网络入侵检测技术
网络入侵检测技术
一、入侵检测发展史
1980年,在James P. Anderson 的文章“Computer Security Threat Monitoring and Surveillance”中[1],“入侵检测”的概念首次被提出。为开发基于主机的IDS提供了最初的理论基础。
1985年,美国国防部计算机安全中心(NCSC)正式颁布了《可信任的计算机系统评估标准》(Trusted Computer System Evalution Criteria, TCSEC)。TCSEC为预防非法入侵定义了四类七个安全级别。由低到高分别是D、C1、C2、B1、B2、B3、A1,规定C2以上级别的操作系统必须具备审计功能,并记录日志。TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用,是信息安全发展史上的一个里程碑。
1988年,莫里斯(Morris)蠕虫感染了Internet上近万台计算机,造成Internet持续两天停机。美国空军、国家安全局、加州大学戴维斯分校等开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起1990年,加州大学戴维斯分校的L.T.Heberlein等人提出了基于网络的入侵检测概念,即将网络数据流作为审计数据来追踪可疑的行为。
1992年,加州大学的Koral llgun开发出实时入侵检测系统USTAT(a State Transition Analysis Tool for UNIX)。他们提出的状态转换分析法,使用系统状态与状态转换的表达式描述和检测已知的入侵手段,使用反映系统状态转换的图表直观地记载渗透细节。
1994年,普渡大学计算机系COAST实验室的Mark Crosbie和Gene Spafford 研究了遗传算法在入侵检测中的应用。使用遗传算法构建的智能代理(Autonomous Agents)程序能够识别入侵行为,而且这些agents具有“学习”用户操作习惯的初步智能。
1996年,加州大学戴维斯分校的Staniford等研究人员提出了基于图表的入侵检测系统(Graph-based Intrusion Detection System,GrIDS)原理,并完成了原型的设计和实现。
1996年,Forrest将免疫原理运用到分布式入侵检测领域。此后,在IDS 中还出现了遗传算法、遗传编程的运用。
1997年3月,美国国防部高级研究计划局(DARPA)开始着手通用入侵检测框架CIDF(Common Intrusion Detection Framework)标准的制定,加州大学戴维斯分校的安全实验室完成了CIDF标准。
1997年9月,https://www.360docs.net/doc/8c11003264.html,公司推出基于主机的IDS(KSM,Kane Security Monitor),agents技术第一次出现在IDS的市场产品中。
1998年1月,哥伦比亚大学的Wenke Lee和Salvatore J.Stolfo提出和实现了在CIDF上实现多级IDS,并将数据挖掘技术应用到入侵检测中,利用数据挖掘中的关联规则等算法提取程序和用户的行为特征,并根据这些特征生成安全事件的分类模型。
1998年2月, Cisco通过收购Wheel Group公司成功挺进入侵检测市场。NetRanger的入侵检测技术被集成到Cisco的系列路由器中,NetRanger(后被更名为Secure IDS)成为Cisco公司的招牌产品。
1998年12月,Marty Roesch推出了Snort第一版,基于网络的IDS,采用误用检测技术。目前已成为应用最广泛的IDS之一。
2000年2月,CA(Computer Associates International)公司发布了抵御黑客攻击的新工具SessionWall-3(后更名为eTrust Intrusion Detection)。eTrust可以自动识别网络使用模式和网络使用具体细节,做到全面地监控网络数据,可以对Web和公司内部网络访问策略实施监视和强制实施。eTrust是新一代网络保护产品的代表。
