网络入侵检测的应用与发展

中央司法警官学院学年论文题目：网络入侵检测技术的应用与发展系别：信息管理与信息系统专业：司法信息安全年级：2010级__________姓名：王滢学号：119031015320025指导老师：张伟1网络入侵检测技术的应用与发展摘要：随着网络科学技术的发展，互联网已经深入到我们生活的各方各面，入侵检测系统作为继防火墙之后的最后一道是网络安全防线，其应用已经十分广泛，本文就是介绍了入侵检测技术的概念、技术应用、技术存在的缺陷以及入侵检测技术的发展。关键词：入侵检测系统、网络安全、入侵检测Abstract：Alongwiththenetworkdevelopmentofscienceandtechnology,theInternethaspenetratedintoallaspectsofourlives,theintrusiondetectionsystemasthelasttractafterfirewallisnetworksecuritydefense,itsusehasbeenverywidely,thispaperintroducestheconceptofintrusiondetectiontechnology,technologyapplication,technicaldefectsaswellasthedevelopmentofintrusiondetectiontechnologies.Keywords:Intrusiondetectionsystem、networksecurity、intrusiondetection随着Internet的应用日益广泛和电子商务的兴起．网络安全作为一个无法回避的问题呈现在人们面前。提到网络安全，很多人首先想到的是防火墙，防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检查出经过它的合法流量中是否包含着恶意的入侵代码。在这种需求背景下，入侵检测系统(IDS)应运而生。入侵检测系统成为了安全市场上新的热点。不仅愈来愈多地受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。一、入侵检测系统（IDS）的概念21、什么是入侵检测系统入侵检测系统(IntrusionDetectionSystem，简称IDS)是继防火墙之后的另一道防御盾牌，是一种主动保护自己免受攻击的一种网络安全技术，它可以帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集并分析信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。在本质上，入侵检测系统（IDS）是一种典型的“窥探设备”，它不跨接多个物理网段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上收集它所关心的报文即可。对一个成功的入侵检测系统（IDS）来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。2、入侵检测系统的分类及功能（1）基于网络的入侵检测系统（NIDS）网络入侵检测系统（NetworkIntrusionDetectionSystem简称NIDS）主要用于检测hacker或cracker通过网络进行的入侵行为，对自身网络起到保护的作用，用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。基于网络的入侵检测系统（NIDS）使用原始网络包作为数据源。通常利用一个运行在混杂模式下网络的适配器来实时监视并分析通过网络的所有通信业务，当然也可能采用其他特殊硬件获得原始网络包。基于网络的入侵检测系统（NIDS）的运行方式有两种，一种是在目标主机上运行以监测其本身的通讯信息，另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息，比如hub、路由器等。3图1基于网络的入侵检测系统示意图（2）基于主机的入侵检测系统（IDES）主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通常，基于主机的入侵检测系统可监测系统、事件和WindowsNT下的安全记录以及UNIX环境下的系统记录，从中发现可疑行为。当有文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。对关键系统文件和可执行文件的入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。基于主机的入侵检测系统（IDES）是一个独立于系统、应用环境、系统弱点和入侵类型的实时入侵检测专家系统。该系统可以看作是一个基于规则的模式匹配系统。审记记录一旦产生，就与相应的描述模型进行比较，与描述模型中的特定信息进行比较，确定用什么规则来更新描述模型，检测异常活动和报告检测异常结果。基于主机的入侵检测系统（IDES）独立于系统的特点使其拥有较强的可移植性。但是，如果对目标系统的弱点有充分的了解，就有利于建立更有效的入侵检测系统。4图2基于主机的入侵检测系统示意图（3）分布式入侵检测系统（DIDS）分布式入侵检测系统（DIDS）这种工作方式比较新，目前这种技术在例如ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。