贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 入侵检测系统技术综述 自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果摘要:大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程.文章以历史和实践的观点$透视入侵和入侵检测技术相互制约,相互促进的演进过程. 关键词:关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1 、引言 自从计算机问世以来,安全问题就一直存在。特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。 2、概述 计算机网络技术的飞速发展极大地改变了人们的学习、工作以及生活方式。随着计算机及网络系统中存储的重要信息越来越多,系统的安全问题也显得E1益突出,我们需要尽可能找到更好的措施以保护系统免受入侵者的攻击,尽管已有许多防御技术,如防火墙,但它只是一种静态的被动的防护技术。要求事先设置规则。对于实时攻击或异常行为不能实时反应。无法自动调整策略设置以阻断正在进行的攻击。因而出现了入侵检测系统,它是一种动态的网络安全策略,能够有效地发现入侵行为和合法用户滥用特权的行为,它是P2DR(动态安全模型)的核心部分。 3、入侵检测系统产生及其发展 绝大多数入侵检测系统的处理效率低下,不能满足大规模和高带宽网络的安全防护要求。这就决定了当前的入侵检测系统在未来信息战中的作用是有限的。因为信息战中双方使用的网络进攻手段肯定是储备的、从未出现的新手段。即使检测到攻击,现有的入侵检测系统的响应能力和实时性也很有限,不能预防快速脚本攻击,对于此类恶意攻击只能发现和纪录,而不能实时阻止。国内只有少数的网络入侵检测软件,相关领域的系统研究也是刚刚起步,与外国尚有很大差距。目前,在入侵检测的技术发展上还是存在着以下主要缺陷:(1)网络安全设备的处理速度慢。(2)入侵检测系统的漏报率和误报率高。(3)入侵检测系统的互动性能差,整个系统的 安全性能低。 4、入侵检测系统的概论 4.1 入侵检测系统的概念 入侵检测系统(Intrusion Detection System,简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。 4.2 入侵检测系统的分类 入侵检测技术主要可以分成两类:异常入侵检测(Anomaly Detection)技术和误用人侵检测(Misuse Detec—tion)技术。 4.2.1 基于统计模型的异常入侵检测 1)基于阈值测量
入侵检测系统综述
入侵检测系统综述 对于任何一个国家、企业或者个人来说,随着计算机及网络的发展,网络安全问题是一个无法回避且重要的问题呈现在面前,很多非法分子或者合法用户的不当使用都会对网络系统造成破坏,针对这些行为要采用相应的技术进行制止或者预防,入侵检测技术成为解决该问题的最好方法之一。文章主要简综述了入侵检测系统的基本检测方法。 标签:入侵检测;入侵检测系统;误用检测;异常检测 1 入侵检测系统概述 随着计算机技术及网络技术的不断发展,计算机及数据的安全问题随之出现,传统的防火墙技术虽然可以进行有效的防御,但是由于其存在很多弊端,例如:很多外部访问不经过防火墙;来自计算机数据库内部的威胁等,防火墙就无能为力了,它并不能对已经进入计算机系统或者来自计算机数据库内部威胁进行检测;访问控制系统可以根据权限来防止越权行为,但是很难保证具有高级权限的用户对系统所做的破坏行为,也无法阻止低权限用户非法活动高级权限对系统所进行的破坏;漏洞扫描系统是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,然后根据扫描结果向用户提供系统的安全性分析报告,以便用户采取相应措施来提高网络安全。它虽然可以发现系统和网络漏洞,但无法对系统进行实时扫描,入侵检系统可以进行实时扫描。 发现入侵行为就是入侵检测。它通过从计算机网络或系统的核心点收集信息并对其进行分析,然后从其中看网络或系统中是否有违反安全策略的动作和被攻击的迹象。入侵检测目的是保证系统资源的可用性、机密性和完整性,要达到这个目的就要对系统的运行状态进行监视,以便发现各种攻击操作、攻击结果或者攻击动态。进行入侵检测的硬件与软件的组合构成了入侵检测系统,它能执行所有的入侵检测任务和功能,监视或阻止入侵或者企图控制系统或者网络资源的行为,它可以实时检测入侵者和入侵信息,并进行相应处理,最大化的保证系统安全。