检测新型入侵者(精选十篇)
检测新型入侵者 篇1
网络入侵检测模型应用的根本目的是为了确保网络系统的安全。因此, 需要从不同渠道对网络系统运行产生的数据信息进行采集, 再对获得的海量数据信息进行处理, 进一步获取分析和研究结果, 最终按照结果对网络系统的实际运行情况作出正确评价, 发现网络中存在的安全威胁和异常情况, 检测可能发生的网络攻击和入侵行为, 以确保网络系统的安全稳定运行。将数据挖掘技术应用于网络入侵检测中, 可以发现存在于深层次的数据规律, 提高网络安全管理的有效性。
2 数据挖掘在入侵检测中的应用
在当今社会互联网普及应用的情况下, 新型网络业务不断涌现, 网络规模也得到了空前发展。为了使互联网能够为用户提供个性化服务, 网络安全管理的有效性是信息安全领域面临的最大挑战。网络安全管理人员在采取合理的防护策略之前要对网络中的海量数据进行处理和分析, 提取和分类有价值的数据信息, 使数据信息能按照一定规律为网络安全管理提供支持。
为了能够创建有效的网络入侵检测模型, 必须引入数据挖掘技术、神经网络技术和专家分析系统, 以此获得有价值的数据融合结果。数据挖掘技术具有模式匹配的性能, 在构建新型网络入侵检测模型之前, 将数据挖掘技术融入其中, 一方面可以保持原始算法的高匹配性能, 另一方面可以使网络入侵检测模型更具智能化, 降低网络安全事故的报错率。
数据挖掘技术可以有效解决网络中数据信息过于庞大的问题, 对网络性能作出科学评价。数据挖掘技术能够从获得的海量数据信息中过滤和排除没有价值的数据信息, 进一步获得有价值的数据信息。数据挖掘应用是一种概念化和知识化的过程, 可以从根本上反映数据信息的价值内涵, 是对数据信息的抽象画处理。
3 基于数据挖掘的入侵检测模型构建
本文以开源入侵检测软件Snort系统为基础实现系统扩展, Snort系统是一种专业网络入侵检测软件, 基于传统的入侵检测模式环境下, 难以发现新型的网络攻击手段, 其原因是Snort系统之上将网络数据包与现有的入侵检测策略进行比对, 因此, 如果将异常入侵检测技术与Snort系统进行有机结合, 必然能够有效应对新型网络入侵检测事件, 异常入侵检测技术与普通误用入侵检测技术相比具有明显优势。
利用异常检测技术对网络入侵事件进行检测需要正常行为特征库, 正常行为特征库的完善性直接与入侵检测的正确率相关, 建立正常行为特征库的方法主要是通过聚类分析实现。聚类分析能够自动抽取正常行为特征库的数据, 而不需要网络管理员的参与。本文提出的基于数据挖掘的入侵检测模型构建就是利用了聚类分析功能, 可以自动过滤网络中的正常行为, 通过异常检测技术判断的网络行为确认为没有问题之后, 无需在利用误用入侵检测进行过滤, 从根本上提高了网络入侵检测的工作效率。
经过异常引擎判断为异常行为的网络数据包需要明确确认其入侵类型, 因此, 需要将这些异常行为数据包传送到误用检测引擎中进行匹配, 在匹配的过程中必然会出现匹配失败的情况, 但是, 系统并不会判断是异常检测引擎出现问题, 而是将其作为新型网络入侵攻击行为。为了确保系统可以自我学习, 需要通过关联分析器对系统日志中记录的未知网络数据包进行挖掘, 再将未知网络数据包的规则添加到误用检测引擎特征库中, 方便下一次的网络入侵检测能够正确识别。
本文对开源入侵检测软件Snort系统利用以上思想进行扩展, 构建了基于数据挖掘的入侵检测模型。基于数据挖掘的入侵检测模型在原始Snort系统功能至上增加了异常检测、聚类分析和关联分析器等功能模块。异常检测功能模块指的是对网络数据包进行过滤, 将存在异常的网络数据包传送到误用检测引擎;聚类分析功能模块负责为正常行为创建抽取特征库;关联分析器功能模块负责从异常网络数据包中挖掘新型入侵检测规则。
4 基于数据挖掘的入侵检测模型结构设计
基于数据挖掘的入侵检测模型数据流向如图1所示, 该模型基于Snort系统的6个功能模块之上, 增加了三个功能模块, 分别是异常检测引擎模块、聚类分析模块和关联分析器模块。
4.1 Snort系统功能模块
Snort系统主要包括6个功能模块, 分别是主模块、解码器模块、嗅探器模块、预处理器模块、误用检测引擎模块和自动报警模块。