2000年7月,Cisco公司和ClickNet(ClickNet Security Technologies)公司宣布联合开发用于电子商务的入侵检测系统。ClickNet公司的基于主机的入侵检测产品Entercept技术先进,同Cisco公司的安全入侵检测系统(Secure IDS)软件结合以后成为一套全方位的安全系列产品。
2001年1月,ClickNet公司改名为Entercept Security Technology公司。该公司的IDS产品Entercept的新版本检测水平进一步提高,并首先提出入侵防御(IP,Intrusion Prevention)概念。由于已有的入侵检测系统是被动的进行系统安全防护,当发现攻击而不能及时做出防护反应时,攻击的成功率会随着时间的增加而提高。入侵防御系统IPS(Intrusion Prevention System)在系统请求被执行之前,即在网络系统受到攻击之前,将请求与防御数据库中的预定义内容进行比较,然后根据相应的安全级别采取不同的行动,如执行请求、忽略请求、终止请求或记入日志等。
2001年5月,Dipankar Dasgupta和Fabio Gonzalez研究了入侵检测的智能决策支撑系统。
2002年3月,ISS公司发布集成了Network ICE公司BlackICE技术的网络安全产品:RealSecure Network Sensor 7.0,具备更详细的协议分析功能和更出色的碎片重组能力。如果配合ISS公司同时发布的RealSecure Guard来实现与防火墙的联动,则可以利用协议分析技术来实时分析是否存在对网络的非法入侵。当检测到非法入侵时做到彻底切断这种网络攻击。
2002年6月,Entercept公司开始提供更先进的入侵防御软件,能够在黑客的攻击造成伤害之前采取行动来阻止其发生,增加了名为Vault Mode的先进封锁功能,能够锁住重要的操作系统文件和设置,防止主机被攻击。
2003年以来,全球众多安全研究机构都在开展入侵检测的研究,许多新的入侵检测技术被应用到IDS产品中。如对入侵防御系统IPS的讨论[2-5];对于入侵检测中的误报问题,Cheung、Steven等人提出入侵容忍(Intrusion tolerance)
的概念,在IDS中引入了容错技术;
2006年,Morton Swimmer针对现代数据网络的分布式防御提出一个危险模型的免疫系统等[6]。
入侵检测技术的发展阶段
第一阶段(20世纪80年代):主要是主机日志分析和模式匹配技术研究,推出的IDES(Intrusion Detection Expert System,入侵检测专家系统)、DIDS (Distributed Intrusion Detection System,分布式入侵检测系统)、NSM (Network Security Monitor,网络安全监控系统)等基本上都是实验室系统[7][8]。
第二阶段(20世纪90年代):主要研究网络数据包截获、主机系统的审计数据分析,以及基于网络的IDS(NIDS)和基于主机的IDS(HIDS)的明确分工和合作技术。代表性产品有早期的ISS RealSecure(v6.0之前)、Cisco(1998年收购Wheel Group获得)、Snort(2000年开发代码并免费)等。目前国内绝大多数厂家沿用的是Snort核心。
第三阶段(20世纪90年代后期):主要涉及协议分析、行为异常分析技术。协议分析技术的误报率是传统模式匹配的1/4左右。行为异常分析技术的出现则赋予了第三代IDS系统识别未知攻击的能力。代表性产品有NetworkICE(2001年并入ISS)、安氏LinkTrustNetworkDefender(v6.6)、NFR(第二版)等。
入侵检测技术从出现到现在已有20多年,IDS系统已从有线IDS发展到无线IDS,并出现了IPS(Intrusion Prevention System,入侵防御系统)。
二、入侵检测系统定义与功能
入侵检测:对入侵行为的发觉,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的
行为和被攻击的迹象。
入侵检测系统:进行入侵检测的软件与硬件的组合。
入侵检测系统功能:
