网络入侵检测方法研究

网络入侵检测方法研究[摘要]介绍网络入侵的过程与处理流程，入侵检测的分类，入侵检测目标与评估参数，对于入侵检测的手段与方法作了回顾，总结入侵检测的评估参数。最后提出了以后入侵检测技术的发展趋势[关键词]入侵检测检测流程评估参数中图分类号：TP3文献标识码：B文章编号：1671－7597（2008）0420082－01一、入侵检测的流程与结构计算机网络安全技术涉及到许多技术领域，主要包括密码技术、防火墙技术、安全协议、身份认证技术、访问控制技术和安全监控技术等。事实上，对于网络安全来讲，任何技术都不是独立存在的，而是相辅相成，互为补充和利用的。我们从安全防范技术的机理上分别加以介绍。在图1中给出了一个通用的入侵检测系统结构。数据提取模块的作用在于为系统提供数据，数据的来源可以是主机上的日志和变动信息，也可以是网络上的数据信息，甚至是流量变化等，这些都可以作为数据源。数据提取模块在获得数据之后，需要对数据进行简单的处理，如简单的过滤、数据格式的标准化等，然后将经过处理的数据提交给数据分析模块。数据分析模块的作用在于对数据进行深入地分析，发现攻击并根据分析的结果产生事件，传递给结果处理模块。数据分析的方式多种多样，可以简单到对某种行为的计数(如一定时间内某个特定用户登录失败的次数，或者某种特定类型报文的出现次数)，也可以是一个复杂的专家系统。该模块是一个入侵检测系统的核心，在许多文献和研究报告中，所说的入侵检测方法就是指的数据分析方法。数据分析方法也是本文研究的重点。结果处理模块的作用在于告警与反应，这实际上与PZDR模型的R有所重叠。从非技术角度来说，结果处理模块的告警是通知管理员，而R的作用在于产生一个正式的告警，作为单位个体正式的安全事件进行处理；从技术角度来说，两者的功能很难划分，也可以将结果处理的反应功能归结为R的一部分。二、入侵检测的分类根据入侵检测系统监控对象及数据源的不同可分为：基于网络(Network一based)的入侵检测系统和基于主机(Host一based)的入侵检测系统；根据检测方法的不同可分为两大类：误用检测和异常检测。基于网络的IDS主要目的是用来保护某一网段，所基于的数据源是从网络上采集的数据包；而基于主机的IDS一般用来监视主机信息，其数据源通常包括操作系统审计记录、系统日志、基于应用的审计信息、基于目标的对象信息等。图2从不同角度对入侵检测系统进行分类：误用检测首先使用形式化方法来描述入侵特征(signature，或称为入侵模式，pattems)并构建入侵特征库，通过模式匹配方式来检测已知类型攻击及其变种行为。异常检测则是使用形式化方法来描述网络和用户的正常行为模式，构建网络和用户正常活动简档(Profile，或档案，轮廓)，检测过程中捕获那些与正常活动简档不相符的异常行为，并进一步在异常行为集合中区分出入侵行为。另外，IDS对检测到的入侵行为可采取不同的反应方式：采取某种行动(例如关闭服务)的ros为积极响应；若只是产生一些警报或者通知，则称之为消极响应。审计信息分析通常在两种模式下工作，不间断持续运行的检测过程，称为实时的，术语“实时”只是表明IDS对入侵的反应足够快；反之为事后处理。IDS在结构特征上的发展趋势和计算机系统发展的趋势相一致：传统的IDS是集中式的，意味着它们或者作为一个单一的模块运行，或者是一系列交互的实体，而所有实体都继承了总的IDS的功能；而分布式IDS由不同实体组成，分布在系统中的每一个实体都执行自己的任务，各实体之间通过消息或其他机制进行交互。这里“分布”的概念指功能上的分布，而不是物理上的分布。三、入侵检测目标与评估参数入侵检测的目标是确认那些由系统内部人员和外部入侵者未经授权使用、滥用和误用计算机系统的行为。它所基于的基本思想是：入侵者的行为有别于正常使用者，并且可以检测得到针对系统的非授权行为。评估入侵检测系统的两个重要参数是正确检出率和误报率。其中，正确检出是指入侵检测系统捕获到的攻击行为，正确检出率等于正确捕捉到的攻击数目和全部攻击数目之比；误报指入侵检测系统将正常行为误认为攻击行为，误报率等于IDS的误报数目与IDS所输出的全部警报数目(真正攻击数目与被误认为攻击的正常活动之和)之比。理想的入侵检测系统应该同时具有较高的正确检出率和较低的误报率。然而实际上二者是相矛盾的，Axelsson详细说明了其原因所在。可以从检出率和误报率的角度分析误用和异常检测。误用检测由于采用准确或模糊匹配方式而具有较低的误报率，但其弱点是不能检测那些未包含在入侵特征模式库中的未知入侵类型；而异常检测的最大优势在于具有捕捉未知类型攻击的能力，但其误报率很高，这是由正常活动简档的准确性及综合程度所决定的。四、结束语入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在代其他安全系统如：访问控制、加密、防火墙、病毒的检测与杀除等的功能，但可以将它与其他安全系统等增强协作，以增加其自身的动态灵活反应及免疫能力。尽管在技术上仍有许多未克服的问题，但正如攻击技术不断发展一样，入侵检测技术也会不断更新、成熟。