毕业设计--浅谈入侵检测技术

毕业设计--浅谈入侵检测技术内容摘要：

构建知识库的多种方法只是手段，目的是准确定义入侵行为，这是 IDS 的核心，也是 IDS 和普通的网上行为管理软件的差别所在。 虽然它们都能监视网络行为，但是 IDS 增加了记录攻击特征的知识库，所以比网上行为管理软件提高了一个层次。 而定义攻击特征是一项专业性很强的工作，需要具有丰富安全背景的专家从众多的攻击行为中提炼出通用的攻击特征，攻击特征的准确性直接决定了IDS 检测技术的准确性。 对上述四类收集到的有关系统、网络、数据 及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。 其中前两种方法用于实时的入侵检测技术，而完整性分析则用于事后分析。 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。 一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。 该方法的一大优点是只需 收集相关的数据集合，显著减少系统负担，且技术已相当成熟。 它与病毒防火墙采用的方法一样，检测技术准确率和效率都相当高。 但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测技术到从未出现过的黑客攻击手段。 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。 测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 例如，统计分析可 能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。 其优点是 第 14 页 共 35 页 可检测技术到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。 具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。 完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。 完整性分析利用强有力的加密机制，称为消息摘要函数（ 例如 MD5），它能识别哪怕是微小的变化。 其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 缺点是一般以批处理方式实现，不用于实时响应。 尽管如此，完整性检测技术方法还应该是网络安全产品的必要手段之一。 第 15 页 共 35 页 3 入侵检测技术功能概要 监督并分析用户和系统的活动 检查系统配置和漏洞 检查关键系统和数据文件的完整性 识别代表已知攻击的活动模式 对反常行为模式的统计分析 对操作系统的校验管理，判断是否有破坏安全的用户活动。 提高了系统的监察能力 跟踪用户从进入到退出的所有活动或影响 识别并报告数据文件的改动 发现系统配置的错误，必要时予以更正 识别特定类型的攻击，并向相应人员报警，以作出防御反应 可使系统管理人员最新的版本升级添加到程序中 允许非专家人员从事系统安全工作 为信息安全策略的创建提供指导 入侵检测技术作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害 之前拦截和响应入侵。 从网络安全立体纵深、多层次防御的角度出发，入侵检测技术理应受到人们的高度重视，这从国外入侵检测技术产品市场的蓬勃发展就可以看出。 在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测技术产品。 但现状是入侵检测技术仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测技术模块。 可见，入侵检测技术产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测技术）外，应重点加强统计分析的相关技术研究。 第 16 页 共 35 页 4 入侵检测技术技术分析 入侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹。 