入侵檢測論文范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)入侵檢測論文文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
論文摘要:隨著計算機的飛速發(fā)展以及網(wǎng)絡技術的普遍應用,隨著信息時代的來臨,信息作為一種重要的資源正得到了人們的重視與應用。因特網(wǎng)是一個發(fā)展非常活躍的領域,可能會受到黑客的非法攻擊,所以在任何情況下,對于各種事故,無意或有意的破壞,保護數(shù)據(jù)及其傳送、處理都是非常必要的。計劃如何保護你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時,首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。本文介紹了防火墻技術的基本概念、系統(tǒng)結(jié)構(gòu)、原理、構(gòu)架、入侵檢測技術及VPN等相關問題。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章緒論
§1.1概述
隨著以Internet為代表的全球信息化浪潮的來臨,信息網(wǎng)絡技術的應用正日益廣泛,應用層次正在深入,應用領域也從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展,其中以黨政系統(tǒng)、大中院校網(wǎng)絡系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門、政府或軍事領域等為典型。伴隨網(wǎng)絡的普及,公共通信網(wǎng)絡傳輸中的數(shù)據(jù)安全問題日益成為關注的焦點。一方面,網(wǎng)絡化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性,通過分布式處理提高了系統(tǒng)效率和可靠性,并且還具備可擴充性。另一方面,也正是由于具有這些特點增加了網(wǎng)絡信息系統(tǒng)的不安全性。
開放性的網(wǎng)絡,導致網(wǎng)絡所面臨的破壞和攻擊可能是多方面的,例如:可能來自物理傳輸線路的攻擊,也可以對網(wǎng)絡通信協(xié)議和實現(xiàn)實施攻擊,可以是對軟件實施攻擊,也可以對硬件實施攻擊。國際性的網(wǎng)絡,意味著網(wǎng)絡的攻擊不僅僅來自本地網(wǎng)絡的用戶,也可以來自linternet上的任何一臺機器,也就是說,網(wǎng)絡安全所面臨的是一個國際化的挑戰(zhàn)。開放的、國際化的Internet的發(fā)展給政府機構(gòu)、企事業(yè)單位的工作帶來了革命性的變革和開放,使得他們能夠利用Internet提高辦事效率、市場反應能力和競爭力。通過Internet,他們可以從異地取回重要數(shù)據(jù),同時也面臨Internet開放所帶來的數(shù)據(jù)安全的挑戰(zhàn)與危險。如何保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵,己成為政府機構(gòu)、企事業(yè)單位信息化建設健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內(nèi)部網(wǎng)絡由公共網(wǎng)絡互聯(lián)起來,這種互聯(lián)方式面臨多種安全威脅,極易受到外界的攻擊,導致對網(wǎng)絡的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。
雖然國內(nèi)己有許多成熟的防火墻及其他相關安全產(chǎn)品,并且這些產(chǎn)品早已打入市場,但是對于安全產(chǎn)品來說,要想進入我軍部隊。我們必須自己掌握安全測試技術,使進入部隊的安全產(chǎn)品不出現(xiàn)問題,所以對網(wǎng)絡安全測試的研究非常重要,具有深遠的意義。
§1.2本文主要工作
了解防火墻的原理、架構(gòu)、技術實現(xiàn)
了解防火墻的部署和使用配置
熟悉防火墻測試的相關標準
掌握防火墻產(chǎn)品的功能、性能、安全性和可用性的測試方法
掌握入侵檢測與VPN的概念及相關測試方法
第二章防火墻的原理、架構(gòu)、技術實現(xiàn)
§2.1什么是防火墻?