(1)监控并分析系统及用户活动;
(2)检查系统配置和漏洞;
(3)评估系统关键资源和数据文件的完整性;
(4)识别已知的攻击行为以及统计分析异常行为;
(5)对操作系统进行日志管理,并识别违反安全策略的用户活动;
(6)针对已发现的攻击行为做出适当的反应,如警告、终止进程等。
三、入侵检测系统分类
A、根据信息源分类
1、基于网络的入侵检测系统(NIDS,Network Intrusion Detection System)
NIDS能够截获网络中的数据包,提取其特征并与知识库中已知的攻击签名相比较,从而达到检测的目的。
优点:
(1)监测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。
(2)隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取,因而也不那么容易遭受攻击。此外监视器不运行其他的应用程序,不提供网络服务,可以不响应其他计算机,因此可以做得比较安全。
(3)视野更宽。可以检测一些主机检测不到的攻击,如泪滴(tear drop)攻击,基于网络的SYN洪水等。还可以检测不成功的攻击和恶意企图。
(4)较少的监测器。使用一个监测器就可以保护一个共享的网段。
(5)攻击者不易转移证据。基于网络的IDS使用正在发生的网络通信进行实时攻击的检测。所以攻击者无法转移证据。
(6)操作系统无关性。基于网络的IDS作为安全监测资源,与主机的操作系统无关。
(7)不占用被保护的设备上的任何资源。可以配置在专门的机器上。
主要缺点:
(1)只能监视本网段的活动,精确度不高。
(2)在交换环境下难以配置。
(3)防入侵欺骗的能力较差。
(4)难以定位入侵者。
2、基于主机的入侵检测系统(HIDS,Host Intrusion Detection System)
数据来源于主机系统,通常是系统日志和审计记录。
优点:
(1)能确定攻击是否成功。主机是攻击的目的所在,所以基于主机的IDS 使用含有已发生的事件信息,可以比基于网络的IDS更加准确地判断攻击是否成功。
(2)监控粒度更细。基于主机的IDS,监控的目标明确,视野集中,它可以检测一些基于网络的IDS不能检测的攻击。它可以很容易地监控系统的一些活动,如对敏感文件、目录程序或端口的存取。
(3)配置灵活。每一个主机有其自己的基于主机的IDS,用户可根据自己的实际情况对其进行配置。
(4)可用于加密的以及交换的环境。加密和交换设备加大了基于网络IDS 收集信息的难度,但由于基于主机的IDS安装在要监控的主机上,根本不会受这些因素的影响。
(5)对网络流量不敏感。基于主机的IDS一般不会因为网络流量的增加而丢掉对网络行为的监视。
(6)不需要额外的硬件。
主要缺点:
(1)占用主机的资源,在服务器上产生额外的负载;
(2)缺乏平台支持,可移植性差,因而应用范围受到严重限制;
(3)实时性差,依赖于主机及其审计子系统。
B 根据数据分析方法分类
1、异常入侵检测系统
含义:根据异常行为和使用计算机资源的情况检测出来的入侵。即检测与正常行为相违背的行为
优点:
(1)它能够发现任何企图发掘、试探系统最新和未知的行为。
(2)在某种程度上,它较少的依赖于特定的操作系统。
(3)对于合法用户超越其权限的违法行为的检测能力大大增强。
缺点:
(1)较高的虚警概率,因为信息系统所有的正常活动不一定在学习建模阶段就全部了解;
(2)建立用户正常行为轮廓的时间周期较长,系统的诡计难于计算和更新,而且并非所有的入侵都表现为异常;在学习阶段,信息系统正遭受着非法的入侵攻击,入侵检测系统的学习结果中包含了相关入侵行为的信息,这样,系统将无法检测到该种入侵行为。
(3)需要不断地在线学习,系统的活动行为是不断变化的。
2、误用入侵检测系统
含义:利用已知系统和应用软件的弱点攻击模式来检测入侵。即直接检测不利的或不可接受的行为。
误用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏警。
优点:具有非常低的虚警率