入侵分析过程需要将提取到的事件与入侵检测技术规则进行比较，从而发现入侵行为。 一方面入侵检测技术系统需要尽可能多地提取数据以获得足够的入侵证据，而另一方面由于入侵行为的千变万化而导致判定入侵的规则越来越复杂，为了保证入侵检测技术的效率和满足实时性的要求，入侵分析必须在系统的性能和检测技术能力之间进行权衡，合理地设计分析策略，并且可能要牺牲一部分检测技术能力来保证系统可靠、稳定地运行并具有较快的响应速度。 分析 策略是入侵分析的核心，系统检测技术能力很大程度上取决于分析策略。 在实现上，分析策略通常定义为一些完全独立的检测技术规则。 基于网络的入侵检测技术系统通常使用报文的模式匹配或模式匹配序列来定义规则，检测技术时将监听到的报文与模式匹配序列进行比较，根据比较的结果来判断是否有非正常的网络行为。 这样以来，一个入侵行为能不能被检测技术出来主要就看该入侵行为的过程或其关键特征能不能映射到基于网络报文的匹配模式序列上去。 有的入侵行为很容易映射，如 ARP 欺骗，但有的入侵行为是很难映射的，如从网络上下载病毒。 对于有的入侵行为， 即使理论上可以进行映射，但是在实现上是不可行的，比如说有的网络行为需要经过非常复杂的步骤或较长的过程才能表现其入侵特性，这样的行为由于具有非常庞大的模式匹配序列，需要综合大量的数据报文来进行匹配，因而在实际上是不可行的。 而有的入侵行为由于需要进行多层协议分析或有较强的上下文关系，需要消耗大量的处理能力来进行检测技术，因而在实现上也有很大的难度。 第 17 页 共 35 页 基于特征的检测技术规则 这种分析规则认为入侵行为是可以用特征代码来标识的。 比如说，对于尝试帐号的入侵，虽然合法用户登 录和入侵者尝试的操作过程是一样的，但返回结果是不同的，入侵者返回的是尝试失败的报文，因此，只要提取尝试失败的报文中的关键字段或位组作为特征代码，将它定义为检测技术规则，就可以用来检测技术该类入侵行为。 这样，分析策略就由若干条检测技术规则构成，每条检测技术规则就是一个特征代码，通过将数据与特征代码比较的方式来发现入侵。 基于统计的检测技术规则 这种分析规则认为入侵行为应该符合统计规律。 例如，系统可以认为一次密码尝试失败并不算是入侵行为，因为的确可能是合法用户输入失误，但是如果在一分钟内有 8 次以上同 样的操作就不可能完全是输入失误了，而可以认定是入侵行为。 因此，组成分析策略的检测技术规则就是表示行为频度的阀值，通过检测技术出行为并统计其数量和频度就可以发现入侵。 这两种检测技术规则各有其适用范围，不同的入侵行为可能适应于不同的规则，但就系统实现而言，由于基于统计检测技术规则的入侵分析需要保存更多的检测技术状态和上下关系而需要消耗更多的系统处理能力和资源，实现难度相对较大。 一些新的分析技术 近几年，为了改进入侵检测技术的分析技术，许多研究人员从各个方向入手，发展了一些新的分析方法，对于提高入 侵检测技术系统的正确性、可适应性等起到了一定的推动作用。 下面是几个不同的方向。 统计学方法 统计模型常用于对异常行为的检测技术 ,在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。 目前提出了可用于入侵检测技术的 5 种统计模型包括： (1) 操作模型 :该模型假设异常可通过测量结果与一些固定指标相比较得到 , 第 18 页 共 35 页 固定指标可以根据经验值或一段时间内的统计平均得到 ,举例来说 ,在短时间内的多次失败的登录很可能是口令尝试攻击。 (2) 方差 :计算参数的方差 ,设定其置信区间 ,当测量值 超过置信区间的范围时表明有可能是异常。 (3) 多元模型 :操作模型的扩展 ,通过同时分析多个参数实现检测技术。 (4) 马尔柯夫过程模型 :将每种类型的事件定义为系统状态 ,用状态转移矩阵来表示状态的变化 ,若对应于发生事件的状态矩阵中转移概率较小 ,则该事件可能是异常事件。 (5) 时间序列分析 :将事件计数与资源耗用根据时间排成序列 ,如果一个新事件在该时间发生的概率较低 ,则该事件可能是入侵。 入侵检测技术的统计分析首先计算用户会话过程的统计参数 ,再进行与阈值比较处理与加权处理 ,最终通过计算其 可疑 概率分析其为入侵事件的可能性。 