【电脑网络】回顾入侵检测技术及其发展历史自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。入侵检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全,但不同的用户需求也不同。由于攻击的不确定性,单一的IDS产品可能无法做到面面俱到。因此,IDS的未来发展必然是多元化的,只有通过不断改进和完善才能更好地协助网络进行安全防御。入侵检测技术的发展已经历了四个主要阶段:第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统。1.入侵检测技术分类从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。(1)基于知识的模式识别这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。(2)基于知识的异常识别这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。异常识别的关键是描述正常活动和构建正常活动档案库。利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。以下是几种基于知识的异常识别的检测方法:1)基于审计的攻击检测技术这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。2)基于神经网络的攻击检测技术由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。3)基于专家系统的攻击检测技术所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。4)基于模型推理的攻击检测技术攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。(3)协议分析这种检测方法是根据针对协议的攻击行为实现的,其基本思想是:首先把各种可能针对协议的攻击行为描述出来,其次建立用于分析的规则库,最后利用传感器检查协议中的有效荷载,并详细解析,从而实现入侵检测。这种检测技术能检测出更为广泛的攻击,包括已知的和未知的攻击行为。2.入侵检测技术的发展趋势随着交换技术、加密信道技术和入侵技术的不断发展,对入侵检测技术的要求也越来越高,检测的方法手段也越来越复杂。(1)入侵技术发展的特点现代入侵技术具有以下一些特点:1)综合化和复杂化;2)间接化;3)规模化;4)分布式;5)范围广。(2)入侵检测存在的问题IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:1)利用加密技术欺骗IDS;2)躲避IDS的安全策略;3)快速发动进攻,使IDS无法反应;4)发动大规模攻击,使IDS判断出错;5)直接破坏IDS;6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。(3)入侵检测技术发展趋势1)分布式入侵检测,扩大检测范围和类别;2)智能化入侵检测,自学习、自适应;3)应用层入侵检测;4)高速入侵检测;5)标准化和系统化入侵检测。目前,IDS发展的新趋势主要表现在两个方向上,一个是趋向构建入侵防御系统(IPS)。IPS是在IDS中增加主动响应功能实现的,并以串联方式接入网络(IDS是以并联方式接入网络的),一旦发现有攻击行为,则立即响应,主动切断与攻击者的连接。IPS不仅具有入侵检测功能,还具有安全防护功能;二是趋向构建入侵管理系统(IMS)。IMS是IDS发展的另一个方向,IMS的目标是将入侵检测、脆弱性分析,以及入侵防御等多种功能集成到一个平台上进行统一管理。IMS技术是一个管理过程,在未发生攻击时,IMS主要考虑网络中的漏洞信息,评估和判断可能形成的攻击和将面临的威胁;在发生攻击或即将发生攻击时,不仅要检测出入侵行为,还要主动响应和防御入侵行为;在受到攻击后,还要深入分析入侵行为,并通过关联分析来判断可能出现的下一个攻击行为。