浅谈计算机网络入侵检测系统

浅谈计算机网络入侵检测系统

摘要:随着计算机技术以及网络信息技术的高速发展,网络入侵事件的发生也渐渐的增多。本文介绍了计算机网络入侵检测系统,重点对其工作过程及关键技术和当前存在的问题进行了探讨。

关键词:网络技术网络入侵检测系统

一、入侵检测系统概述

(一)入侵检测系统概念

入侵检测系统(Intrusion Detection System,简称IDS)是信息安全体系结构中的一个重要环节,是对防火墙的必要补充,是一种积极主动的安全防护技术,通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,监视主机系统或是网络上的用户活动,从中发现网络或系统中是否有违反安全策略的行为和可能存在的入侵行为。入侵检测系统按照数据来源分为基于主机和基于网络两种,入侵检测分析技术分异常入侵检测和误用入侵检测。

(二)入侵检测系统的发展

早期的入侵检测检测方法简单,大多数都是基于主机的。随着网络应用的迅速普及和入侵检测技术的进一步发展,基于网络的安全监视系统第一次将网络流作为数据源,使得IDS开始面向网络。1994年,普渡大学推出了适用于大规模网络的分布式入侵检测系统。随着广域网的不断发展和黑客攻击技术的提高,早期集中式的网络入侵检测系统已不再适用于大型的网络,于是就有了用于大型网络的分布式入侵检测系统。目前,对广域网范围的入侵活动的检测和必要的入侵反应机制,如自动恢复、对入侵者进行跟踪等,是网络入侵检测系统研究的重点。

二、入侵检测系统的工作流程

(一)信息收集

入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为;而且需要在计算机网络系统中的若干不同关键点收集信息。这除了尽可能扩大检测范围的因素外,还有一个重要的原因就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

(二)信息分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析其中前两种方法用于实时的入侵检测,而完整性分析则多用于事后分析。模式匹配就是将收集到的

信息与已知的网络入侵和系统误用特定的模板进行比较,从而发现违背安全策略的行为。一般来讲,一种进攻模式可以用一个过程或一个输出来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担。它与病毒防火墙采用的方法一样,检测准确率和效率都比较高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的入侵手法,不能识别未知入侵手段。统计分析方法首先给系统对象创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。

(三)信息存储

为便于系统管理员对攻击信息进行查看和分析,要将入侵检测系统收集到的信息进行保存。存储的信息同时也为攻击保留了数字证据。

(四)攻击响应

在对攻击信息进行分析并确定攻击的类型后,我们要对攻击进行相应的处理:如利用发出警报、给系统管理员发出邮件等手动干预的方式来对付攻击,或是利用自动装置直接处理:如切断连接,过滤攻击者的IP地址等。

三、入侵检测系统需要解决的关键技术

(一)入侵检测模块间的协作

入侵检测模块间的协作主要是指分析数据的共享以及不同检测模块之间的功能互补或增强,通过协作能够完成在它们单独工作时所不能实现的功能或工作目标。网络入侵检测系统的分布式结构框架、检测系统功能模块的异构性以及数据和探测器在网络中的分布性,使得在继承由不同的开发商开发的、具有不同检测机制、且运行在不同系统上的入侵检测功能模块或检测子系统时,必须考虑它们之间的数据共享和协作方式,必须提供数据的分布式采集、通用数据接口来实现不同探测器(检测器)之间互操作性,并考虑分布式探测器在整个分布式入侵检测系统中的组织方式以及探测器检测结果的融合技术。分布式数据的共享还必须对收集到的数据进行格式转化,以确保数据的可用性。

(二)入侵检测数据分析的层次性

虽然每一种入侵检测系统在概念上一致:都是由检测器、分析器以及用户界面组成。但具体的入侵检测系统在分析数据的方法、采集数据以及采集数据的类型等关键方面还是具有很大的不同。各种入侵检测系统在分析数据的来源上具有一定的层次,从基于应用的入侵检测系统到跨越多网的入侵检测系统,其分析数据的能力和监控的范围逐渐地增强、扩宽。而且入侵检测系统的数据可来自层次不高于它的入侵检测系统地输出。也就是说,入侵检测系统的检测结果和输出可被在层次上不低于它的入侵检测系统利用并作进一步的分析。

(三)规则知识库的建立

攻击规则表现形式的研究是适应攻击和入侵行为不断变化的难点和重点,需建立适应检测技术发展需要的规则知识库,从而全面提高检测的能力和效果。入侵分类规则可通过分类学习程序自动生成的,虽消除了规则提取过程中的手工编码和专家经验成分。但是也存在以下问题:分类学习需要两个前提条件:(1)有充足的训练数据;(2)已确定好分析处理中所用的数据特征属性。这两点特别重要,入侵训练数据要保证能够覆盖该入侵的所有模式。否则,它将无法检测出该入侵行为的一些“没见过”的变种。所以,首先要为训练数据集确定一个测度,以便不断的总结训练数据,当新的训练产生时更新这一测度。并且当这一测度稳定时,停止训练数据的收集过程。其次,收集到审计数据后,对那些属性进行分析是关系到分析效率和结果的有效性的关键。另外,当收集到的数据与该入侵活动无关或不能用于建立入侵检测模型时,则不应用作训练数据。网络事件之间在时序上不是独立的,因此特征属性中也应该包括事件之间的时序统计特性。这些都是需要不断解决的关键问题和技术。

参考文献:

[1]李静燕.入侵检测系统及其研究进展[J]. 网络安全技术与应用, 2008, (03)

[2]李富春.基于入侵检测系统构建的研究[J].电脑知识与技术, 2008,(29)

[3]方铖.浅析计算机网络入侵检测系统[J].科技信息(学术研究), 2008,(30)