关于入侵检测模型的研究与分析_张鹏

yocoa

贡献于2014-04-12

字数:0 关键词: 网络技术

2009.36 网 络 安 全 关于入侵检测模型的研究与分析 张鹏 赵辉 中南大学信息与通信工程系 湖南 410083 摘要:入侵检测系统作为网络入侵防御的基础,是信息安全系统中的重要防护措施,IDS 的建立与拓展都需要有入侵检 测模型作为支撑。本文介绍入侵检测模型的发展,分析了主要的入侵检测模型的框架结构与特点,最后对入侵检测模型目前 所面临的问题进行了阐述。 关键词:入侵检测模型;IDS;入侵检测 0 引言 如今网络安全的问题变得越来越重要,现有的安全机制 通过访问控制(例如口令和防火墙技术等),来保护计算机和网 络不受非法和未经授权的使用。据统计,全球约每20s就有一 次计算机入侵事件发生,互联网上约有 1/4 的防火墙被突破, 约 70% 以上的网络信息主管人员报告因机密信息泄露而受到 损失。随着人们安全意识的提高,安全领域的探索和研究日 益深入,网络安全的问题也是越来越受到各方面的重视。入 侵检测技术是用来检测针对计算机系统和网络系统的非法攻 击的安全措施,与传统的加密和访问控制的常用方法相比,入 侵检测系统(Intrusion Detection System,IDS)是更加先进的网络安 全措施。入侵检测模型为构建 IDS 提供了基础的框架,各种入 侵检测模型的研究也成为网络安全领域研究的重点之一。 1 入侵检测模型的发展 首个入侵检测模型是1987年,由Dorothy E. Denning提 出的,在以后的发展中,IDS 研究者在设计检测模型时,常引 用Denning模型,它是基于主机的主体Profile、系统对象、审 计日志、异常记录和活动规则。一般的入侵检测结构是指基 于规则的模式匹配系统,涉及跟踪应对于主体Profile以检测 基于登录、程序执行和文件存取的计算机误用行为。 以往常用的许多基于主机的 IDS 通常采用的是主体异常 模型,例如入侵检测专家系统(IDES)、下一代网络入侵检测 专家系统(NIDES)、Wisdom & Sense(W&S)、Haystack以及网 络异常检测和入侵报告(NADIR)等。另外随着其他技术的引 入,出现了基于数据挖掘模型的IDS,以及基于神经网络模型 的 IDS。在这些系统中,使用的基本检测算法包括:使用带有 权重的函数来检测背离正常模式的差异;基于对正常使用状 况的剖面分析的协方差矩阵;基于规则的专家系统检测安全 事件等等。 IDS模型发展至今,又出现了基于分布式的检测模型,然 后再拓展为带有网络安全监视(Network Security Monitor)框 架的基于以太网的流量分析。这又被进一步发展为结合了基 于主机的 IDS 和网络流量监视的分布式入侵检测系统(DIDS)。 当今的商用IDS,如Real Secure和计算机误用检测系统(CMDS), 都具有分布式的结构,使用的是基于规则的检测或者统计异常 的检测,或兼而有之。SRI 公司设计的 EMERALD 发展了入侵 检测的分布式结构,在主机上配置服务监视部件。我国中科 院所提出的基于Agent的分布式入侵检测系统模型采取无控制 中心的多 Agent 结构。清华大学网络中心的 DIDAPPER 使用 流量标本和 IP 陷阱的方法来检测大规模的网络行为,并使用 具有自学能力的 BP 网络应用于流量分析。虽然有众多的模型 出现,但目前为止,入侵检测系统还缺乏相应的标准,各种 入侵检测的框架都没有一种统一的衡量标准。 2 入侵检测模型 入侵检测从策略上来讲主要分为异常检测和误用检测, 从分析方法上来讲,又可以分为基于统计的、神经网络和数 据挖掘三类技术。我们从 IDS 的整体框架来对入侵检测模型 进行划分,则主要是三种:通用模型、层次化模型和智能化 模型。 2.1 通用入侵检测模型 图 1 Denning 通用入侵检测模型 通用入侵检测模型的雏形是由Dorothy E. Denning所提 出的(见图 1),该模型后来又经过许多研究者的改进和拓展, 逐步加入了异常检测器以及专家系统等,其中异常检测器用 于统计异常模型的建立,专家系统用来实现基于规则的检测。 模型的3个主要部分是事件发生器(Event Generator)、活动记 作者简介:张鹏(1981-),男,硕士,研究方向:网络管理与安全。赵辉(1957-),男,副教授, 研究方向:网络信息系统、分布式多媒体、现代教育技术。 2009.3 7 网 络 安 全 录器(Activity Profile)和规则集(Rule Set)。其中事件发生器提 供网络活动信息;活动记录器保存监视中的系统和网络状态; 规则集用于事件或状态的核查以及判断,主要通过模型、规 则、模式和统计数据来对入侵行为进行判定。 