因为误用入侵检测系统从入侵行为中提取入侵特征来创建规则库,例如Ping of Death攻击采用了分片技术传送长度超过65535(IP协议中规定最大的IP包长为65535个字节)Ping包来瘫痪目标主机的攻击手段,因此可根据该特点,配置误用入侵检测的相应规则,这样当受到这样的数据包时,则产生报警。故而,建立在此技术基础上的入侵检测系统能够检测已经发现的攻击行为,具有非常低的虚警率,
缺点:规则库需要不断更新
误用入侵检测系统只能检测分析已知的攻击模式,当出现针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时,需要由人工或者其它机器学习系统得出新攻击的模式,添加到误用规则库中,才能使系统具备检测新的攻击手段的能力,这一点如同杀毒软件一样,需要及时不断地升级,才能保证系统检测能力的完备性。
对入侵特征的精确描述也不是一件易事。误用入侵检测技术检测内部用户的滥用权限的活动将变的相当困难,因为通常该种行为并未利用任何系统缺陷。
C、根据体系结构分类
1、集中式入侵检测系统
所有数据的采集和分析活动均是由一台主机来独立地完成的。适用于网络环境比较简单的情况。
缺点:数据截获处理能力、全局性攻击抵御能力和系统的自身抗攻击能力都比较弱。
2、分布式入侵检测系统
由分布在一个大型网络中的多个入侵检测系统(IDS)所构成的有机系统。该系统中的IDS通过彼此间的通信和协调来协同展开各种数据采集,分析和事件检测活动,共同实现对整个网络全面而有效的监控。
D、根据响应方式分类
1、被动响应系统
被动响应系统只会发出警告通知,将发生的不正常情况报告给系统管理员,
本身并不试图降低所造成的破坏,更不会主动对攻击者采取反击行为。
2、主动响应系统
通过调整被攻击系统的状态,阻止或者减轻攻击影响,如:断开网络连接、增加安全日志、杀死可疑进程等。
四、入侵检测主体技术
A 异常检测技术
1、含义:根据使用者的行为或资源使用情况来判断是否入侵,所以也被称为基于行为的检测(Behaviour-based Detection)。
2、特点:与系统相对无关,通用性较强。它甚至有可能检测出以前未出现过的检测方法,不像基于知识的检测(误用检测)那样受已知脆弱性的限制。
3、缺点:(1)因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率太高,尤其在用户数目众多,或工作目的经常改变的环境中。(2)其次由于统计简表要不断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的了。
4、异常检测步骤(anomaly detection approach):
⑴训练阶段,总结正常操作或通讯应该具有的特征,例如特定用户的操作习惯与某些操作的频率等。
⑵测试阶段,在得出正常操作的模型后,对后续的操作或通讯进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。
5、进行异常检测的重要前提:入侵活动(intrusive activity)是异常活动(anomalous activity)的一个子集。如果一个入侵者入侵一个主机系统时,并不知道合法用户的活动模式,则入侵者的活动被检测为异常的可能性很大。
6、注意:然而入侵活动并不总是与异常活动一致。对此有四种可能的活动情况:
⑴入侵但非异常:根据已知的异常无法检测出这类入侵,入侵检测系统因此出现漏报入侵的情况。
⑵非入侵但异常:这类活动并非入侵,但属于异常活动,因此入侵检测系统出现误报入侵的情况。
⑶非入侵且非异常:这类活动不属于入侵因此不被报告为入侵活动。
⑷入侵且异常:这类活动是入侵且属于异常。
为了降低漏报率,可将判断异常的门限值降低,但这会增加误报率和减弱入侵检测的自动化机制功效,并给安全管理员带来额外的负担,安全管理员必须调查每一个报告事件,从而抛弃误报事件。
7、异常检测主体技术
基于统计学的异常检测技术;
基于机器学习的异常检测技术;
基于模式预测的异常检测技术;
基于遗传算法的异常检测技术;
基于免疫系统的异常检测技术;
基于文件完整性检查的异常检测技术;
基于规范的异常检测技术;
基于数据挖掘的异常检测技术。
(1)基于统计学的异常检测技术