防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。
§2.2防火墻的原理
隨著網(wǎng)絡規(guī)模的擴大和開放性的增強,網(wǎng)絡上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網(wǎng)絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測),但這幾乎是一種不切合實際的方法,因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡,它們可能運行著不同的操作系統(tǒng),當發(fā)現(xiàn)了安全缺陷時,每個可能被影響的節(jié)點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall),防火墻是用來在安全私有網(wǎng)絡(可信任網(wǎng)絡)和外部不可信任網(wǎng)絡之間安全連接的一個設備或一組設備,作為私有網(wǎng)絡和外部網(wǎng)絡之間連接的單點存在。防火墻是設置在可信任的內(nèi)部網(wǎng)絡和不可信任的外部網(wǎng)絡之間的一道屏障,它可以實施比較廣泛的安全策略來控制信息流,防止不可預料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。
§2.3防火墻的架構(gòu)
防火墻產(chǎn)品的三代體系架構(gòu)主要為:
第一代架構(gòu):主要是以單一cpu作為整個系統(tǒng)業(yè)務和管理的核心,cpu有x86、powerpc、mips等多類型,產(chǎn)品主要表現(xiàn)形式是pc機、工控機、pc-box或risc-box等;
第二代架構(gòu):以np或asic作為業(yè)務處理的主要核心,對一般安全業(yè)務進行加速,嵌入式cpu為管理核心,產(chǎn)品主要表現(xiàn)形式為box等;
第三代架構(gòu):iss(integratedsecuritysystem)集成安全體系架構(gòu),以高速安全處理芯片作為業(yè)務處理的主要核心,采用高性能cpu發(fā)揮多種安全業(yè)務的高層應用,產(chǎn)品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設備,容量大性能高,各單元及系統(tǒng)更為靈活。
§2.4防火墻的技術實現(xiàn)
從Windows軟件防火墻的誕生開始,這種安全防護產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭,不斷的進化與升級。從最早期的只能分析來源地址,端口號以及未經(jīng)處理的報文原文的封包過濾防火墻,后來出現(xiàn)了能對不同的應用程序設置不同的訪問網(wǎng)絡權限的技術;近年來由ZoneAlarm等國外知名品牌牽頭,還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻;最后,由于近來垃圾插件和流氓軟件的盛行,很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上,Windows軟件防火墻從開始的時候單純的一個截包丟包,堵截IP和端口的工具,發(fā)展到了今天功能強大的整體性的安全套件。
第三章防火墻的部署和使用配置
§3.1防火墻的部署
雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網(wǎng)絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。
實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)服務器(也稱應用網(wǎng)關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的,應用網(wǎng)關能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網(wǎng)關能夠有效地避免內(nèi)部網(wǎng)絡的信息外泄。正是由于應用網(wǎng)關的這些特點,使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。
----那么我們究竟應該在哪些地方部署防火墻呢?
----首先,應該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡與外部Internet的接口處,以阻擋來自外部網(wǎng)絡的入侵;其次,如果公司內(nèi)部網(wǎng)絡規(guī)模較大,并且設置有虛擬局域網(wǎng)(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網(wǎng)連接的總部與各分支機構(gòu)之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構(gòu)組成虛擬專用網(wǎng)(VPN)。
----安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡還是與外部公網(wǎng)的連接處,都應該安裝防火墻。
§3.2防火墻的使用配置
一、防火墻的配置規(guī)則:
沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包),任何數(shù)據(jù)包無法穿過防火墻。(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務器允許外部發(fā)起連接)
inside可以訪問任何outside和dmz區(qū)域。
dmz可以訪問outside區(qū)域。
inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。
outside訪問dmz需要配合acl(訪問控制列表)。
二、防火墻設備的設置步驟:
1、確定設置防火墻的部署模式;
2、設置防火墻設備的IP地址信息(接口地址或管理地址(設置在VLAN1上));
3、設置防火墻設備的路由信息;
4、確定經(jīng)過防火墻設備的IP地址信息(基于策略的源、目標地址);
5、確定網(wǎng)絡應用(如FTP、EMAIL等應用);
6、配置訪問控制策略。
第四章防火墻測試的相關標準
防火墻作為信息安全產(chǎn)品的一種,它的產(chǎn)生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率,更是為了保證國家信息的安全。依照中華人民共和國國家標準GB/T18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網(wǎng)絡服務器的安全技術要求》以及多款防火墻隨機提供的說明文檔,中國軟件評測中心軟件產(chǎn)品測試部根據(jù)有關方面的標準和不同防火墻的特點整理出以下軟件防火墻的測試標準:
4.1規(guī)則配置方面
要使防火墻軟件更好的服務于用戶,除了其默認的安全規(guī)則外,還需要用戶在使用過程中不斷的完善其規(guī)則;而規(guī)則的設置是否靈活方便、實際效果是否理想等方面,也是判斷一款防火墻軟件整體安全性是否合格的重要標準。簡單快捷的規(guī)則配置過程讓防火墻軟件具備更好的親和力,一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應用程序、文件或注冊表鍵值實施單獨的規(guī)則添加等等,這將成為此款軟件防火墻規(guī)則配置的一個特色。
§4.2防御能力方面
對于防火墻防御能力的表現(xiàn),由于偶然因素太多,因此無法從一個固定平等的測試環(huán)境中來得出結(jié)果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結(jié)果可能仍然有一定的出入,但大致可以做為一個性能參考。
§4.3主動防御提示方面
對于網(wǎng)絡訪問、系統(tǒng)進程訪問、程序運行等本機狀態(tài)發(fā)生改變時,防火墻軟件一般都會有主動防御提示出現(xiàn)。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應的操作選擇。
§4.4自定義安全級別方面
用戶是否可以參照已有安全級別的安全性描述來設置符合自身特殊需要的規(guī)則。防火墻可設置系統(tǒng)防火墻的安全等級、安全規(guī)則,以防止電腦被外界入侵。一般的防火墻共有四個級別:
高級:預設的防火墻安全等級,用戶可以上網(wǎng),收發(fā)郵件;l
中級:預設的防火墻安全等級,用戶可以上網(wǎng),收發(fā)郵件,網(wǎng)絡聊天,F(xiàn)TP、Telnet等;l
低級:預設的防火墻安全等級,只對已知的木馬進行攔截,對于其它的訪問,只是給于提示用戶及記錄;l
自定義:用戶可自定義防火墻的安全規(guī)則,可以根據(jù)需要自行進行配置。l
§4.5其他功能方面
這主要是從軟件的擴展功能表現(xiàn)、操作設置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網(wǎng)址、實施木馬掃描、阻止彈出廣告窗口、將未受保護的無線網(wǎng)絡“學習”為規(guī)則、惡意軟件檢測、個人隱私保護等豐富的功能項,是否可以滿足用戶各方面的需要。
§4.6資源占用方面
這方面的測試包括空閑時和瀏覽網(wǎng)頁時的CPU占用率、內(nèi)存占有率以及屏蔽大量攻擊時的資源占用和相應速度。總的來是就是資源占用率越低越好,啟動的速度越快越好。
§4.7軟件安裝方面
這方面主要測試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過程是不是方便、安裝完成后是否提示升級本地數(shù)據(jù)庫的信息等等。
§4.8軟件界面方面
軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善,相反地,簡化了用戶的操作設置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項,這方便用戶根據(jù)不同的安全級別啟動相應的防護
第五章防火墻的入侵檢測
§5.1什么是入侵檢測系統(tǒng)?
入侵檢測可被定義為對計算機和網(wǎng)絡資源上的惡意使用行為進行識別和響應的處理過程,它不僅檢測來自外部的入侵行為,同時也檢測內(nèi)部用戶的未授權活動。
入侵檢測系統(tǒng)(IDS)是從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息,并分析這些信息,檢查網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認為是防火墻之后的第二道安全閘門,它作為一種積極主動的安全防護技術,從網(wǎng)絡安全立體縱深、多層次防御的角度出發(fā),對防范網(wǎng)絡惡意攻擊及誤操作提供了主動的實時保護,從而能夠在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵
§5.2入侵檢測技術及發(fā)展
自1980年產(chǎn)生IDS概念以來,已經(jīng)出現(xiàn)了基于主機和基于網(wǎng)絡的入侵檢測系統(tǒng),出現(xiàn)了基于知識的模型識別、異常識別和協(xié)議分析等入侵檢測技術,并能夠?qū)Π僬住⑶д咨踔粮吡髁康木W(wǎng)絡系統(tǒng)執(zhí)行入侵檢測。
入侵檢測技術的發(fā)展已經(jīng)歷了四個主要階段:
第一階段是以基于協(xié)議解碼和模式匹配為主的技術,其優(yōu)點是對于已知的攻擊行為非常有效,各種已知的攻擊行為可以對號入座,誤報率低;缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測,漏報率高。
第二階段是以基于模式匹配+簡單協(xié)議分析+異常統(tǒng)計為主的技術,其優(yōu)點是能夠分析處理一部分協(xié)議,可以進行重組;缺點是匹配效率較低,管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。
第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術,其優(yōu)點是誤報率、漏報率和濫報率較低,效率高,可管理性強,并在此基礎上實現(xiàn)了多級分布式的檢測管理;缺點是可視化程度不夠,防范及管理功能較弱。
第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術,其優(yōu)點是入侵管理和多項技術協(xié)同工作,建立全局的主動保障體系,具有良好的可視化、可控性和可管理性。以該技術為核心,可構(gòu)造一個積極的動態(tài)防御體系,即IMS——入侵管理系統(tǒng)。
新一代的入侵檢測系統(tǒng)應該是具有集成HIDS和NIDS的優(yōu)點、部署方便、應用靈活、功能強大、并提供攻擊簽名、檢測、報告和事件關聯(lián)等配套服務功能的智能化系統(tǒng)§5.3入侵檢測技術分類
從技術上講,入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協(xié)議分析三類。而主要的入侵檢測方法有特征檢測法、概率統(tǒng)計分析法和專家知識庫系統(tǒng)。
(1)基于知識的模式識別
