网络入侵检测技术综述

第９卷第６期软件导刊Ｖ０１．９Ｎｏ．６１窒！垒堡！旦曼墅堡墅丝！塑：！！！！：网络入侵检测技术综述蝴匕丽娟（长江水利委员会网络与信息中心，湖北武汉４３００１０）摘要：随着网络技术飞速发展和网络规模的不断扩大．网络安全已经成为全球性的重要问题之一。概述了网络入侵检测技术的发展历史及其通用模型，对入侵检测系统的分类和入侵检测的方法进行了分析。讨论了该领域尚存在的问题。关键词：网络攻击；入侵检测；网络安全中图分类号：ＴＰ３９３．０８文献标识码：Ａ文章编号：１６７２－７８００（２０１０）０６－０１６０－０３系统中的若干关键点收集信息并对其进行分析，从中发现网络１入侵检测的概念、原理和模型“入侵”是个广义的概念．不仅包括发起攻击的人取得超出合法范围的系统控制权。也包括收集漏洞信息，造成拒绝服务或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。从系统构成上看。人侵检测系统至少包括数据提取、人侵分析、响应处理３部分。数据提取是入侵检测系统的数据采集器。负责提取反映受保护系统运行状态的运行数据，并完成数据的过滤和预处理。人侵分析是核心模块，负责对原始数据进行同步、整理、组织、分类、特征提取以及各种细致分析。访问（ＤｏＳ）等对计算机造成危害的行为。早在上世纪８０年代初期。Ａｎｄｅｒｓｏｎ将入侵定义为：未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。美国国际计算机安全协会对入侵检测的定义是：入侵检测是通过从计算机网络或计算机最早的入侵检测模型是由Ｄｅｎｎｉｎｇ给出的，该模型主要根止管理主机被攻击者攻破后用来作为发起攻击的“跳板”；对所有出入系统的连接进行１３志记录。３３系统ＶＰＮ的合理设计使用ＶＰＮ．可以在电子政务系统所连接不同的政府部门之间建虚拟隧道．使得两个政务网之间的相互访问就像在一个专用网络中一样。使用ＶＰＮ，可以使政务网用户在外网就象在内网一样地访问政务专用网的资源。使用ＶＰＮ，也可以实现政务网内特殊管理的需要。ＶＰＮ的建立有３种方式：一种是Ｉｎｔｅｍｅｔ服务商（ＩＳＰ）建设，对企业透明；第二种是政府部门自身建设。对ＩＳＰ透明；第三种是ＩＳＰ和政府部门共同建设。在政务网的基础上建立ＶＰＮ，第二种方案比较合适，即政府部门自身建设．对ＩＳＰ透明。因为攻务网是地理范围在政务网内的计算机网络．它有运行于Ｉｎｔｅｒｎｅｔ的公网ＩＰ地址，有自己的路由设备．有自己的网络管理和维护机构，对政务网络有很强的自主管理权和技术支持。所以，在政务网基础上建立ＶＰＮ，完全可以不依赖于ＩＳＰ，政府部门自身进行建设。这样可以有更大的自主性．也可以节省经费。３．４其他信息安全技术的使用此外，电子政务系统的安全性可以采用如下的措施加以保证：控制对网络设备的ＳＮＭＰ和ｔｅｌｎｅｔ，在所有的骨干路由器上建立ａｃｃｅｓｓ—ｌｉｓｔ只对网管中心的地址段做ｐｅｒｍｉｔ．即通过网管中心的主机才能远程维护各骨干路由设备：路由协议在不安全的端口上进行Ｐａｓｓｉｖｅ防止不必要的路由泄露：将所有重要事件进行纪录通过１３志输出；采用防火墙设备对政务局域网进行保护。参考文献：【１］陈昊潭．试论黄委基层，ｇ－ｔ－政务建设中存在的问题及对策［Ｊ】．办公自动化，２００９（１０）．［２］张艳．电子政务系统中的数据安全技术研究［Ｊ］．现代计算机（专业版）。２００９（８）．［３］江琴．浅谈电子政务信息的安全管理［Ｊ］．科技资讯，２００９（２５）．（责任编辑：卓光）作者简介：姚丽娟（１９８３一），女，湖北武汉人，长江水利委员会网络与信息中心助理工程师，研究方向为网络通讯。万方数据第６期姚丽娟：网络人侵检测技术综述・１６１・据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如图１所示。网络数据流ｌ网络数据—————．１截获模块圈１通用入侵检测模型为了解决ＩＤＳ内部、ＩＤＳ之间以及与其它安全系统间的互操作性．ＵＣＤａｖｉｓ制定的ＣＩＤＦ（ＣＯＩＴＩｌｎＯＩＩｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｆｒａ—ｍｅｗｏｒｋ）模型将ＩＤＳ分为４个组件：事件产生器、事件分析器、响应单元和事件数据库，如图２所示。