通过对系统各个环节来收集和分析信息,发现入侵活动的特征、对检测到的行为自动作出响应、记录并报告检测过程及结果是入侵检测系统的基本原理的四个部分。 入侵检测系统从系统结构看,至少包括信息源、分析引擎和响应三个功能模块。信息源的功能是分析引擎提供原始数据今夕入侵分析,信息源的正确性和可靠性直接影响入侵检测的效果,要使检测网络系统软件具有完整性,必须使IDS 软件自己有很强的坚固性;分析引擎的功能是执行入侵或者异常行为检测;分析引擎的结果提交给响应模块后,响应模块采取必要和适当的措施,阻止入侵行为或回复受损害的系统。分析引擎包括完整性分析、模式匹配和统计分析。响应可分为主动响应和被动响应。主动响应就是系统自动或者以用户设置的方式阻断攻击过程或以其他方式来阻断攻击过程;被动响应是系统只报告和记录发生的事件。响应包括简单报警、切断连接、封锁用户、改变文件属性,最大的反应就是
网络入侵检测技术综述
电脑编程技巧与维护 网络入侵检测技术综述 谭兵1。吴宗文2。黄伟 (1.重庆大学软件学院,重庆400044;2.成都军区78098部队装备部,崇州611237) 摘要:入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词:入侵检测;异常检测:误用检测 NetworkIntrtmionDetectionTechnology TANⅨn矿,WU历耐.HUANGWei (1.TheSchoolofSoftwareEngineering,ChongqingUniversity,Chongqing400044; 2.Chengdumilitaryregion78098armylogisticsdepartments,Chongzhou611237) Abstract:Theworkinthecomputernetworkintrusiondetectionsystem,akeynode.Thispaperintroducesthebasicconceptsofintrusiondetection,describedtwotypesofbasicdetectiontechnology,intrusiondetectionarediscussedindetail theprocessandtesttechnology challenges andtrends。 Keywords:Intrusiondetection;Anomalydetection;Misusedetection 入侵检测(IntrusionDetection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵一非法用户的违规行为;滥用—用户的违规行为。 对于入侵检测的使用,人们总会问这样一个问题。如果已经安装了防火墙,给操作系统打了补丁,并为安全设置了密码,为什么还要检测入侵呢?答案非常简单:因为入侵会不断发生。举个例子,就像人们有时候会忘记锁上窗户,人们有时也会忘记正确的升级防火墙规则设置。 即使在最高级别的保护措施下,计算机系统也不是百分之百的安全。实际上,大多数计算机安全专家认为,既定的用户要求属性,如网络连接,还未能达到成为百分之百安全系统的要求。因此,必须发展入侵检测技术及系统以便及时发现并对计算机攻击行为做出反应。 l入侵检测发展 起初,系统管理员们坐在控制台前监控用户的活动来进行人侵检测。他们通过观察,例如在本地登录的闲置用户或非正常激活的闲置打印机。尽管上述方法不是足够有效的,但这一早期入侵检测模式是临时的且不可升级。 入侵检测的下一步涉及到审计日志。审计日志即系统管理员所记录的非正常和恶意行为。 在上世纪70年代末和80年代初,管理员将审计日志打印在扇形折纸上,平均每周末都能累积四到五英尺高。很明显,要在这一堆纸里进行搜索是相当耗费时间的。由于这类 本文收稿日期:2009—11-12 —110~信息量过于丰富且只能手动分析,所以管理员主要用审计日志作为判据,以便在发生特别安全事件后,确定引起这一事件的原阂。基本上不可能靠它发现正在进行的攻击。 随着存储器价格的降低,审计日志转移到网上且开发出了分析相关数据的程序。然而,分析过程慢且需频繁而密集计算,因此,入侵检测程序往往是在系统用户登录量少的夜间进行。所以,大多数的入侵行为还是在发生后才被检测到。 90年代早期,研究人员开发出了实时入侵检测系统,即对审计数据进行实时评估。由于实现了实时反应,且在一些情况下,可以预测攻击,因此,这就使攻击和试图攻击发生时即可被检测到成为可能。 