基于统计学的异常检测(Statistical Anomaly Detection)利用统计分析技术建立系统或网络的正常活动模型,将系统或网络的活动与正常活动模型比较来检测渗透和攻击。
优点:如果训练数据被正确选择,这些特征则被认为是稳定的。这种稳定性使得维护一个入侵检测系统变得相对容易,这也意味着不需要频繁地进行模式的更新。
缺点:
①假定建立模型使用的数据是纯净的,然而实际情况并非如此。
②传统的统计量度往往不能反映事件间的顺序,而这在入侵检测中恰恰是值得关注和考虑的。
③对于设计者来说,为统计量度选择合适的阈值是很困难的。
④系统的正常活动行为可能与异常行为存在交迭。当一个攻击落在正常行为的范围中时,这种攻击将不被发现从而出现漏报现象;同时合法用户的行为也可能偏离正常轨迹(例如用户晚上加班工作,或忘记密码口令,或开始一个新的应用等),从而引起检测系统的误报。
(2)基于机器学习的异常检测技术
含义:机器学习是人工智能和统计学的结合物,使用程序或系统来模拟或学习人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身在完成某个任务或一组任务的性能。
方法:
①基于系统调用序列分析(system call based sequence analysis)
通过学习系统行为来识别偏离正常状况的重要行为。
▲将人类免疫系统(human immune system)原理类推至入侵检测中[11],通过分析在固定长度的系统调用序列中的相关性,产生一个正常轮廓模型。当某调用序列偏离正常轮廓模型时,即认为受到攻击。
▲滑动窗口技术(sliding window method)。以某滑动窗口扫描正常的系统调用序列数据,产生正常数据的短序列集合;然后以同样的方法扫描入侵数据,产生一组短序列,在正常集合中查找产生的每个序列,如果有则认为属于正常,否则判为异常。
基于系统调用序列分析技术的缺点:
▲对于每个系统调用都要进行计算,降低了检测系统的功效。
▲由于系统调用本身没有规律性,很难区分正常系统调用和异常系统调用,从而导致较高的误报率。
②贝叶斯网络(Bayesian networks)
贝叶斯网络:一种基于概率的不确定性推理网络,是用来表示变量集合连接概率的图形模型,提供了一种表示因果信息的方法。
贝叶斯网络方法的精确性依赖于目标系统的行为模型,模型不准确则检测也将不准确,然而对于系统或网络选择一个准确的行为模型是非常困难的。
③主成分分析(PCA,Principal components analysis)
含义:在低维子空间表示高维数据,使得在误差平方和的意义下低维表示能够最好的描述原始数据。
主成分分析是构造原随机变量的一系列线性组合,使各线性组合彼此不相关,且尽可能的反映原变量的信息,即方差最大。
将n个有相互关系的随意变量,转换为n
d 个无关联的变量,这些无关联的变量是原始变量的线性组合,并以一个简化的数据形式表示[15,16]。。
④马尔可夫模型(Markov models)
含义:马尔可夫链模型可以用来表示系统的正常模式,通过对系统实际观察到的行为的分析,推导出正常模式的马尔可夫链模型对实际行为的支持程度,从而判断异常。
具体研究成果:Ye等人提出了一个基于马尔可夫链的异常检测技术[23]。Yeung 等人提出了一个应用隐马尔可夫模型(hidden Markov model,HMM)的基于profiling系统调用序列和shell命令序列的异常检测。徐明等人在现有的单层马尔可夫链异常入侵检测模型上,提出一个两层马尔可夫链异常入侵检测模型,将性质上有较大差异的两个过程,不同的请求和同一请求内的系统调用序列分为两层,分别用不同的马尔可夫链进行处理[24]。
(3)基于模式预测的异常检测技术
Teng和Chen[25]提出一种基于时间推理的方法,利用时间规则描述用户的正常行为模式,利用已发生事件对未来事件进行预言。规则通过归纳学习产生,包括已经发生的事件(左侧)和随后发生的事件及其可能性(右侧)两部分。如果发生的事件与某个规则左侧相匹配,但随后的行为不符合(有较大的统计偏离)规则右侧的预言,则将该事件看作是入侵行为。
该方法对用户行为的变化具有较好的适应性;能够检测到在IDS预测规则学习时期试图训练系统的入侵者,具有较好的自身防御能力,检测速度快。
(4)基于遗传算法的异常检测技术