2.2 层次化入侵检测模型 层次化模型是如今最常见的,也是最为成熟的一种,其 思想来源于入侵检测的两种常用技术,即误用检测和异常检 测。这两种技术分别有利于已知和未知的两种入侵行为判定, 而其差异性就带来的检测的层次性。一般来说,误用检测比 较简单,效率也较高,误报率较低;而异常检测主要针对一 些疑难的、未知的情况。两者所用于比较的信息分别是非安 全行为与安全行为,而一些介于两种行为之间情况,则需要 两者结合,既可以通过攻击行为的分析检测出已知入侵,又 确保可以通过对安全策略库和疑似入侵的行为进行模式匹配 来检测出未知入侵种类,这就是层次化入侵检测模型的基本 思想。另外从入侵检测的数据来源上看,同样也分为网络数 据源和主机数据源两种层次。 在层次化的模型中,把误用检测做作最基本的环节,在 此基础上又结合异常检测,对入侵行为进行逐步分析处理, 可以将大部分的攻击行为检测出来,此外再加上管理员的人 工参与,就可以较好的实现对入侵的有效防御。在实际设计 实现时,两种检测手段并不是简单的合并在一起,而是紧密 联系,融合在整个网络安全体系结构当中。整个入侵检测系 统分为两大部分,即攻击检测部分(入侵行为检测)和入侵检测 部分(入侵结果检测),整个过程主要分成两个大的步骤:入侵 特征提取和入侵行为分析。如图2所示,整个体系结构中,攻 击特征的提取和行为分析都结合在其中,两种方法分别代表 了基于知识的入侵检测思想和基于行为的检测思想;两种检 测也各自用于检测未知入侵和监控已知的入侵。 图 2 层次化入侵检测体系结构 层次化模型较之通用的 Denning 模型有如下优势: (1)从数据源角度来讲,层次化模型针对不同数据源,采 用不同的特征提取方法。Denning模型利用一个事件发生器来 处理所有的审计数据和网络数据包,但事实上两种数据有很 大差异。层次化模型将数据源分成两个层次,采用不同的特 征提取和行为分析方式处理,提高了检测效率与准确度。 (2)用攻击特征库和安全策略库代替了活动记录。Denning 模型中把所有信息存放于活动记录当中,这样导致检测效率偏 低,而层次化模型中,把已知的攻击行为存储在攻击特征库,处 理未知入侵行为的正常行为模式和安全策略则存放在安全策 略库中,两个库各有所长,拥有不同的存储格式,解决不同 的网络行为问题。 (3)以分布式取代了单一的结构。层次化入侵检测模型 可以方便的应用到分布式的入侵检测环境中。特征提取和行 为分析模块可以有各个代理来实现,并通过代理的交互与协 作,处理大规模的分布式入侵行为。 2.3 智能入侵检测模型 入侵检测中,对于已知行为,通常采用误用检测的方法, 一般来说,误用检测对智能性的要求较低;异常检测主要针 对未知入侵,因此通常需要很高的智能特性。目前大多数的 入侵检测系统是基于主机的,主要是通过单个主机收集数据 信息,或者通过分布在网络各个主机的监视模块来收集数据 信息,并统一提交给一个中心处理器来完成检测功能。这种 入侵检测的模型不能很好的满足大规模分布式的网络环境, 特别是在中心处理器出现故障、数据海量、网络结构扩展等 情况发生时,其局限性更加明显。 随着智能Agent技术的不断发展,其分布式、自治和协同 工作能力给入侵检测技术带来新的生机。目前的人工智能工 程已经转向以智能Agent技术为基础组织结构,Agent作为执 行安全监视和入侵检测功能的软件代理,它可以在有或者没 有其他代理的条件下工作,可接受更高层其他实体的控制命 令。Agent既可以执行简单特定的功能,也可以执行复杂的行 为。作为入侵检测智能模型的核心,Agent的效率与性能决定 了整个 IDS 的价值。基于 Agent 的入侵检测模型如图 3 所示。 图 3 基于 Agent 的智能入侵检测模型 该模型主要包括主机检测 Agent、网络检测 Agent、通信 Agent、响应 Agent 以及一个控制台。不同种类的 Agent 具有 不同的特征和处理功能,可以对其自由配置,独立进行操作。 同种 Agent 以及不同 Agent 之间都可以通过 Agent 通信语言 (Agent Communication Language,ACL)来进行信息交互,从而 进行协同工作。 2009.38 网 络 安 全 2.4 其他入侵检测模型 面对复杂多变的网络入侵行为,众多研究者又提出了其 他一些检测模型,例如: (1)面向对象的Petri网模型:Petri网是为了帮助设计和 分析并发系统而开发的理论,被认为是第一个通用的并发理 论。利用Petri网来对入侵行为进行描述,是对现有的面向对 象的Petri网模型进行扩充,建立相对应的适应建立入侵行为 分析而确定的并发变迁面向对象的 Petri 网(DCTOOPN)模型。 