入侵检测

入侵检测系统综述【摘要】internet的高速发展，我们的工作生活也变得更加的便利，同时网络的广泛应用，随之带来的是很多的个人或企业的信息安全的严苛考验，传统的信息加密，防火墙技术以及诸多安全协议，在日益更新变换多端的安全威胁的当下，也需要更加严密的安全防护措施，对于网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题，而入侵检测技术就可以当做一种很实用的技术来保护网络安全。本论文首先概括了这次学术研究的内容和意义，并在大体上介绍了一下这方面研究的国内外主要研究成果。主要内容就是具体的研究几种现今主流的入侵检测技术，向人们阐述它们的详细信息，包括其特点，结构和其检测流程等，还有深入的分析了各自的优势并指出了不足之处，最后大胆的分析了网络入侵检测技术未来的发展趋势和主要的几种发展方向，简言之本文展示了网络入侵检测技术的种种。关键词：网络信息安全；防火墙；入侵检测1入侵检测系统发展及起源1.1入侵检测系统意义将本地网络连接到Internet后，Internet上的计算机就能自由访问本地网络中的计算机。本地网络中的计算机相互之间都可以信任，而外部Internet上的计算机可能来自任意地方，不可信任。如何给可信任的本地网络中的计算机提供资源，而不给其他Internet上的计算机提供访问或入侵的机会，同时又不妨碍本地网络中的计算机正常访问Internet，就成为了建立内部网络的一个要求。当然，针对每个计算机进行设置，也可以达到屏蔽外部网络访问的目的。然而这样做一方面不太方便，在内部网络和外部网络中架设一个防火墙，所有的访问都需要经过它进行验证，对内部网络提供了保护作用，为内网提供安全防护的防火墙技术包括包过滤技术、代理服务技术、网络地址翻译技术，这些技术无论是包过滤，还是代理服务，都是根据管理员预定义好的规则提供服务或者限制某些访问。而在提供网络访问能力和防止网络安全方面，显然存在矛盾，只要允许访问某些网络服务，就有可能造成某种系统漏洞，然而如果限制太严，合法的网络访问就受到不必要的限制。同时传统的防火墙技术在要求特殊的场合也暴露出了如下的不足之处，1)防火墙在工作时，入侵者可以伪造数据绕过防火墙，或者找到防火墙中可能敞开的后门；2)由于防火墙通常被安装在网络出口处，所以对来自网络内部的攻击无能为力；3)由于防火墙性能上的限制，通常它不具备实时监控入侵的能力；4)其四是防止病毒入侵是防火墙的一个弱项；为了在开放网络服务的同时也提供安全保证，必须有一种方法能监测网络情况，当出现网络攻击时就立即告警或切断相关连接。主动监测技术就是基于这种思路发展起来的，它维护一个记录各种攻击模式的数据库，并使用一个监测程序时刻运行在网络中进行监控，当一旦发现网络中存在与数据库中的某个模式相匹配时，就能推断可能出现网络攻击。主动检测方式作为网络安全的一种新兴技术，由于需要维护各种网络攻击的数据库，因此需要一个专业性的公司维护。理论上这种技术能在不妨碍正常网络使用的基础上保护网络安全，然而这依赖于网络攻击的数据库和监测程序对网络数据的智能分析，而且在网络流量较大时，使用sniffing技术的监测程序可能会遗漏数据包信息，因此这种技术主要用于要求较高，只用于对网络安全要求非常高的网络系统中，常用的网络并不需要使用这种方式。入侵检测技术具有这么几个特点：1)从程序运行的不同节点收集信息；2)分析收集来的信息并搜索是否有入侵活动的特点；3)自行对入侵行为行为做出处理；4)记录并报告检测结果；入侵检测系统的主要功能有：1)监测并分析用户和系统的活动；2)核查系统配置及其漏洞；3)检查系统核心资源及数据信息是否完整；4)识别己知的入侵行为；5)统计分析不正常行为；6)根据操作系统的运行日志，找出违反安全策略的恶意活动；入侵检测系统是一种积极的安全防护手段，其关键在于它使用的检测引擎，怎样达到高效率的检测，是入侵检测技术的一个研究重点。