這種技術是通過事先定義好的模式數(shù)據(jù)庫實現(xiàn)的,其基本思想是:首先把各種可能的入侵活動均用某種模式表示出來,并建立模式數(shù)據(jù)庫,然后監(jiān)視主體的一舉一動,當檢測到主體活動違反了事先定義的模式規(guī)則時,根據(jù)模式匹配原則判別是否發(fā)生了攻擊行為。
模式識別的關鍵是建立入侵模式的表示形式,同時,要能夠區(qū)分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為,屬已知類型,對新類型的入侵是無能為力的,仍需改進。
(2)基于知識的異常識別
這種技術是通過事先建立正常行為檔案庫實現(xiàn)的,其基本思想是:首先把主體的各種正常活動用某種形式描述出來,并建立“正常活動檔案”,當某種活動與所描述的正常活動存在差異時,就認為是“入侵”行為,進而被檢測識別。
異常識別的關鍵是描述正常活動和構(gòu)建正常活動檔案庫。
利用行為進行識別時,存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據(jù)異常識別思想,把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為,并具有簡單的學習功能。
以下是幾種基于知識的異常識別的檢測方法:
1)基于審計的攻擊檢測技術
這種檢測方法是通過對審計信息的綜合分析實現(xiàn)的,其基本思想是:根據(jù)用戶的歷史行為、先前的證據(jù)或模型,使用統(tǒng)計分析方法對用戶當前的行為進行檢測和判別,當發(fā)現(xiàn)可疑行為時,保持跟蹤并監(jiān)視其行為,同時向系統(tǒng)安全員提交安全審計報告。
2)基于神經(jīng)網(wǎng)絡的攻擊檢測技術
由于用戶的行為十分復雜,要準確匹配一個用戶的歷史行為和當前的行為是相當困難的,這也是基于審計攻擊檢測的主要弱點。
而基于神經(jīng)網(wǎng)絡的攻擊檢測技術則是一個對基于傳統(tǒng)統(tǒng)計技術的攻擊檢測方法的改進方向,它能夠解決傳統(tǒng)的統(tǒng)計分析技術所面臨的若干問題,例如,建立確切的統(tǒng)計分布、實現(xiàn)方法的普遍性、降低算法實現(xiàn)的成本和系統(tǒng)優(yōu)化等問題。
3)基于專家系統(tǒng)的攻擊檢測技術
所謂專家系統(tǒng)就是一個依據(jù)專家經(jīng)驗定義的推理系統(tǒng)。這種檢測是建立在專家經(jīng)驗基礎上的,它根據(jù)專家經(jīng)驗進行推理判斷得出結(jié)論。例如,當用戶連續(xù)三次登錄失敗時,可以把該用戶的第四次登錄視為攻擊行為。
4)基于模型推理的攻擊檢測技術
攻擊者在入侵一個系統(tǒng)時往往采用一定的行為程序,如猜測口令的程序,這種行為程序構(gòu)成了某種具有一定行為特征的模型,根據(jù)這種模型所代表的攻擊意圖的行為特征,可以實時地檢測出惡意的攻擊企圖,盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監(jiān)視具有特定行為特征的某些活動。根據(jù)假設的攻擊腳本,這種系統(tǒng)就能檢測出非法的用戶行為。一般為了準確判斷,要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。
使用基于知識的模式識別和基于知識的異常識別所得出的結(jié)論差異較大,甚至得出相反結(jié)論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫,它對已知攻擊可以詳細、準確地報告出攻擊類型,但對未知攻擊卻無能為力,而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結(jié)論的,它雖無法準確判斷出攻擊的手段,但可以發(fā)現(xiàn)更廣泛的、甚至未知的攻擊行為。
§5.4入侵檢測技術剖析
1)信號分析
對收集到的有關系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息,一般通過三種技術手段進行分析:模式匹配、統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
2)模式匹配
模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)已有模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化)。一般來講,一種進攻模式可以用一個過程(如執(zhí)行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優(yōu)點是只需收集相關的數(shù)據(jù)集合,顯著減少系統(tǒng)負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法,不能檢測到從未出現(xiàn)過的黑客攻擊手段。
3)統(tǒng)計分析
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發(fā)生。例如,本來都默認用GUEST帳號登錄的,突然用ADMINI帳號登錄。這樣做的優(yōu)點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡的分析方法,目前正處于研究熱點和迅速發(fā)展之中。
4)完整性分析
完整性分析主要關注某個文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性,它在發(fā)現(xiàn)被更改的、被特咯伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(shù)(例如MD5),它能識別哪怕是微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn),用于事后分析而不用于實時響應。盡管如此,完整性檢測方法還應該是網(wǎng)絡安全產(chǎn)品的必要手段之一。例如,可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊,對網(wǎng)絡系統(tǒng)進行全面地掃描檢查。
§5.5防火墻與入侵檢測的聯(lián)動
網(wǎng)絡安全是一個整體的動態(tài)的系統(tǒng)工程,不能靠幾個產(chǎn)品單獨工作來進行安全防范。理想情況下,整個系統(tǒng)的安全產(chǎn)品應該有一個響應協(xié)同,相互通信,協(xié)同工作。其中入侵檢測系統(tǒng)和防火墻之間的聯(lián)動就能更好的進行安全防護。圖8所示就是入侵檢測系統(tǒng)和防火墻之間的聯(lián)動,當入侵檢測系統(tǒng)檢測到入侵后,通過和防火墻通信,讓防火墻自動增加規(guī)則,以攔截相關的入侵行為,實現(xiàn)聯(lián)動聯(lián)防。
§5.6什么是VPN?
