您好, 访客   登录/注册

网络安全入侵检测技术分析

来源:用户上传      作者: 陆凌俊 吴泉

  摘要:本文结合笔者多年工作经验,对目前国内常用的3种网络安全入侵检测技术作了深入地比较与分析,谨供大家作参考之用。
  关键词:网络安全 入侵检测 对比分析
  
  一、概述
  入侵检测通过系统审计数据,包括收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为,对企图入侵、正在进行入侵或己发生的入侵进行识别,并采取相应保护措施的一种技术。具有入侵检测功能的系统称为入侵检测系统。
  入侵检测技术是入侵检测系统的核心,它直接关系到攻击的检测效果、效率、误报率等性能。入侵检测技术主要分为异常检测技术、误用检测技术和完整性检测技术三大类。
  二、异常检侧
  基于异常的入侵检测技术主要来源这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为产生的日志信息总结出这些规律,而入侵和误用行为则通常和正常的行为存在一定的差异,通过当前活动与系统历史正常活动之间的差异就可以检测出入侵。
  异常检测又称为基于行为的检测,它根据使用者的行为或资源使用状况是否偏离正常的情况来判断入侵是否发生。在异常检测中,观察到的不是已知的入侵行为,而是通信过程中的异常现象。这种不正常行为可以分为外部闯入、内部渗透和不恰当使用资源。
  异常检测基于已掌握了的被保护对象的正常工作模式,并假定正常工作模式相对稳定。一般方法是建立一个对应“正常活动”的系统或用户的正常轮廓,检测入侵活动时,异常检测程序产生当前的活动轮廓并同正常轮廓比较,当活动轮廓与正常轮廓发生显著偏离时即认为是入侵。异常检测与系统相对无关,通用性较强。它最大的优点是有可能检测出以前从未出现过的攻击方法。但由于不可能对整个系统内的所有用户行为进行全面的描述,而且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高,而且配置和管理起来比较复杂,尤其在用户多,或工作方式经常改变的环境中。另外,由于行为模式的统计数据不断更新,入侵者如果知道某系统处在检测器的监视之下,他们可以通过恶意训练的方式,促使检测系统缓慢地更改统计数据,以至于最初认为是异常的行为,经一段时间训练后也被认为是正常的,这是目前异常检测所面临的一大困难。
  异常检测的关键问题在于正常使用模式的建立以及如何利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度。基于异常的检测与系统相对无关,通用性较强,不受已知知识的限制,因而它甚至有可能检测出未知的攻击行为。然而,异常检测技术存在以下几个主要问题:
  ⑴如何有效地表示用户的正常行为模式?即选择哪些数据才能有效地反映用户的行为,并且这些数据容易获取和处理。由于系统、用户的行为是不断改变的,因而正常模式具有时效性,需要不断修正和更新。当用户行为突然发生改变时,容易引起误报。
  ⑵阐值的确定比较困难。当阐值设定较高时,容易引起漏报,而闽值设定较低时,容易引起误报。由于不可能对系统内的所有用户行为进行全面的描述,在用户数目众多、用户行为经常动态改变时,系统误报率较高。
  ⑶异常检测方法大多训练时间较长,在训练期,系统不能正常工作;如果入侵者知道系统处于训练期,可以采用逐步更新用户模型的方式,使得系统将入侵行为也当作正常行为来建立正常模式。由于异常检测缺乏精确的判定标准,误检率高,使得基于异常的入侵检测系统大多仍停留于研究领域。
  下面介绍一种常用的异常检测方法:基于概率统计模型的异常检测方法概率统计方法是最早也是使用得最多的一种异常检测方法,这种入侵检测方法是基于对用户历史行为建模以及在早期的证据或模型的基础上,审计系统实时地检测用户对系统的使用情况。系统根据每个用户以前的历史行为,生成每个用户的历史行为记录集,当用户改变他们的行为习惯时,这种异常就会被检测出来。
