论文部分内容阅读
[摘要]介绍入侵检测系统的概念和发展历史;并对现有的入侵检测系统进行分类,讨论入侵检测系统存在的问题,最后对入侵检测系统的发展趋势作有意义的预测。
[关键词]入侵检测系统 网络安全 防火墙
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)0610027-01
目前抵御入侵行为主要是采用防火墙设备,这是一种被动防御性的网络安全工具。首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,不能检查出经过他的合法流量中是否包含着恶意的入侵代码。因此仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的入侵检测系统就开始崭露头角。
一、入侵检测系统的概念
入侵检测顾名思义是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS,它是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。
二、入侵检测系统的发展历史
1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型- IDES(Intrusion Detection EXPert Systems入侵检测专家系统),是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。1989年,加州大学戴维斯分校的Todd Heberlein写了一篇论文《A Network SecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。
三、入侵检测的主要分类
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS;按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS;按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS;按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS;按照响应方式IDS划分为主动响应IDS和被动响应IDS。
四、IDS存在的问题
尽管有众多的商业产品出现,与诸如防火墙等技术高度成熟的产品相比,入侵检测系统还存在相当多的问题。这些问题大多是目前入侵检测系统的结构所难以克服的,而且这些矛盾可能越来越尖锐。主要的问题有:
1.恶意信息采用加密的方法传输。网络入侵检测系统通过匹配网络数据包发现攻击行为,IDS往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过IDS的检测。TFN现在便已经通过加密的方法传输控制信息。还有许多系统通过VPN(虚拟专用网)进行网络之间的互联,如果IDS不了解其所用的隧道机制,会出现大量的误报和漏报。
2.必须协调、适应多样性的环境中的不同的安全策略。
3.不断增大的网络流量。
4.所监控的网络流量超过100Mbps之后,计算量非常之大,系统的数据处理与分析能力会显著降低,这使得它面临着一个难以逾越的技术门槛。
5.对IDS自身的攻击。和其他系统一样,IDS本身也往往存在安全漏洞。如若对IDS攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。
6.大量的误报和漏报使得发现问题的真正所在非常困难。
五、入侵检测技术发展趋势
在入侵检测技术发展的同时,入侵技术也在日新月异。高速网络,尤其是交换技术的发展以及通过加密信道的数据通信,使得通过共享网段侦听的网络数据采集方法显得不足,而大量的通信量对数据分析也提出了新的要求。近年对入侵检测技术技术有几个主要发展方向:
(一)分布式入侵检测技术与通用入侵检测技术架构。传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术技术与通用入侵检测技术架构。
(二)应用层入侵检测技术。许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测技术如WEB之类的通用协议,而不能处理如LotusNotes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测技术保护。
(三)智能的入侵检测技术。入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测技术领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
(四)互操作性亟待提高。目前,IDS的研究基本上还处于各自为政的山大王纷争时代,不同的IDS之间及与其他安全产品之间的互操作性很差。为了推动IDS产品及部件之间的互操作性,DARPA和IETF入侵检测工作组分别制订了CIDF和IDMEF标准,从体系结构、API、通信机制、语言格式等方面规范IDS。
(五)网络安全技术相结合结合防火墙、PKIX、安全电子交易SET等新的网络安全与电子商务技术,提供完整的网络安全保障。
六、 结论
未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵的检测也会不断更新、成熟。同时要及时修补网络中的安全漏洞,否则安全也无从谈起。
参考文献:
[1]Anderson J P. Computer security threat monitoring and surveillance [P].PA 19034,USA, 1980.4 .
[2]Denning D E .An Intrusion-Detection Model [A] . IEEE Symp on Security & Privacy[C],1986.118-131.
[3]蒋建春、冯登国.网络入侵检测技术原理与技术.北京:国防工业出版社,2001.7.
[4]戴连英,连一峰,王航.系统安全与入侵检测技术.北京:清华大学出,2002.3.
[5]吴焱等译,入侵者检测技术.北京:电子工业出版社,1999.
[关键词]入侵检测系统 网络安全 防火墙
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)0610027-01
目前抵御入侵行为主要是采用防火墙设备,这是一种被动防御性的网络安全工具。首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,不能检查出经过他的合法流量中是否包含着恶意的入侵代码。因此仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的入侵检测系统就开始崭露头角。
一、入侵检测系统的概念
入侵检测顾名思义是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS,它是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。
二、入侵检测系统的发展历史
1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型- IDES(Intrusion Detection EXPert Systems入侵检测专家系统),是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。1989年,加州大学戴维斯分校的Todd Heberlein写了一篇论文《A Network SecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。
三、入侵检测的主要分类
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS;按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS;按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS;按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS;按照响应方式IDS划分为主动响应IDS和被动响应IDS。
四、IDS存在的问题
尽管有众多的商业产品出现,与诸如防火墙等技术高度成熟的产品相比,入侵检测系统还存在相当多的问题。这些问题大多是目前入侵检测系统的结构所难以克服的,而且这些矛盾可能越来越尖锐。主要的问题有:
1.恶意信息采用加密的方法传输。网络入侵检测系统通过匹配网络数据包发现攻击行为,IDS往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过IDS的检测。TFN现在便已经通过加密的方法传输控制信息。还有许多系统通过VPN(虚拟专用网)进行网络之间的互联,如果IDS不了解其所用的隧道机制,会出现大量的误报和漏报。
2.必须协调、适应多样性的环境中的不同的安全策略。
3.不断增大的网络流量。
4.所监控的网络流量超过100Mbps之后,计算量非常之大,系统的数据处理与分析能力会显著降低,这使得它面临着一个难以逾越的技术门槛。
5.对IDS自身的攻击。和其他系统一样,IDS本身也往往存在安全漏洞。如若对IDS攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。
6.大量的误报和漏报使得发现问题的真正所在非常困难。
五、入侵检测技术发展趋势
在入侵检测技术发展的同时,入侵技术也在日新月异。高速网络,尤其是交换技术的发展以及通过加密信道的数据通信,使得通过共享网段侦听的网络数据采集方法显得不足,而大量的通信量对数据分析也提出了新的要求。近年对入侵检测技术技术有几个主要发展方向:
(一)分布式入侵检测技术与通用入侵检测技术架构。传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术技术与通用入侵检测技术架构。
(二)应用层入侵检测技术。许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测技术如WEB之类的通用协议,而不能处理如LotusNotes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测技术保护。
(三)智能的入侵检测技术。入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测技术领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
(四)互操作性亟待提高。目前,IDS的研究基本上还处于各自为政的山大王纷争时代,不同的IDS之间及与其他安全产品之间的互操作性很差。为了推动IDS产品及部件之间的互操作性,DARPA和IETF入侵检测工作组分别制订了CIDF和IDMEF标准,从体系结构、API、通信机制、语言格式等方面规范IDS。
(五)网络安全技术相结合结合防火墙、PKIX、安全电子交易SET等新的网络安全与电子商务技术,提供完整的网络安全保障。
六、 结论
未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵的检测也会不断更新、成熟。同时要及时修补网络中的安全漏洞,否则安全也无从谈起。
参考文献:
[1]Anderson J P. Computer security threat monitoring and surveillance [P].PA 19034,USA, 1980.4 .
[2]Denning D E .An Intrusion-Detection Model [A] . IEEE Symp on Security & Privacy[C],1986.118-131.
[3]蒋建春、冯登国.网络入侵检测技术原理与技术.北京:国防工业出版社,2001.7.
[4]戴连英,连一峰,王航.系统安全与入侵检测技术.北京:清华大学出,2002.3.
[5]吴焱等译,入侵者检测技术.北京:电子工业出版社,1999.