VPN的英文全稱是“VirtualPrivateNetwork”,翻譯過來就是“虛擬專用網(wǎng)絡”。顧名思義,虛擬專用網(wǎng)絡我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或Windows2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)。
虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
§5.7VPN的特點
1.安全保障雖然實現(xiàn)VPN的技術和方式很多,但所有的VPN均應保證通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實現(xiàn)簡單、方便、靈活,但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。
2.服務質(zhì)量保證(QoS)
VPN網(wǎng)應當為企業(yè)數(shù)據(jù)提供不同等級的服務質(zhì)量保證。不同的用戶和業(yè)務對服務質(zhì)量保證的要求差別較大。在網(wǎng)絡優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低,在流量高峰時引起網(wǎng)絡阻塞,使實時性要求高的數(shù)據(jù)得不到及時發(fā)送;而在流量低谷時又造成大量的網(wǎng)絡帶寬空閑。QoS通過流量預測與流量控制策略,可以按照優(yōu)先級分實現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預防阻塞的發(fā)生。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應用對高質(zhì)量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為:減小網(wǎng)絡風險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。
§5.8VPN防火墻
VPN防火墻就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡的世界里,要由VPN防火墻過濾的就是承載通信數(shù)據(jù)的通信包。
最簡單的VPN防火墻是以太網(wǎng)橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用。大多數(shù)VPN防火墻采用的技術和標準可謂五花八門。這些VPN防火墻的形式多種多樣:有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧;有的在已有的協(xié)議棧上建立自己的軟件模塊;有的干脆就是獨立的一套操作系統(tǒng)。還有一些應用型的VPN防火墻只對特定類型的網(wǎng)絡連接提供保護(比如SMTP或者HTTP協(xié)議等)。還有一些基于硬件的VPN防火墻產(chǎn)品其實應該歸入安全路由器一類。以上的產(chǎn)品都可以叫做VPN防火墻,因為他們的工作方式都是一樣的:分析出入VPN防火墻的數(shù)據(jù)包,決定放行還是把他們?nèi)拥揭贿叀?/p>
所有的VPN防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭,根據(jù)其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網(wǎng)段之間隔了一個VPN防火墻,VPN防火墻的一端有臺UNIX計算機,另一邊的網(wǎng)段則擺了臺PC客戶機。
當PC客戶機向UNIX計算機發(fā)起telnet請求時,PC的telnet客戶程序就產(chǎn)生一個TCP包并把它傳給本地的協(xié)議棧準備發(fā)送。接下來,協(xié)議棧將這個TCP包“塞”到一個IP包里,然后通過PC機的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機。在這個例子里,這個IP包必須經(jīng)過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機。
現(xiàn)在我們“命令”(用專業(yè)術語來說就是配制)VPN防火墻把所有發(fā)給UNIX計算機的數(shù)據(jù)包都給拒了,完成這項工作以后,比較好的VPN防火墻還會通知客戶程序一聲呢!既然發(fā)向目標的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā),那么只有和UNIX計算機同在一個網(wǎng)段的用戶才能訪問UNIX計算機了。
還有一種情況,你可以命令VPN防火墻專給那臺可憐的PC機找茬,別人的數(shù)據(jù)包都讓過就它不行。這正是VPN防火墻最基本的功能:根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場面這種小伎倆就玩不轉(zhuǎn)了,由于黑客們可以采用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。
后記:
入侵檢測作為一種積極主動地安全防護技術,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)有兩個:一個是虛警率太高,一個是檢測速度太慢。現(xiàn)有的入侵檢測系統(tǒng)還有其他技術上的致命弱點。因此,可以這樣說,入侵檢測產(chǎn)品仍具有較大的發(fā)展空間,從技術途徑來講,除了完善常規(guī)的、傳統(tǒng)的技術(模式識別和完整性檢測)外,應重點加強統(tǒng)計分析的相關技術研究。
但無論如何,入侵檢測不是對所有的入侵都能夠及時發(fā)現(xiàn)的,即使擁有當前最強大的入侵檢測系統(tǒng),如果不及時修補網(wǎng)絡中的安全漏洞的話,安全也無從談起。
同樣入侵檢測技術也存在許多缺點,IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現(xiàn)在以下幾個方面:
1)利用加密技術欺騙IDS;
2)躲避IDS的安全策略;
3)快速發(fā)動進攻,使IDS無法反應;
4)發(fā)動大規(guī)模攻擊,使IDS判斷出錯;
5)直接破壞IDS;
6)智能攻擊技術,邊攻擊邊學習,變IDS為攻擊者的工具。
我認為在與防火墻技術結(jié)合中應該注意擴大檢測范圍和類別、加強自學習和自適應的能力方面發(fā)展。
參考文獻:
1..MarcusGoncalves著。宋書民,朱智強等譯。防火墻技術指南[M]。機械工業(yè)出版社
2.梅杰,許榕生。Internet防火墻技術新發(fā)展。微電腦世界.