目前的入侵检测技术主要分为两大类，一个是基于异常的入侵检测技术和基于规则的入侵检测技术。现阶段的攻击主要是针对网络的攻击，因此检测恶意攻击的最主要的手段是捕获和分析网络数据包，并且使用相对应的软件来分析是否是入侵者所发出的攻击包，然后将这些符合攻击包特征的数据和入侵检测系统的特征库进行对比匹配，如果在特征库中检测到相应的攻击包，就会发出入侵报警。在与特征库进行匹配的过程中，最常用的技术就是模1.2国内外入侵检测研究现状及分类对IDS的研究成为当前安全领域研究的一个热点,各种新型技术和其他分支学科均被引入和借鉴到IDS的研究中来。如:神经网络、模糊识别、行为模式、遗传算法、免疫系统、数据挖掘、状态迁移和反演技术等等。按照入侵检测系统工作机制的不同,各种入侵检测技术不外乎可以分为以下几类:基于信息来源、基于分析方法和基于响应方式,这些技术有的已趋于完善,有的尚处于理论研究阶段,有的已得到了广泛的应用。下面简单叙述他们各自的工作原理及其优缺点。1.基于信息来源分类的IDS技术信息来源分类是目前最通用的划分IDS技术的方法,由于被检测信息来源的不同,当前基于此的IDS技术主要有:基于主机的IDS、基于网络的IDS和基于路由器的IDS。2.基于响应方式的IDS按照响应单元处理入侵的方式和主控制台对响应单元发出的处理指令,当前主要有主动响应IDS和被动响应IDS,前者当入侵被检测到时,会采取如下三种自动响应行为；收集辅助信息；改变环境堵住导致入侵的漏洞；对攻击者采取行动。后者会首先将信息提供给系统用户,然后采取进一步行动；报警和通知；SNMP捕获和插入；报告和存档。3.基于分析方法的不同IDS技术这是IDS技术的核心,事件分析器对事件信息流的处理能力对IDS的性能至关重要。目前基于分析方法的IDS技术主要有误用检测型IDS和异常检测型IDS。2入侵检测系统相关研究2.1入侵检测系统分类入侵检测技术具体分为以下几类。(一)基于主机的入侵检测系统基于主机的IDS部署在单主机上，利用操作系统产生的日志记录作为主要信息源，通过对其进行审计，检测入侵行为。基于主机IDS不对网络数据包或扫描配置进行检查，而是对系统日志提供的大量数据进行整理。早期的系统多为基于主机的，主要用来检测内部网络的入侵攻击。后来用分布主机代理来实现。其主要优点:信息源(0S日志记录)完备。系统产生的日志是归类有序的。它准确记录了每个用户的行为序列，这样便可以精确监控每个用户的行为。同时也使得IDS对信息源的处理简单、一致。对某些特定的攻击十分有效。比如，审计日志能够显示出由缓冲区溢出攻击引起的优先级转移的情况，从而能够有效的检测缓冲区溢出攻击。其主要缺点:1）由于它通常作为用户进程运行，依赖于具体的操作系统底层的支持，与系统的体系结构有关，所以它无法了解发生在下层协议的入侵活动;2）熟练的入侵者往往可以进入系统修改、删除有关的日志记录，从而隐藏入侵迹象;3）HIDS位于所监视的每一个主机中，故占用的资源不能太多，从而大大制了所采用的检测方法及处理性能。(二)基于网络的入侵检测系统基于网络的IDS最早出现于1990年。它主要用于防御外部入侵攻击。它通过监控出入网络的通信数据流，依据一定规则对数据流的内容进行分析，从而发现协议攻击、运行已知黑客程序的企图和可能破坏安全策略的特征，做出入侵攻击判断。为了能够捕获入侵攻击行为，基于网络IDS必须位于能够看到所以数据包的位置，这包括:环网内部、安全网络中紧随防火墙之后以及其它子网的路由器或网关之后。最佳位置便是位于Internet到内部网络的接入点。但是，同一子网的2个节点之间交换数据报文并且交换数据报文不经过IDS，那么IDS可能就会忽略这些攻击。基于网络IDS的主要优点:1）由于NIDS直接收集网络数据包，而网络协议是标准的。