近年来,很多入侵检测方面的努力都集中在一些开发的产品上,这些产品将被用户有效配置在广大网络中。在计算机环境不断持续变化和无数新攻击技术不断产生的情况下,要使安全方面也不断升级是个非常困难任务[1l。 2分类 目前,入侵检测技术可基本分为3类:异常检测、误用检测和混合检测。异常检测是假定所有入侵行为都是与正常行为不同的;误用检测是根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中的各种攻击模式的比较确定是否有入侵发生;混合检测模型是对异常检测模型和误用检测模犁的综合。文中详细介绍异常检测和误用检测。2.1异常检测模型 异常检测利用用户和应用软件的预期行为。将对正常行为的背离作为问题进行解释。异常检测的一个基本假设就是攻击行为异于正常行为。例如,对特定用户的日常行为(打字和数量)进行非常准确的模拟,假定某用户习惯上午lO点左右登录,看邮件,运行数据库管理,中午到下午i点休息,有极少数文件的存取出现错误等等。如果系统发现相同的用 万方数据
工业控制系统IDS技术研究综述
工业控制系统IDS技术研究综述 严益鑫,邹春明 (公安部第三研究所/上海网络与信息安全测评工程技术研究中心,上海 200031) 摘 要:工业控制系统(Industrial Control System,ICS)作为工业大脑,与互联网连接的趋势越来越明显,但是开放的同时也暴露出严重的脆弱性问题。入侵检测作为重要的安全防御措施,能及时发现可能或潜在的入侵行为。论文从ICS网络安全现状及国家法律政策入手,首先介绍了ICS系统架构及其特点,给出了IDS入侵检测系统(Intrusion Detection System,IDS)的介绍,其次从误用入侵检测、异常入侵检测两个方面,对现有的ICS IDS的技术、算法的研究现状进行分析,最后针对当前ICS IDS的发展与应用现状,对整个ICS IDS的研究趋势进行了展望。 关键词:工业控制系统;入侵检测系统;误用入侵检测;异常入侵检测 中图分类号:TP309文献标识码:A An overview of intrusion detection systems in industrial control system Yan Yi xi n, Zou C hunming (Th e Th ird Rese arch In stit ut e of Mi nis try of Publi c Sec urit y/Shanghai Engineeri ng Research Cent er of Cyber and Inf ormation Se c uri ty E val uati on, Shanghai 200031) Abstract: As an industrial brain, the industrial control system (ICS) has become more and more open on the Internet. Therefore, the network security of industrial control systems has received more and more attention from the state. This paper starts with the current situation and national legal policy of ICS network security. Firstly, it introduces the architecture and characteristics of ICS system. Secondly, according to the two aspects of misuse intrusion detection and abnormal intrusion detection, this paper analyzes the current research status of ICS IDS technology and algorithm. Finally, the current development and application status of ICS IDS and research trend have been prospected. Key words: industrial control system; intrusion detection system; misuse of intrusion detection; abnormal intrusion detection 1 引言 随着工业控制系统信息化发展的需求,工业控制系统日渐趋于形成了一个开放式的网络环境。