第2篇
入侵檢測系統(tǒng)(IDS)可以對系統(tǒng)或網(wǎng)絡資源進行實時檢測,及時發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡的入侵者,也可預防合法用戶對資源的誤操作。本論文從入侵檢測的基本理論和入侵檢測中的關鍵技術出發(fā),主要研究了一個簡單的基于網(wǎng)絡的windows平臺上的個人入侵檢測系統(tǒng)的實現(xiàn)(PIDS,PersonalIntrusionDetectionSystem)。論文首先分析了當前網(wǎng)絡的安全現(xiàn)狀,介紹了入侵檢測技術的歷史以及當前入侵檢測系統(tǒng)的關鍵理論。分析了Windows的網(wǎng)絡體系結(jié)構(gòu)以及開發(fā)工具Winpcap的數(shù)據(jù)包捕獲和過濾的結(jié)構(gòu)。最后在Winpcap系統(tǒng)環(huán)境下實現(xiàn)本系統(tǒng)設計。本系統(tǒng)采用異常檢測技術,通過Winpcap截取實時數(shù)據(jù)包,同時從截獲的IP包中提取出概述性事件信息并傳送給入侵檢測模塊,采用量化分析的方法對信息進行分析。系統(tǒng)在實際測試中表明對于具有量化特性的網(wǎng)絡入侵具有較好的檢測能力。最后歸納出系統(tǒng)現(xiàn)階段存在的問題和改進意見,并根據(jù)系統(tǒng)的功能提出了后續(xù)開發(fā)方向。
關鍵詞:網(wǎng)絡安全;入侵檢測;數(shù)據(jù)包捕獲;PIDS
1.1網(wǎng)絡安全概述
1.1.1網(wǎng)絡安全問題的產(chǎn)生
可以從不同角度對網(wǎng)絡安全作出不同的解釋。一般意義上,網(wǎng)絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”;控制安全則指身份認證、不可否認性、授權和訪問控制。
互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡環(huán)境為信息共享、信息交流、信息服務創(chuàng)造了理想空間,網(wǎng)絡技術的迅速發(fā)展和廣泛應用,為人類社會的進步提供了巨大推動力。然而,正是由于互聯(lián)網(wǎng)的上述特性,產(chǎn)生了許多安全問題:
(1)信息泄漏、信息污染、信息不易受控。例如,資源未授權侵用、未授權信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認等,這些都是信息安全的技術難點。
(2)在網(wǎng)絡環(huán)境中,一些組織或個人出于某種特殊目的,進行信息泄密、信息破壞、信息侵權和意識形態(tài)的信息滲透,甚至通過網(wǎng)絡進行政治顛覆等活動,使國家利益、社會公共利益和各類主體的合法權益受到威脅。
(3)網(wǎng)絡運用的趨勢是全社會廣泛參與,隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧,使信息資源的保護和管理出現(xiàn)脫節(jié)和真空,從而使信息安全問題變得廣泛而復雜。
(4)隨著社會重要基礎設施的高度信息化,社會的“命脈”和核心控制系統(tǒng)有可能面臨更大的威脅。
1.1.2網(wǎng)絡信息系統(tǒng)面臨的安全威脅
目前網(wǎng)絡信息系統(tǒng)面臨的安全威脅主要有:
(1)非法使用服務:這種攻擊的目的在于非法利用網(wǎng)絡的能力,網(wǎng)絡上的非授權訪問應該是不可能的。不幸的是,用于在網(wǎng)絡上共享資源及信息的工具、程序存在許多安全漏洞,而利用了這些漏洞就可以對系統(tǒng)進行訪問了。
(2)身份冒充;這種攻擊的著眼點在于網(wǎng)絡中的信任關系,主要有地址偽裝IP欺騙和用戶名假冒。
(3)數(shù)據(jù)竊取:指所保護的重要數(shù)據(jù)被非法用戶所獲取,如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號等重要敏感信息。
(4)破壞數(shù)據(jù)完整性:指通過非法手段竊得系統(tǒng)一定使用權限,并刪除、修改、偽造某些重要信息,以干擾用戶的正常使用或便于入侵者的進一步攻擊。
1.1.3對網(wǎng)絡個人主機的攻擊
對方首先通過掃描來查找可以入侵的機器,即漏洞探測;接著確定該機器的IP地址;然后利用相應的攻擊工具發(fā)起某種攻擊。
第3篇
關鍵詞入侵檢測系統(tǒng);CIDF;網(wǎng)絡安全;防火墻
0引言
近年來,隨著信息和網(wǎng)絡技術的高速發(fā)展以及政治、經(jīng)濟或者軍事利益的驅(qū)動,計算機和網(wǎng)絡基礎設施,特別是各種官方機構(gòu)的網(wǎng)站,成為黑客攻擊的熱門目標。近年來對電子商務的熱切需求,更加激化了這種入侵事件的增長趨勢。由于防火墻只防外不防內(nèi),并且很容易被繞過,所以僅僅依賴防火墻的計算機系統(tǒng)已經(jīng)不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。
1入侵檢測系統(tǒng)(IDS)概念
1980年,JamesP.Anderson第一次系統(tǒng)闡述了入侵檢測的概念,并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種,還提出了利用審計數(shù)據(jù)監(jiān)視入侵活動的思想[1]。即其之后,1986年DorothyE.Denning提出實時異常檢測的概念[2]并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(tǒng)(IDES),1990年,L.T.Heberlein等設計出監(jiān)視網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng),NSM(NetworkSecurityMonitor)。自此之后,入侵檢測系統(tǒng)才真正發(fā)展起來。