4.2 关联分析器功能模块
当将日志信息存入到Snort系统之后, 由于日志信息中很可能记录了部分没有被发现的新型网络攻击特征, 需要利用关联分析器对日志新规则进行挖掘。
4.3 聚类分析功能模块
网络中传输的数据包大部分属于正常行为数据包, 对这些正常行为的数据包特征进行抽取, 并建立特征模型, 为异常检测工作奠定基础。
4.4 异常检测引擎功能模块
异常检测引擎功能模块与聚类分析功能模块工作原理基本相同, 在对网络数据包进行检测时直接将正常数据包过滤, 将异常网络数据包传送到误用检测引擎中。
参考文献
[1]祁爱华, 宋淑彩.数据挖掘技术在计算机入侵检测中的应用[J].科技通报, 2013, 10:19-20+23.
[2]刘向旗, 种向婷, 甄成刚.基于数据挖掘的入侵检测系统研究[J].信息系统工程, 2013, 04:44-45+50.
入侵检测技术发展方向入侵检测 篇2
入侵或攻击的综合化与复杂化。入侵的手段有多种,入侵者往往采取一种攻击手段。由于网络防范技术的多重化,攻击的难度增加,使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。
入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。通过一定的技术,可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后,对于被攻击对象攻击的主体是无法直接确定的。
入侵或攻击的规模扩大。对于网络的入侵与攻击,在其初期往往是针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。
入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(ddos)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。
攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。现已有专门针对ids作攻击的报道。攻击者详细地分析了ids的审计方式、特征描述、通信模式找出ids的弱点,然后加以攻击。
今后的入侵检测技术大致可朝下述三个方向发展,
分布式入侵检测:第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
智能化入侵检测:即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。
全面的安全防御方案:即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
新型外卖厨房入侵者 篇3
暖食有生活的温度
就在上个月,刘志强的第一家“暖食体验店”,在北京一处高档社区开业。没有一般饭店开业大吉时宾客如云的热闹喧嚣,暖食体验店的出现,更像是一个新闻发布会,所请都是“暖食”忠实用户。以往都是线上交流,此次借着体验店开业,便有了与用户面对面交流的机会,同时也让顾客亲自体验,看他们平时所点的食物,都是怎样配制而成的。
在暖食用户里,刘志强依稀记得有位用户说过这样一段话:“逛淘宝偶然进到暖食店铺,浏览几款产品后,被馋得口水直流。第一次吃‘暖食’葡式烤鸡时,里面的‘古斯古斯’米,还以为是小米,很绵软,再配上秘制酱汁和烤鸡,真的是不能再好吃了。推荐《谷子和鲻鱼》这部电影给制作美食和温暖的你们吧,就像电影一样,有些东西总能带我们重温已回不去的美好时光,希望把美好的事情坚持下去。”
这是一段看起来很文艺,听起来很温暖的话。也正如刘志强所说,“暖食里有生活的温度。”
就在不久前,刘志强还在美国上市的互联网公司做副总裁,平时喜欢做饭。一次他在书中看到咖喱牛腩的古老制作方法,便花了两个小时来做,味道没让他失望,但所花时间,还是让忙碌的他觉得可惜,所以想到,美食虽是一种文化,但做饭毕竟还是手艺活,不是每个人都有时间与耐心去实践,有什么方法可以平衡简单与美食之间的关系?