Crosbie和Spa-fford[26]提出利用遗传编程的学习能力构建基于自治代理的IDS,并给出了如何使用自动定义功能(automatically defined func-tions)改进遗传编程对单一类型函数的依赖性,使其能在确保类型安全的同时处理多种数据类型。他们的实验表明,遗传编程可以作为一个训练自治代理来检测入侵行为的学习范例。
遗传算法比传统搜索方法尽管具有更强的鲁棒性,可以提高IDS的检测效率,减少错误率以及剔除无用的分析项,使IDS的运行时间得到优化。
(5)基于免疫系统的异常检测技术
通过区分自我和非自我识别异常模式。
首先,定义系统的正常模式库(self模式库),而后随机产生的许多模式同每一个已定义的Self模式进行比较,若它匹配了任何一个Self模式,则该随机模式被丢弃。否则,将其作为一个成熟识别器用于匹配系统中将出现的异常模式。
(6)基于文件完整性检查的异常检测技术
通过对敏感文件和目录进行加密核查来发现其中的异常变化,如:未授权的软件安装、入侵后留下的后门和系统文件破坏等。Tripwire首先扫描整个系统,并基于文件系统状态和配置文件的完整性核查结果建立一个基准数据库。此后,Tripwire定期对当前系统进性文件完整性检查,并将结果与基准数据库的记录进行比较,若不符合则认为出现完整性异常。
该方法采用Hash函数和信息诊断算法进行加密核查,可对入侵过程中造成的文件破坏或改动做出有效的检测。但是,它要求首次核查的系统必须是干净的。另外,系统正常的更新操作可能带来大量的文件更新,导致基准数据库的重建。
(7)基于规范的异常检测技术
建立特权程序安全预期行为的规范,并将实际审计跟踪记录与之比较,判断是否异常。Ko等还给出一种规范语言 PE-grammars来描述特权程序中有关安全
的正常操作序列,即踪迹(trace)。将每个特权程序的实际操作序列与其预定义的踪迹进行比较,如不相符则认为是入侵行为,这被称为踪迹策略(tracepolicy)。
(8)基于数据挖掘的异常检测技术
采用各种特定的算法(如分类算法,关联分析算,序列分析算法)在海量数据中发现有用的可理解的数据模式,从中发现入侵检测行为[42]。
B 误用检测技术
含义:误用检测(misuse detection),也称基于知识的检测。指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。这种方法由于依据具体特征库来进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员做出相应措施提供了方便。主要缺陷在于与具体系统依赖性太强,不但系统移植性不好,维护工作量大,而且将具体入侵手段抽象成知识也很困难,并且检测范围受已知知识的局限。
误用检测方法大致有以下几种:专家系统、模式匹配与协议分析、基于模型、按键监视、模型推理、状态转换、Petric网状态转换等。下面主要介绍几种误用检测方法。
1、基于专家系统的网络入侵检测技术
基于专家系统(Expert System)的入侵检测技术,通常是针对有特征的入侵行为的基于规则的检测,即根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上构成相应的专家系统[43]。专家系统既能用于异常检测又能用于误用检测。
不同的系统与设备具有不同的规则,且规则之间往往不具有通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。通常专家系统中的规则以if—then的语法形式表示,条件部分为入侵特征,then部分是系统防范措施。基于专家系统的入侵检测对环境表现得比较健壮,但是其缺点是检测系统的性能有赖于训练数据的质量,此外,它可能不包
括所有可能的正常行为模式,而且规则必须被人工创建。
2、基于模式匹配的网络入侵检测技术
基于模式匹配的入侵检测技术也像专家系统一样,也需要供给行为的具体知识。但是攻击方法的具体描述不是被转换为抽象的检测规则,而是将已知的入侵特征编码成与审计记录相符合的模式,因而能够在审计记录中直接寻找相匹配的已知入侵模式,而不需要像专家系统一样要处理大量数据,从而大大提高了检测效率。