Anderson將入侵嘗試或威脅定義為:潛在的、有預謀的、未經(jīng)授權的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為[4]:發(fā)現(xiàn)非授權使用計算機的個體(如“黑客”)或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權利以及企圖實施上述行為的個體。執(zhí)行入侵檢測任務的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為:檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件。
入侵檢測系統(tǒng)執(zhí)行的主要任務包括[3]:監(jiān)視、分析用戶及系統(tǒng)活動;審計系統(tǒng)構(gòu)造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統(tǒng)計分析異常行為模式;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計、跟蹤管理操作系統(tǒng),識別用戶違反安全策略的行為。入侵檢測一般分為三個步驟:信息收集、數(shù)據(jù)分析、響應。
入侵檢測的目的:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監(jiān)視以實施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴大;
2入侵檢測系統(tǒng)模型
美國斯坦福國際研究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2],該模型的檢測方法就是建立用戶正常行為的描述模型,并以此同當前用戶活動的審計記錄進行比較,如果有較大偏差,則表示有異常活動發(fā)生。這是一種基于統(tǒng)計的檢測方法。隨著技術的發(fā)展,后來人們又提出了基于規(guī)則的檢測方法。結(jié)合這兩種方法的優(yōu)點,人們設計出很多入侵檢測的模型。通用入侵檢測構(gòu)架(CommonIntrusionDetectionFramework簡稱CIDF)組織,試圖將現(xiàn)有的入侵檢測系統(tǒng)標準化,CIDF闡述了一個入侵檢測系統(tǒng)的通用模型(一般稱為CIDF模型)。它將一個入侵檢測系統(tǒng)分為以下四個組件:
事件產(chǎn)生器(EventGenerators)
事件分析器(Eventanalyzers)
響應單元(Responseunits)
事件數(shù)據(jù)庫(Eventdatabases)
它將需要分析的數(shù)據(jù)通稱為事件,事件可以是基于網(wǎng)絡的數(shù)據(jù)包也可以是基于主機的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個計算機環(huán)境中獲得事件,并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應單元則是對分析結(jié)果做出反應的功能單元,它可以做出切斷連接、修改文件屬性等強烈反應。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱,它可以是復雜的數(shù)據(jù)庫也可以是簡單的文本文件。
3入侵檢測系統(tǒng)的分類:
現(xiàn)有的IDS的分類,大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局、采集、分析、響應等各個層次及系統(tǒng)性研究方面的問題,在這里采用五類標準:控制策略、同步技術、信息源、分析方法、響應方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個中央節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。在部分分布式IDS中,監(jiān)控和探測是由本地的一個控制點控制,層次似的將報告發(fā)向一個或多個中心站。在全分布式IDS中,監(jiān)控和探測是使用一種叫“”的方法,進行分析并做出響應決策。
按照同步技術分類
同步技術是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技術劃分,IDS劃分為間隔批任務處理型IDS和實時連續(xù)性IDS。在間隔批任務處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內(nèi)產(chǎn)生的信息,并在入侵發(fā)生時將結(jié)果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續(xù)型IDS中,事件一發(fā)生,信息源就傳給分析引擎,并且立刻得到處理和反映。實時IDS是基于網(wǎng)絡IDS首選的方案。
按照信息源分類
按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網(wǎng)絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊。基于主機的IDS是在關鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡數(shù)據(jù)包來檢測攻擊。分布式IDS,能夠同時分析來自主機系統(tǒng)日志和網(wǎng)絡數(shù)據(jù)流,系統(tǒng)由多個部件組成,采用分布式結(jié)構(gòu)。