  IDES、NIDES、Haystaek、EMERLD等系统都采用了基于统计的异常检测手段,该种方法维护方便,不需对规则库不断地更新和维护;但是,该种检测方法存在以下缺陷:
  ①由于大多数统计分析系统是以批处理方式对审计记录进行分析,因而不能提供对入侵行为的实时检测和自动响应功能,这是因为数据处理过程和模式库的维护都需要大量的存储资源和计算资源,因此检测系统总是滞后于审计记录的产生;
  ②概率统计的另一个问题在于所能表达的事件范围,统计分析的特性导致了它不能反映事件在时间顺序上的前后相关性,因此事件发生的顺序通常不作为分析引擎所考察的系统属性,然而许多入侵行为的系统异常都依赖于事件的发生顺序;门限值若选择不当,将会导致系统出现大量的误报。
  三、误用检侧
  误用检测首先对标识特定入侵的行为模式进行编码,建立入侵模式库,然后对检测过程中得到的审计事件数据进行过滤,检查是否包含入侵模式来检测攻击。误用检测又称为基于知识的检测或特征检测。它通过分析入侵过程的特征、条件、排列以及事件间的关系来描述入侵行为的迹象。与异常入侵检测相反,误用入侵检测主要是按预先定义好的入侵模式对用户活动行为进行模式匹配来检测入侵行为。
  误用检测的关键在于如何通过入侵模式准确地描述入侵活动的特征、条件、排列和关系,从而有效地检测入侵。误用检测由于针对具体的入侵模式库进行判断,因而检测率高,同时因为检测结果有明确的参照,也为管理员做出相应措施提供了方便。然而,误用检测也存在以下缺陷:
  ⑴由于入侵模式库受已知知识的局限,只能检测己知的攻击模式,对于未知攻击和已知攻击的变形则无能为力。
  ⑵入侵模式库的维护工作量大。只有拥有完备的入侵模式库,IDS才能检测到大量的攻击行为。随着新的攻击方法不断出现,入侵模式库也需要不断更新。
  ⑶由于针对具体系统的依赖性太强,系统移植性不好。由于误用检测方法原理简单因而已经成为入侵领域中应用最为广泛的检测手段和机制之一,大部分商用系统都采用了基于误用检测的入侵检测技术。
  下面介绍一种常用的误用检测方法:基于模型推理的误用检测方法。该方法是通过构建一些误用的模型,在此基础上对某些行为活动进行监视,并推理出是否发生了入侵行为。其采用的原理是:特定的场景脚本可以由特定的可观察的活动推导出来。因而通过观察,可以推导出特定入侵场景脚本的一系列活动来检测出入侵企图。
  其缺点是:创建入侵检测模型的工作量大,系统整体性能将受到影响;在系统解释模块如何有效地翻译入侵脚本也是个问题;模型的维护比较困难。
  四、完整性检验
  完整性检验是一种简单而且高效的监控入侵者的方法。它为系统的每个文件生成一个校验和,然后定期地将这个检验和与源文件比较,以确保文件没有被修改。如果文件被未授权修改,就会发生警报。
  任何一个系统正常运作时都会带来大量文件规则的变化。因此,必须小心调整完整性检验IDS以避免误报。当发生合法的变换时,需要重置校验和。
  完整性检验可以用语检测网页的篡改。攻击者常常可以进入未打补丁的对外的web服务器以篡改Web服务器显示的内容。完整性检验IDS能对特殊的Web页面文件产生校验和并对其监控。当攻击者改变Web页面内容时,校验和检验失败,从而引起相关人员的注意。网站发布的网页文件不能频繁更改,否则引起大量误报。另外,IDS被配置成自动回滚恢复到文件的初始状态。
   五、结语
  入侵检测系统通过对计算机网络和主机系统中的关键信息进行实时采集和分析,从而判断出非法用户入侵和合法用户滥用资源的行为,并做出适当响应。它在传统的网络安全技术的基础上,实现了检测与响应,起着主动防御作用,从而使得对网络安全事故的处理,由原来的事后发现发展到了事前报警、自动响应,并可以为追究入侵者的法律责任提供有效证据。因此,入侵检测技术的出现使网络安全领域的研究进入了一个新的阶段。


转载注明来源:https://www.xzbu.com/2/view-423904.htm