3、基于状态转换分析的网络入侵检测技术
基于状态转换分析(state-transition analysis)的入侵检测技术是将状态转换图应用于入侵行为的分析。状态转换法将入侵过程看作一个事件序列,这个事件序列导致系统从初始状态转入被入侵状态。
这种技术的使用源于一个事实,即所有入侵者都是从某一受限的特权程序开始来探测系统的脆弱性以获得结果。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件即特征事件,然后用状态转换图来表示每一个状态和特征事件。这种分析方法可以减少审计事件的分析范围,可以检测协同攻击,在一定程度上可以预测下一步的攻击方向。
基于状态转换分析的入侵检测技术的一个优势是状态转换是直观的、高级别的、独立于审计的入侵情节的表示。该方法允许一个入侵情节的部分表达,在转换图中使用标签活动的最小可能子集,因此它会检测到相同入侵的不同变体。它具有时间和空间扩展性。但是该方法的状态声明和标签都是人工编码,不利于系统检测到标签库以外的攻击。
4、基于模型推理的网络入侵检测技术
攻击者在攻击一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。用基于模型推理的入侵检测技术,人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。
5、基于条件概率的网络入侵检测技术
条件概率(conditional probability)类似于贝叶斯统计方法,不同之处是这里的条件是一系列的事件。基于条件概率的入侵检测技术是在概率理论基础上的一个普遍方法,它是对贝叶斯方法的改进。这种方法的缺点是先验概率比较难以给出,而且事件的独立性也很难满足。
C、基于数据挖掘的入侵检测技术
主体技术:关联分析、序列分析、分类、聚类分析、孤立点分析、基于粗糙集挖掘等。
1、基于关联分析的入侵检测
Wenke Lee最早将关联分析的方法用于入侵检测。
关联规则描述每个连接记录中的特征属性之间的关系,即一个事件中的属性之间的关系。
每条记录包括:开始时间、连接时间长度、源I P地址、目的I P地址、源端口、目的端口、传送字节数、T C P/I P连接状态标志等。
挖掘的任务是用关联规则来描述系统的模式。
2、基于序列分析的入侵检测
序列分析分析数据间的前后因果关系,它够挖掘单个安全事件之间的先后关系,从中提取入侵行为的时间序列特征。
3、基于数据分类的入侵检测
分类就是建立一个分类函数或分类模型(分类器),它能够把数据库中的数据映射到给定的某个类别。
构造分类器输入训练样本数据集,通过训练集中数据的特性,寻找一种准确的分类描述、模型和规则,然后用这个分类规则识别其它数据的归属或类别。
4、基于聚类分析的入侵检测
根据一定的规则,对一组未分类的安全事件进行分析,根据分类分析预先给出的分类规则,将零碎的安全事件划分为描述入侵行为的安全事件集。
常用的聚类分析包括分裂法(K-MEANS、K-MEDOIDS)、层次法(B IRCH、CURE)以及基于密度、基于网格、基于模型的方法等。
5、基于孤立点分析的入侵检测
孤立点数据是指远离数据集聚区,且不是随机偏差,而是产生于完全不同的机制的数据。孤立点数据往往预示着有异常活动(入侵行为)出现,在银行、保险业中的欺诈检测中取得了良好的效果。
6、基于粗糙集理论的入侵检测
将粗糙集理论引入到入侵检测中,只需要用很少的一部分正常数据作训练,就能得到一个简单的预测模型,高效、实时地检测异常情况。可以预见,粗糙集方法在入侵检测中是很有前途的。
五、网络入侵检测技术面临的主要问题
1、检测性能方面
(1)入侵者总是想方设法掩盖其攻击的痕迹,并不断地采用各种方法逃避入侵检测系统的检测。
现象之一:比如在基于主机的入侵检测系统中,攻击者在进入系统后可能会关闭审计,阻止审计记录的产生(比如通过创建大量的进程,使得运行IDS的系统无法创建生成审计记录的进程)或是篡改日志记录,使得入侵检测系统无法得到可靠的数据源,也就无法进行正确的分类。
影响:根据DARPA在1998年和1999年对入侵检测系统的离线评估[39][40],可得知虽然对已知的攻击,入侵检测系统的检测率可达到80%以上,但对新型攻击的检测率却低于60%。