ＣＩＤＦ模型具有很强的扩展性，目前已经得到广泛认同。圈２ＣＩＤＦ模型面对日益加剧的网络安全威胁．传统的静态安全技术如认证机制、加密和防火墙等已经难以胜任。入侵检测作为一种重要的动态安全技术。能够提供对计算机系统和网络的外部攻击、内部攻击及误操作的全面检测．其主要功能是监视并分析用户和系统的行为、审计系统构造和弱点、评估重要系统和数据文件的完整性、识别已知攻击的行为模式、异常行为模式的统计分析、操作系统的审计跟踪管理和识别用户违反安全策略的行为。作为防火墙之后的第２道安全防线，入侵检测已成为网络安全领域重要而迫切的课题。入侵检测系统可以从不同的角度进行分类，主要有以下几种分类方法：３．１基于数据源的分类此种分类方法可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统和基于应用的入侵检测系统。３．１．１基于主机的入侵检测系统基于主机的ＩＤＳ（ＨＩＤＳ）：通过监视和分析主机的审计记录检测入侵。优点是可精确判断入侵事件，并及时进行反应。缺点是会占用宝贵的主机资源。另外，能否及时采集到审计也是这种系统的弱点之一，因为入侵者会将主机审计子系统作为攻击目标以避开ＩＤＳ。典型的系统主要有：ＣｏｍｐｕｔｅｒＷａｔｃｈ，Ｄｉｓ．ｃｏｖｅｒｙ，Ｈａｙｓｔａｃｋ，ＩＤＥＳ，ＩＳＯＡ。ＭＩＤＡＳ以及Ｉ＿ｍＡｌａｍｏｓ国家实验室开发的异常检测系统Ｗ＆Ｓ。万方数据３．１．２基于网络的入侵检测系统基于网络的ＩＤＳ（ＮＩＤＳ）：通过在共享网段上对通信数据进行侦听，分析可疑现象。这类系统不需要主机通过严格审计，主机资源消耗少，可提供对网络通用的保护而无需顾及异构主机的不同架构。但它只能监视经过本网段的活动，且精确度较差，在交换网络环境下难于配置，防欺骗能力也较差。典型的系统有：为ＬｏｓＡｌａｍｏｓ国家实验室的集成计算机网络设计的网络异常检测和入侵检测报告ＮＡＤＩＲ（是一个自动专家系统）；加利福尼亚大学的ＮＳＭ系统（它通过广播ＬＡＮ上的信息流量来检测入侵行为）；分布式入侵检测系统ＤＩＤＳ等。３．１．３基于内核入侵检测系统计算机联网导致大量审计记录。而且审计记录大多数以文件形式存放（如ＵＮＩＸ系统中的Ｓｕｌｏｇ）。因此，单纯依靠人工方法发现记录中的异常现象是困难的。难以发现审计记录之间的相互关系。Ｌｅｅ和Ｓｔｏｌｆｏ将数据挖掘技术引入入侵检测领域，从审计数据或数据流中提取感兴趣的知识。这些知识是隐含的、事先未知的潜在有用信息。提取的知识表示为概念、规则、规律、模式等形式．并用这些知识检测异常入侵和已知的入侵。基于内核的检测方法。目前已有ＫＤＤ算法可以应用。这种方法的优点是，适于处理大量数据。但是，对于实时入侵检测，这种方法还需要加以改进。需要开发出有效的数据挖掘算法和相应的体系。数据挖掘的优点在于处理大量数据的能力与进行数据关联分析的能力。因此，基于内核的检测算法将会在入侵预警方面发挥优势。３．１．４基于应用的入侵检测系统基于应用的监控技术主要特征是使用监控传感器在应用层收集信息。如Ｗｅｂ服务程序、ｍ服务程序，由于这种技术可以更准确地监控用户某一应用的行为，所以，这种技术在日益流行的电子商务中越来越受到注意，其缺点在于有可能降低技术本身的安全。３．２基于检测方法的分类３．２．１异常检测根据使用者的行为或资源使用状况的正常程度来判断是否入侵．而不依赖于具体行为是否出现来检测。异常检测的优点在于通用性较强，但由于不可能对整个系统内的所有用户行为进行全面的描述，而且每个用户的行为是经常改变的，所以它的缺陷是误报率高。３．２．２误用检测根据已定义好的入侵模式，通过判断在实际的安全审计数据中是否出现这些入侵模式来完成检测功能，这种方法由于基于特征库的判断所以检测准确度很高，缺点在于检测范围受已有知识的局限．无法检测未知的入侵行为，此外对系统依赖性大．通用性不强。两种检测技术的方法及所得出的结论有非常大的差异，基于特征的检测技术的核心是维护一个知识库，对于已知的攻击．它可以详细、准确地报告出攻击类型。但是，对未知攻击却效果有限．而且知识库必须不断更新，基于异常的检测技术则２入侵检测的重要性３入侵检测系统分类・１６２・软件导刊４．