因此，NIDS如目标系统的体系结构无关，可用于监视结构不同的各类系统;2）NIDS使用原始网络数据包进行检测，因此它所收集的审计数据被篡改的可能性很小，而且它不影响被保护系统的性能;3）NIDS利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输，能够实时得到目标系统与外界交互的所有信息，包括一些隐蔽的端口扫描和没有成功的入侵尝试。基于网络IDS的主要缺点:1）缺乏终端系统对待定数据的处理方法等信息，使得从原始的数据包中重构应用层信息很困难。因此，NIDS难以检测发生在应用层的攻击;而对于加密传输方式进行的入侵，NIDS也无能为力;2）NIDS只检查它直接连接网段的通信，不能检测到不同网段的网络包，因此在交换式局域网中，它难以获得不同交换端口的网络信息:3）网络流的数据量大，NIDS必须对数据帧进行解码才能了解其中的含义。因此，NIDS的数据处理量大，而造成处理能力不足。2.2入侵检测技术入侵检测技术总体上分为异常检测和特征检测。(一)异常检测异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。(二)特征检测特征检测这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。2.3相关技术研究Snort入侵检测系统Snort是一个非常著名的轻量级、跨平台的网络入侵检测系统，目前官网上提供的最新版本是，基于Lipbcad库，Sourcefire公司的Martin等人用C语言编写的开源软件，支持Lniux等平台。所谓轻量级包含以下两层意思：其一是指Snort可以非常方便的安装配置在需要监控的目标网络中，而不需要更改目标网络的拓扑和配置参数，运行也不会对网络的运行产生太大的影响；其二是指Snort具有跨平台操作能力，网络安全管理员检测到入侵事件后能够通过迅速修改Snort的配置对入侵做出实时响应，降低入侵带来的损失。Snort本质上是网络数据包喚探器（Sniffer），釆用基于规则的语言来描述网络数据报文，语法简单灵活，实时监控网络数据报文，对捕获到的可疑数据进行特征分析，一旦判定为入侵行为就发出报警并记录日志。在检测到入侵时，报警并将入侵事件详细的记录下来，用户可以选择保存为tcpdump格式或格式或者写入数据库或者数据库。Snort的规则文本文件的形式存储在入侵检测系统中，不同类别的规则文本按照树型结构分组。Snort在启动时加载主配置文件引用规则文件，将其作为捕获网络异常数据的依据。Snort功能强大但代码量小，占用资源少，可移植性强，拥有完善的预处理器和插件体系。缺点是需要安装其他附加应用程序才能发挥的作用，在百兆以上负荷的网络中运行困难，很多合法应用程序产生的流量也会引起误报。由以下四个基本模块组成：1)数据包喚探器（包解码器：对使用Libpcad从网卡捕获网络数据包进行解码填充到结构体中，然后送到预处理器；2)预处理器模块：按照网络数据包的协议类型进行预处理，提供包重组功能、协议解码和规范化功能、非规则和异常检测功能。标准化网络数据包以便检测引擎可以快速、准确地识别；3)检测引擎模块：Snort核心模块，根据启动时加载的用户自定义规则分析数据包，检测是否有入侵行为。如果和规则库中的匹配，通知日志报警系统，否则丢弃包；日志报警系统和输出模块；产生告警并记录入侵检测事件的详细信息。预处理器模块、检测引擎模块和日志报警输出模块都是按照Snort提供的函数借口的插件结构，使用时动态加载。从网络层次模型来看，Snort主要集中在TCP/IP协议族：应用层，如HTTP协议和SMTP协议；传输层，如TCP协议和UDP协议；网络层，如ICMP协议和IP协议；数据链路层，如以太网、令牌环和ARP协议；物理层，如网卡和调制解调器；从OSI七层模型看，Sonrt所必需的Libcap库从数据