于是他锁定了几个关键点:如把做菜标准化成简单步骤、由大厨设计菜品、标准化烹饪流程、能轻易做出好吃的食物等等,这似乎可以为像他一样忙碌的人解决些许问题。但重点在于,解决的不是基础家常菜,而是美食,让忙碌的人都能轻易做出美食,感受生活的美好。
在接下来的半年里,每到周末,都是刘志强的实验时间。他把朋友们请过来体验产品,给出反馈,不断改进产品,而随着产品慢慢成熟,他对这项事业愈发坚定,于是辞掉工作,专注于暖食。渐渐地,通过反复实验与总结,刘志强为暖食扩展出轻烹饪的核心理念。
其实最初,刘志强的头脑中并无任何和轻烹饪相关的理念,一切概念都很模糊,也没觉得自己要做成轻烹饪的食物,只是在做的过程中,这个理念才逐渐清晰起来。“轻烹饪理念是我们原创,之前没有人提过。暖食从开始的定位就是贴近生活,贴近家庭,希望帮助大家做出简单又好吃的美食。最开始我们也有很多想法,最终发现能慢慢沉淀下来的就是完整的轻烹饪概念,简单、好吃、好玩。”刘志强说。
一位暖食用户曾打趣道:“我最喜欢你们家的东西,因为我可以穿着礼服,就可以把一顿浪漫的晚餐做出来,因为它实在太简单了。”刘志强觉得:“其实暖食做的事不大,也不想颠覆谁,只要有人需要,那就做下去。”
虽然暖食的确做的是外送服务,但如果把暖食只说成外卖,刘志强也是不认同的。他觉得,暖食这个品类过去根本不存在,所以不得不用新的概念定义自己,因此确切地说,暖食是轻烹饪食材配送服务,而外卖都是做熟送过去的。
食材的采购,对产品质量也起着至关重要的作用,通常来说,正常餐饮食材价格只占菜价的15%至30%,但刘志强说,他们要远远高于这个数。“大部分成本都是来自于好食材的采购,因此,在品质上会高出一大截。而让产品简单、好吃、好玩是暖食不变的原则。”至于谁来制作这些半成品,他们在后台请来的则是曾在五星级酒店做过大厨的人物。刘志强承认他们的薪水远远不敌高级酒店,但厨师愿意过来,应该是因为可以体会到自由的创造美食的乐趣。“他们在过去的工作里无法直接面对用户,无法自由的发挥自己的创造力,每天做相对重复的工作。而在暖食可以面对更大的用户群体,自由的创造美食。这比优厚的待遇更加吸引有理想的厨师。”
在刘志强看来,暖食不仅不是纯外卖,同样也不属于纯餐饮行业。“我们确切地说,是美食设计者、创新者,帮客户解决问题,对于传统餐饮行业,未来可能会是合作者,而不是竞争关系。”
“在资源匮乏时代,食物是生存工具,在资源丰饶时代,食物是情感载体。我希望暖食能够让食物和情感有一些链接。作为一个从业者,我认为应该多思考深层的东西,而不仅仅是把食物做熟。”对于未来,他说其实最想做一款与孝顺父母有关的产品,让他们吃到平时很少吃的食物,并对健康有所帮助。”
爸爸的味道最霸道
与暖食不同,老爸道的创始人赵鹏飞认为,“老爸道做的就是纯外卖服务,这个生意之前就有人在做了,我们不算是原创。”
趙鹏飞所经营的外卖生意,主要做海鲜外卖,他觉得这是个很好的生意,比较适合自己,于是就开始做了。只不过他的“老爸道”外卖品牌,的确和爸爸有点关系,主厨就是赵鹏飞的父亲,一位有着二十几年丰富经验的大厨。他也相信由爸爸主厨的海鲜味道,最是霸道,于是有了这句:爸爸的味道最霸道。