解决办法:只能依赖操作系统自身的安全设置,比如设定日志记录无法更改,或是设定只有某种权限才能关闭日志等等来减轻这种威胁。
2、检测系统的健壮性方面
当前许多商用入侵检测系统在其某个组件突然失效时,常常会引起整个检测
系统的功能丧失。而理想的入侵检测系统应该具有当部分组件发生故障或因其它原因不起作用时,整个检测系统的总体检测性能虽然会受到一定程度的影响,但不会导致系统整个崩溃或完全失去检测能力。
3、检测系统的自适应性方面
希望:入侵检测系统具有动态自适应性,这种自适应性表现在两方面,其一是能够适应变化的入侵,其二是能够容忍自身的变化。
现实:入侵检测系统所面临的攻击是随时间而改变的,当新的漏洞发现时针对新的漏洞的攻击会突然增多,而当操作系统发布新的补丁后,针对这种漏洞的攻击因为无效而渐渐没有入侵者会再使用了,同时,入侵检测系统所要保护的系统也是动态变化的,增加新的用户、新的服务,这两方面的变化都对传统的静态的入侵检测系统构成严重的挑战。
4、协同性方面
在大型网络中,网络不同的部分可能使用了不同的入侵检测系统,但现在的入侵检测系统之间不能交换信息,使得发现了攻击时难以找到攻击的源头,甚至给入侵对象造成了攻击的漏洞。
六、网络入侵检测未来发展趋势
1、宽带高速网络的实时入侵检测技术
入侵检测系统的软件结构和算法;
新的高速网络协议。
2、分布式协同入侵检测技术
(1)数据采集协同:目前的NIDS或DIDS 将网络数据包的采集、分析和日志文件的采集、分析割裂开来,不能满足网络入侵检测的实际需求。
(2)数据分析协同:有两个层面,一是对单个检测引擎的数据进行协同分析,二是中心管理平台对来自多个检测引擎的审计数据,利用数据挖掘技术进行“思索”,从而对各个区域的网络进行相关性分析,以快速捕获已有或新生的入侵行为。
(3)响应协同:指入侵检测系统与防火墙、审计系统等的互动与联动,实现整体安全防护体系。
3、智能化入侵检测技术
免疫原理、数据挖掘、神经网络等,用于入侵特征的辨识与泛化。
具有自学习能力的神经网络,可以实现知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。
4、基于专家系统的入侵检测技术
根据安全专家对可疑行为的分析经验形成一套推理规则,然后在此基础上构建相应的专家系统,由此专家系统对所涉及的攻击自动进行分析、处理。基于专家系统的入侵检测系统具有一定的发现新的安全漏洞的能力。
推理规则的建立有较大的难度,此项技术仍处在探索阶段。
5、入侵检测数据融合技术
针对当前实时检测技术无法有效地处理复杂、隐蔽的攻击以及检测的虚假警告问题而提出。
把各种数据和信息综合成为一个统一的处理进程,来评估整个网络环境的安全性能。
数据:各种网络数据包、系统日志文件、用户资料信息、系统消息和操作命令、系统输出是入侵者的身份估计和确定位置、入侵者的活动信息、危险性信息、攻击等级和对整个入侵行为危险程度的评估等。
6、面向IPv6 的入侵检测
IPv6是针对IPv4 地址空间有限和安全性不够而提出的, 随着 IPv6应用范围的扩展,入侵检测系统支持IPv6将是一大发展趋势,面向IPv6的入侵检测系统主要解决如下问题:
①超大规模网络环境下的入侵检测;
②认证和加密情况下的网络监听。
七、网络入侵检测产品
国内:华为3Com的Quidway SecEngine D200入侵检测系统,
联想网御入侵检测系统,
启明星辰的天阗入侵检测与管理系统,
绿盟科技的“冰之眼”入侵检测系统,
东软的NetEye IDS入侵检测系统,
中科网威信息技术有限公司的“天眼”入侵检测系统,
南大苏富特股份有限公司生产的SoftNIDS 2.7入侵检测系统等。
国外:NFR公司的NID(Network Intrusion Detection)监控实时网络上
的各种可疑活动,如攻击行为、误用行为、滥
用行为和各种异常,是一款基于误用的商业软
件,当前为NID-100/200 版本5.2。
ISS公司的RealSecure 实时的网络安全监控
NAI公司的CyberCop Intrusion Protection 入侵检测,安全扫
描,动态响应和审计分析
Cisco公司的Cisco Secure IDS