按照分析方法分類
按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫,當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法,因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的,即任何一種入侵行為都能由于其偏離正常或者所期望的系統(tǒng)和用戶活動規(guī)律而被檢測出來。所以它需要一個記錄合法活動的數(shù)據(jù)庫,由于庫的有限性使得虛警率比較高。
按照響應方式分類
按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時,主動IDS會采用以下三種響應:收集輔助信息;改變環(huán)境以堵住導致入侵發(fā)生的漏洞;對攻擊者采取行動(這是一種不被推薦的做法,因為行為有點過激)。被動響應IDS則是將信息提供給系統(tǒng)用戶,依靠管理員在這一信息的基礎上采取進一步的行動。
4IDS的評價標準
目前的入侵檢測技術發(fā)展迅速,應用的技術也很廣泛,如何來評價IDS的優(yōu)缺點就顯得非常重要。評價IDS的優(yōu)劣主要有這樣幾個方面[5]:(1)準確性。準確性是指IDS不會標記環(huán)境中的一個合法行為為異常或入侵。(2)性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說,必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(faulttolerance)。當被保護系統(tǒng)遭到攻擊和毀壞時,能迅速恢復系統(tǒng)原有的數(shù)據(jù)和功能。(5)自身抵抗攻擊能力。這一點很重要,尤其是“拒絕服務”攻擊。因為多數(shù)對目標系統(tǒng)的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS,再實施對系統(tǒng)的攻擊。(6)及時性(Timeliness)。一個IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果,以便在系統(tǒng)造成嚴重危害之前能及時做出反應,阻止攻擊者破壞審計數(shù)據(jù)或IDS本身。
除了上述幾個主要方面,還應該考慮以下幾個方面:(1)IDS運行時,額外的計算機資源的開銷;(2)誤警報率/漏警報率的程度;(3)適應性和擴展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。
5IDS的發(fā)展趨
隨著入侵檢測技術的發(fā)展,成型的產(chǎn)品已陸續(xù)應用到實踐中。入侵檢測系統(tǒng)的典型代表是ISS(國際互聯(lián)網(wǎng)安全系統(tǒng)公司)公司的RealSecure。目前較為著名的商用入侵檢測產(chǎn)品還有:NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內(nèi)的該類產(chǎn)品較少,但發(fā)展很快,已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。
人們在完善原有技術的基礎上,又在研究新的檢測方法,如數(shù)據(jù)融合技術,主動的自主方法,智能技術以及免疫學原理的應用等。其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術一般只局限于單一的主機或網(wǎng)絡框架,顯然不能適應大規(guī)模網(wǎng)絡的監(jiān)測,不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此,必須發(fā)展大規(guī)模的分布式入侵檢測技術。
(2)寬帶高速網(wǎng)絡的實時入侵檢測技術。大量高速網(wǎng)絡的不斷涌現(xiàn),各種寬帶接入手段層出不窮,如何實現(xiàn)高速網(wǎng)絡下的實時入侵檢測成為一個現(xiàn)實的問題。
(3)入侵檢測的數(shù)據(jù)融合技術。目前的IDS還存在著很多缺陷。首先,目前的技術還不能對付訓練有素的黑客的復雜的攻擊。其次,系統(tǒng)的虛警率太高。最后,系統(tǒng)對大量的數(shù)據(jù)處理,非但無助于解決問題,還降低了處理能力。數(shù)據(jù)融合技術是解決這一系列問題的好方法。
(4)與網(wǎng)絡安全技術相結(jié)合。結(jié)合防火墻,病毒防護以及電子商務技術,提供完整的網(wǎng)絡安全保障。
6結(jié)束語
在目前的計算機安全狀態(tài)下,基于防火墻、加密技術的安全防護固然重要,但是,要根本改善系統(tǒng)的安全現(xiàn)狀,必須要發(fā)展入侵檢測技術,它已經(jīng)成為計算機安全策略中的核心技術之一。IDS作為一種主動的安全防護技術,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。隨著網(wǎng)絡通信技術安全性的要求越來越高,入侵檢測技術必將受到人們的高度重視。
參考文獻:
[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4
[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131
[3]張杰,戴英俠,入侵檢測系統(tǒng)技術現(xiàn)狀及其發(fā)展趨勢[J],計算機與通信,2002.6:28-32