４其它新技术２０１０矩无法准确判别出攻击的手法，但它可以判别更广泛、甚至未发觉的攻击，如果条件允许，两者结合的检测会达到更好的效果。这几年随着网络及其安全技术的飞速发展，一些新的入侵检测技术相继出现．主要包括：软计算方法、移动代理、计算机４入侵检测方法和技术目前，在入侵检测系统中有多种检测入侵的方法．常见的主要有以下几种：４．１统计方法统计方法是产品化的入侵检测系统中常用的方法．它通常用于异常检测。基于特征选择的异常检测方法，系指从一组度量中选择能够检测出入侵的度量、构成子集。从而预测或分类入侵行为。统计方法是一种较成熟的入侵检测方法。它使得入侵检测系统能够学习主体的日常行为。将那些与正常活动之间存在较大统计偏差的活动标识为异常活动。４．２专家系统用专家系统对入侵进行检测。经常是针对有特征的入侵行为。所谓的规则，即是知识，专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。４．３基于模型的入侵检测方法入侵者在攻击一个系统时往往采用一定的行为序列。如猜测口令的行为序列，这种行为序列构成了具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征．可以实时地检测出恶意的攻击企图。与专家系统通常放弃处理那些不确定的中间结论的缺点相比。这一方法的优点在于它基于完善的不确定性推理数学理论。基于模型的入侵检测方法可以仅监测一些主要的审计事件，当这些事件发生后，再开始记录详细的免疫学、数据挖掘、协议分析加命令解析技术等。上述攻击检测方法和技术单独使用并不能保证准确地检测出变化无穷的入侵行为。在网络安全防护中应该充分权衡各种方法的利弊。综合运用这些方法。才能更为有效地检测出入侵者的非法行为。５结束语入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。在网络系统受到危害之前拦截和响应入侵。入侵检测技术的发展将对网络应用具有重要意义并产生深远影响。研究和开发自主知识产权的ＩＤＳ系统将成为我国信息安全领域的重要课题。参考文献：［１］戴英侠．系统安全与人侵检测［Ｍ］．北京：清华大学出版社。２００２．［２］刘荚兰，姚京松．入侵检测预警系统及其性能设计．第一届中国信息和通信安全学术会议论文集［Ｃ】．北京：科学出版社，２００５．［３］唐正军．网络入侵检测系统的设计与实现［Ｍ］．北京：电子工业出版社．２００６．［４］寇芸，宋鹛鹏，王育民．入侵检测系统与安全的研究【Ｊ］．计算机工程，２００２（５）．［５］卿斯汉．密码学与计算机网络安全［Ｍ］．北京：清华大学出版社，２００１．（责任编辑：杜能钢）审许，从而减少审计事件处理负荷。ＳｕｒｖｅｙｏｆＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎＴｅｃｈｎｏｌｏｇｙＡｂｓｔｒａｃｔ：ＷｉｔｈｔｈｅｒａｐｉｄｄｅｖｅｌｏｐｍｅｎｔｏｆｎｅｔｗｏｒｋｔｅｃｈｎｏｌｏｇｙａｎｄｔｈｅｅｘｐａｎｓｉｏｎｏｆＩｎｔｅｒａｃｔ，ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｈａｓｂｅｃｏｍｅｏｎｅｏｆｔｈｅｉｍ－ｐｏｒｔａｍｇｌｏｂａｌｐｒｏｂｌｅｍｓ．ＴｈｉｓｐａｐｅｒＯｕｔｌｉｎｅｓｔｈｅｎｅｔｗｏｒｋｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｔｅｃｈｎｏｌｏｇｙｄｅｖｅｌｏｐｍｅｎｔｈｉｓｔｏｒｙａｎｄｔｈｅｇｅｎｅｒａｌｍｏｄｅｌｏｆｔｈｅｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍ，ａｎｄｔｈｅｃｌａｓｓｉｆｉｃａｔｉｏｎａｎｄｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｍｅｔｈｏｄｉｓｄｉｓｃｕｓｓｅｄ，ａｎａｌｙｚｅｔｈｅｅｘｉｓｔｉｎｇｑｕｅｓｔｉｏｎｓ．ＫｅｙＷｏｒｄｓ：ＮｅｔｗｏｒｋＡｔｔａｃｋｉｎｇ；ＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎ；ＮｅｔｗｏｒｋＳｅｃｕｒｉｔｙ万方数据