由于传统工业控制系统是基于物理隔离的,主要关注系统的功能安全,缺乏对信息安全的考虑,缺少专门的安全防御措施[1]。 2010年“震网(S t u x n e t)”病毒的爆发 让世界明白工业控制系统已成为黑客的主要目标[2],随后“毒区”(D u Q u)和“火焰” (Flame)病毒又相继出现,与“震网”共同形成“网络战”攻击群。2014 年,功能更为强大的H a v e x以不同工业领域为目标进行攻击,至2016年已发展到88个变种。2015 年底发生的乌克兰大面积停电事件又一次为工控安全拉响警报。2017年5月发生的WannaCry勒索病毒全球大 62
网络入侵检测技术综述
止管理主机被攻击者攻破后用来作为发起攻击的“跳板”;对所有出入系统的连接进行日志记录。 3.3系统VPN 的合理设计 使用VPN ,可以在电子政务系统所连接不同的政府部门 之间建虚拟隧道,使得两个政务网之间的相互访问就像在一个专用网络中一样。使用VPN ,可以使政务网用户在外网就象在内网一样地访问政务专用网的资源。使用VPN ,也可以实现政务网内特殊管理的需要。VPN 的建立有3种方式:一种是 Internet 服务商(ISP )建设,对企业透明;第二种是政府部门自 身建设,对ISP 透明;第三种是ISP 和政府部门共同建设。 在政务网的基础上建立VPN ,第二种方案比较合适,即政府部门自身建设,对ISP 透明。因为政务网是地理范围在政务网内的计算机网络,它有运行于Internet 的公网IP 地址,有自己的路由设备,有自己的网络管理和维护机构,对政务网络有很强的自主管理权和技术支持。所以,在政务网基础上建立 VPN ,完全可以不依赖于ISP ,政府部门自身进行建设。这样可 以有更大的自主性,也可以节省经费。 3.4其他信息安全技术的使用 此外,电子政务系统的安全性可以采用如下的措施加以保 证:控制对网络设备的SNMP 和telnet ,在所有的骨干路由器上建立access-list 只对网管中心的地址段做permit ,即通过网管中心的主机才能远程维护各骨干路由设备;路由协议在不安全的端口上进行Passive 防止不必要的路由泄露;将所有重要事件进行纪录通过日志输出;采用防火墙设备对政务局域网进行保护。 参考文献:[1]陈昊潭.试论黄委基层电子政务建设中存在的问题及对策[J ].办公自动化,2009(10). [2]张艳.电子政务系统中的数据安全技术研究[J ].现代计算机(专业版),2009(8). [3] 江琴.浅谈电子政务信息的安全管理[J ].科技资讯,2009(25). (责任编辑:卓 光) 网络入侵检测技术综述 姚丽娟 (长江水利委员会网络与信息中心,湖北武汉430010) 摘 要:随着网络技术飞速发展和网络规模的不断扩大,网络安全已经成为全球性的重要问题之一。概述了网络入 侵检测技术的发展历史及其通用模型,对入侵检测系统的分类和入侵检测的方法进行了分析,讨论了该领域尚存在的问题。 关键词:网络攻击;入侵检测;网络安全中图分类号:TP393.08 文献标识码:A 文章编号:1672-7800(2010)06-0160-03 1入侵检测的概念、原理和模型 “入侵”是个广义的概念,不仅包括发起攻击的人取得超出 合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务访问(DoS )等对计算机造成危害的行为。早在上世纪80年代初期,Anderson 将入侵定义为:未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。美国国际计算机安全协会对入侵检测的定义是:入侵检测是通过从计算机网络或计算机 系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。 从系统构成上看,人侵检测系统至少包括数据提取、人侵分析、响应处理3部分。数据提取是入侵检测系统的数据采集器,负责提取反映受保护系统运行状态的运行数据,并完成数据的过滤和预处理。人侵分析是核心模块,负责对原始数据进行同步、整理、组织、分类、特征提取以及各种细致分析。 最早的入侵检测模型是由Denning 给出的,该模型主要根 软件导刊 Software Guide 第9卷%第6期 2010年6月Vol.9No.6Jun.2010 作者简介:姚丽娟(1983-),女,湖北武汉人,长江水利委员会网络与信息中心助理工程师,研究方向为网络通讯。