统计方法的最大优点是它可以 学习 用户的使用习惯 ,从而具有较高检出率与可用性。 但是它的 学习 能力也给入侵者以机会通过逐步 训练 使入侵事件符合正常操作的统计规律 ,从而透过入侵检测技术系统。 入侵检测技术的软计算方法 入侵检测技术的方法可有多种 ,针对异常入侵行为检测技术的策略与方法往往也不是固定的 ,智能计算技术在入侵检测技术中的应用将大大提高检测技术的效率与准确性。 所谓软计算的方法包含了神经网络、遗传算法与模糊技术。 基于专家系统的入侵检测技术方法 基于专家系统的入侵检测技术方法与运用统计方法与神经网络对入侵进行检测技术的方法不同 ,用专家系统对入侵进行检测技术 ,经常是针对有特征的入侵行为。 所谓的规则 ,即是知识。 不同的系统与设置具有不同的规则 ,且规则之间往往无通用性。 专家系统的建立依赖于知识库的完备性 ,知识库的完备性又取决于审计记录的完备性与实时性。 特征入侵的特征抽取与表达 ,是入侵检测技术专家系统的关键。 将有关入侵的知识转化为 ifthen 结构 (也可以是复合结构 ),if 部分为入侵特征 ,then 部分是系统防范措施。 运用专家系统防范有 特征入侵行为的有效性完全取决于专家系统知识库的完备性 ,建立一个完备的知识库对于一个大型网络系统往往是不可能的 ,且如何根据审计记录中的事件 ,提取状态行为与语言环境也是较困难的。 例如 ,ISS 公司为 第 19 页 共 35 页 了建立比较完备的专家系统 ,一方面与地下组织建立良好关系 ,并成立由许多工作人员与专家组成的 XForce 组织来进行这一工作。 由于专家系统的不可移植性与规则的不完备性。 现已不宜单独用于入侵检测技术 ,或单独形成商品软件。 较适用的方法是将专家系统与采用软计算方法技术的入侵检测技术系统结合在一起 ,构成一个以已知的入侵规则 为基础 ,可扩展的动态入侵事件检测技术系统 ,自适应地进行特征与异常检测技术 ,实现高效的入侵检测技术及其防御。 5 入侵检测技术技术发展方向 可以看到 ,在入侵检测技术技术发展的同时 ,入侵技术也在更新 ,一些地下组织已经将如何绕过 IDS 或攻击 IDS 系统作为研究重点。 高速网络 ,尤其是交换技术的发展以及通过加密信道的数据通信 ,使得通过共享网段侦听的网络数据采集方法显得不足 ,而大量的通信量对数据分析也提出了新的要求。 随着信息系统对一个国家的社会生产与国民经济的影响越来越重要 ,信息战已逐步被各个国家重视 ,信息战 中的主要攻击 武器 之一就是网络的入侵技术 ,信息战的防御主要包括 保护 、 检测技术 与 响应 ,入侵检测技术则是其中 检测技术 与 响应 环节不可缺少的部分。 近年对入侵检测技术技术有几个主要发展方向 : 分布式入侵检测技术与通用入侵检测技术架构 传统的 IDS 一般局限于单一的主机或网络架构 ,对异构系统及大规模的网络的监测明显不足。 同时不同的 IDS 系统之间不能协同工作能力 ,为解决这一问题 ,需要分布式入侵检测技术技术与通用入侵检测技术架构。 CIDF 以构建通用的IDS 体系结构与通信系统为目标 ,GrIDS 跟 踪与分析分布系统入侵 ,EMERALD实现在大规模的网络与复杂环境中的入侵检测技术。 应用层入侵检测技术 许多入侵的语义只有在应用层才能理解 ,而目前的 IDS 仅能检测技术如WEB 之类的通用协议 ,而不能处理如 LotusNotes、数据库系统等其他的应用系统。 许多基于客户、服务器结构与中间件技术及对象技术的大型应用 ,需要应用层的入侵检测技术保护。 Stillerman 等人已经开始对 CORBA 的 IDS 研究。 智能的入侵检测技术 入侵方法越来越多样化与综合化 ,尽管已经有智能体、神经网络与遗传算法 第 20 页 共 35 页 在入 侵检测技术领域应用研究 ,但是这只是一些尝试性的研究工作 ,需要对智能化的 IDS 加以进一步的研究以解决其自学习与自适应能力。 入侵检测技术的评测方法 用户需对众多的 IDS 系统进行评价 ,评价指标包括 IDS 检测技术范围、系统资源占用、 IDS 系统自身的可靠性与鲁棒性。 从而设计通用的入侵检测技术测试与评估方法与平台 ,实现对。