图3分布式入侵检测示意图5二、入侵检测技术的应用1、入侵检测技术对计算机数据库的应用及实践当前时期，计算机破坏因素对于计算机数据库的入侵态势愈演愈烈，从而使得计算机的数据库遭到了极大的破坏，使用入侵检测技术对计算机的数据库系统进行安全防护已经十分必要。入侵检测系统应对这些入侵危害，使用新级别的安全措施，即应用安全，这种应用安全的安全技术把网络及操作系统级的传统的入侵检测系统的概念引入到了计算机的数据库，从而对计算机的数据库实施保护。但是，这种应用安全不同于以往的安全保护，它为计算机数据库提供积极主动的针对SQL的保护以及监视，可以达到对较多的预先包装的或者自行开发的-些WEB应用的有效防护。例如，应用安全可以对关键的数据实施监视和保护，从而避免那些针对数据库实施的有目的的攻击对计算机的数据库造成实际的损害。而且，应用安全还能够对计算机数据库的事件进行审查，从而避免损害问题的出现，再者，计算机应用采用SQL和数据库进行交流，所以好的应用安全系统能够有敛地对SQL进行角平析，从而提供一种既有以理解，流量内容，又可以与应用划消界限，从而为计算机系统提供一个客观的保护层。一般来讲，多数的应用安全系统都具备三个组件，第一个是基于主机或者是计算机网络的传感锵。主机传感器直接停留于应用，而网络传感器与交换机的一个端口相连，这个端口的配置则使得其可以观察到数据库流量的伞出警报。如果需要发出警报，这种警报则会被传递到下一个应用安全系统的组件，这个组就件是校制台服务糕。控制台服务器用于事件的信息储存，以及策略配置与应用传感器的维护。而第三个应用安全系统的组件则是WEB浏览器，网络管理人员利用WEB浏览器对应用安全系统进行修改，并对网络事件进行实时地监视及记录，使事件形成具体的报告。2、分布式入侵检测系统（DIDS）响应机制分析DIDS提供响应策略由服务器IRA与安全网关IRA执行，IRA内嵌于操作系统协议栈中，以获取更高的效率和更灵活的控制，这是它的一个重要特性。DIDS的IRA提供的响应方式有：（1）告警6根据时间的风险级别向受保护的网络发出不同的警报信号，报警信息在系统管理员的中心控制台直接显示警报内容和警报级别，也可以向某一台或多台网络中的主机发送报警信号。（2）日志记录根据安全策略要求，将攻击行为的特征和网络中发生的危害事件写进相关的日志文件或者日志数据库中，支持简单日志和详细日志的记录能力。（3）断开会话连接根据安全策略的要求，对会话实施阻断，终止会话，该方式是主动入侵响应方式，由服务器IRA完成，通过这样的实现机制，可以有效避免同一攻击源对目标主机的下一次攻击，但是断开会话连接的响应方式不能避免该攻击源对内部子网中其他主机的类似攻击行为，（4）事件回放使用DIDS自带的攻击模拟工具，对已经发生的攻击行为进行回放，再现攻击的发生过程，事件回放有记录回放和数据回放两种方式。（5）邮件通知通过email的方式给安全管理员的邮箱发送告警邮件信息服务器IRA的响应动作由本机管理员或服务程序控制。当主机入侵检测代理发现入侵行为时，命令配备在该主机服务器IRA断开本机与非法用户的应用连接，并在一定时间内屏蔽该用户的与主机的通信，同时还要对发生的攻击事件进行日志记录。3、网络入侵检测软件产品目前在网络IDS软件产品市场上比较流行的主要产品有IBM的OutspurcedSolutionUsingNe—tRanger、ISSRealSecure、NetworkFlightRecorder(NFR)、AbimetSessionwall等。有关权威部门利用各种攻击方法对这些网络IDS软件产品进行了研究测试，测试研究结果表明这些网络IDS软件产品基本上不相上下，各有所长，对于防止网络入侵都有很大的帮助。三、入侵检测技术的发展趋势1.入侵检测技术发展的三个阶段第一阶段：入侵检测系统（IDS），IDS能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包7括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。第二阶段：入侵防御系统（IPS），相对与IDS比较成熟的技术，IPS还处于发展阶段，IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术，可以主动的、积极的防范、阻止系统入侵，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断，这样攻击包将无法到达目标，从而可以从根本上避免攻击。第三阶段：入侵管理系统（IMS），IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。2.入侵检测系统面临的主要挑战及应对措施与防火墙技术相比，入侵检测还显得不够成熟，仍然处于发展阶段。负责对IDS进行标准化的入侵检测工作组（IDWG）及公共入侵检测框架（CIDF）的建议和草案，都还处于逐步完善之中，尚未被采纳为广泛接受的国际标准。因此，IDS还面临着很多技术和应用的挑战。（1）要提高IDS的检测速度，以适应网络通信的要求网络安全设备的处理速度，一直是影响网络性能的一大瓶颈。IDS通常以并联方式接入网络，如果其检测速度跟不上网络数据的传输速度，那么检测系统就会漏掉其中的部分数据包，从而导致漏报而影响系统的准确性和有效性。在IDS中，截获网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特征，需要花费大量的时间和系统资源，大部分现有的IDS只有几十兆的检测速度，随着百兆、甚至千兆网络的大量应用，IDS技术发展的速度已经远远落后于网络速度的发展。