DCTOOPN 模型将面向对象技术和 Petri 网理论较好的融合在 一起。在 DCTOOPN 模型中,系统由多个对象以及他们之间 的关系组成,同时增加了属性和公有函数,使对象内部Petri 网各变迁和库可以共享信息,减少了模型的复杂性。 (2)调用序列审计模型:通过调用序列审计方式来对数 据进行分类审计。首先尽可能全面的获取正常序列模式,并 分解为短序列集合存储在模式库中,或者用数据挖掘方式对 其进行训练,同时生成审计规则。在线分析时,将实时获取 的网络行为序列与模式库中序列匹配,当模型确认出非法序 列时发出警告,同时重新计算序列规则以适应新的需求。模 型中最主要的因素是审计序列长度、审计规则的信任度以及 模式库的大小,一般来讲,当审计的准确程度可以接受时,审 计的准确度与模式库的大小是成正比的。 3 入侵检测模型所面临的问题 各种网络安全技术已经出现融合的趋势,攻击具有无边 界性、突发性、隐藏性等特点,而且攻击也越来越复杂。对 网络防御而言,所面临的攻击是难以预测的,IDS作为传统保 护机制(比如控制访问和身份识别等)的有效补充,形成了信息 系统中不可或缺的反馈链。简单来讲,IDS模型所要解决的问 题有: (1)提高精确性。主要是降低误报率和重复报警率,过 高的误报率和重复报警率会引起太多资源浪费,使网络防御 代价过高。 (2)可扩展性。能够在高速网络中用多探测器分布式检 测。分布式检测已经成为入侵检测模型首要考虑的问题。 (3)智能性。能够分析未知漏洞、内部缓慢攻击,并具 有自动保护功能。 网络安全技术已经从单纯的检测网络攻击和防御入侵者 于系统之外,转变为预防(Avoidance)、检测(Detection)、响应 与恢复(Response & Restore)、防御(Prevention)等多种技术的 融合。入侵检测模型在以后的研究与设计时,必须考虑与其 他安全策略的协同联动,使得多个安全技术协同工作并使多 个系统高效地、动态地、有机地融合在一起。 4 结束语 入侵检测作为一种积极主动的安全防护技术,提供了对 内部攻击、外部攻击和误操作的实时保护,在网络系统受到 危害之前拦截和响应入侵。网络入侵技术不断发展,入侵行 为表现出不确定性、复杂性、多样性等特点;网络应用的发 展带来了新的问题,如高速网络面临的流量变大等。如何设 计并实现有效的入侵检测模型,是建立 IDS 的关键所在。入 侵检测技术在未来的发展过程中,将越来越多的与其他科学 和技术进行交融汇合,如数据挖掘、人工智能以及网络管理 等等。将会有越来越多的先进技术应用到入侵检测上,例如 计算机免疫技术、神经网络技术和遗传算法等等。入侵检测 模型将会逐步走向丰富化、智能化、多元化的发展。 参考文献 [1]纪祥敏,连一峰,戴英侠等.基于协同的分布式入侵检测模型 研究[J].计算机仿真.2004. [2]聂文梅.一种基于移动Agent的分布式入侵检测系统模型[J]. 计算机安全.2008. [3]郭军,郝克刚.面向对象双变迁Petri网及应用研究[J].计算机 应用与软件.2008. [4]焦志彬,沈记全,张霄宏.防火墙与层次化入侵检测系统互动 模型的研究[J].福建电脑.2006. [5]白洁,吴渝,王国胤等.基于多层自组织映射和主成分分析的 入侵检测方法[J].计算机应用研究. 2007. SHTTP 可提供基于消息的抗抵赖性证明,而 SSL 不能。所以 SHTTP 比 SSL 更灵活,功能更强,但它实现较难,而使用更 难,正因如此现在使用基于 SSL 的 HTTPS 要比 SHTTP 更普遍。 3 小结 每种网络安全协议都有各自的优缺点,实际应用中要根 据不同情况选择恰当协议并注意加强协议间的互通与互补, 以进一步提高网络的安全性。另外现在的网络安全协议虽已 实现了安全服务,但无论哪种安全协议建立的安全系统都不 可能抵抗所有攻击,要充分利用密码技术的新成果,在分析 现有安全协议的基础上不断探索安全协议的应用模式和领域。 参考文献 [1]陈卓,洪帆.电子商务中两种安全支付协议SSL和SET的研究 与比较[J].计算机工程与应用.2003. [2]何胜.电子商务中安全支付协议的对比及应用[J].计算机时 代.2004. [3]陈波,于泠,肖军模.计算机系统安全原理与技术[M].北京:机 械工业出版社.2006. [4]冯晓玲.电子商务安全[M].北京:对外经济贸易大学出版社.2008. [5]石志国,贺也平,赵悦.信息安全概论[M].北京:清华大学出版 社,北京交通大学出版社.2007. [上接 32 页]

下载文档,方便阅读与编辑

文档的实际排版效果,会与网站的显示效果略有不同!!

需要 3 金币 [ 分享文档获得金币 ] 0 人已下载

下载文档

相关文档