在他看来,老爸道的特殊味道,是父亲在二十几年的厨师生涯中逐渐形成的。他知道怎么用油,用酱料,包括什么料比较好。所以,父亲把他的厨师带出来帮他一起创业,这也保证了老爸道味道的独特性。
“老爸道”的名字大气好记,是赵鹏飞自己起的。他对这个名字非常喜欢,并认为有百年老店的感觉,是可以传承的,所以他想把这个品牌经营得久一点。
赵鹏飞是一个生活在北京的山东人。在做海鲜外卖生意以前,一直在演艺圈工作,做过广告模特和演员,有着出众的外表。但他不喜欢演员的被动,想做能主动把控的事情,所以才有了创业的打算。
老爸道成立初期,赵鹏飞每天早上5点就到了南三环木樨园批发市场,为的是能买到便宜新鲜的食材,这与做模特时,睡到日上三竿绝对不可同日而语。但早起让他有了惊喜的发现,原来一天可以做的事情如此之多,生活也不再散漫。
自从做了外卖生意,赵鹏飞很怕别人等,让人等在他看来是亏欠人家,他说自己不爱亏欠别人。一次,有个很急的订单要送,配送员当时在很远的地方回不来,他便冒着雨亲自去送,那次送餐他几乎冒着生命危险,因为想节省时间,他骑着电动车,一路逆行而上。等把餐送完了,他心里才觉得舒服。“做模特时内心是很骄傲的,但做这个行业不会,觉得是一种责任。”他说。
从一开始,老爸道主打就是爸爸的味道。说起爸爸的味道,很容易让人联想成,亲人做菜味道的意思。但赵鹏飞说,另一层意思,其实是在说吃起来比较安全。其实这个行业里的人都明白怎样做能节省成本。比如做一条鱼,需要放一到二两麻椒和花椒,但你也可以滴几滴麻椒和花椒油,很节省成本,“但爸爸在家给你做菜是不会放这些东西的,所以我们也不放,就是要保证食物没有添加剂。”
如今在赵鹏飞的生意经里,慢就是快,慢才能做得久,他不会做超出能力范围的事情。虽然现在已有很多人找过赵鹏飞谈合作想投资,但他想找的是,不求短平快,而是踏踏实实能把老爸道的事业,往长远推进的人来合作。他觉得,现在有太多人,借着互联网宣传,做品牌加盟,然后赚上一年快钱就销声匿迹了,这不是他想要的。
“我也有很多明星资源,如果请明星朋友帮我转发,远比现在销量多出几倍,但以我现在的人力,一下子做不了那么多,品质保证不了,我必须要保证老爸道独有的味道。”他表示,今年会先把厨师的培训做好,到那时才会考虑扩大规模的事情。
老爸道和暖食在初期的宣传推广上,多少有些相似的地方。比如,都是靠着朋友间的口碑传播,没有花一分钱做宣传推广。但也有不同,暖食使用的是微信公众账号,而老爸道至今都在用个人微信号来经营。赵鹏飞说:“开始时,我先是请朋友来吃,然后朋友在微博微信上分享,因此我个人微信号已由最初的500人到了最大上限5000人,现在已经加不进来了,我考虑再开个微信号。”
至于为何选择微信个人账号而非公共账号,赵鹏飞认为:用户的服务非常重要。点老爸道外卖的客人会有一些特殊需求,公众号是没办法满足的。虽然公众号很省心,一个客服管理就够了,但我觉得还是服务至上吧,毕竟一单的金额至少要好几百。但他也坦言,虽然常常与用户在聊天中就把单订了,但这样也有不好的地方,效率不是很高,以后规模扩大了,如果不能像最开始那样和用户频繁互动,不知用户是否会有被忽略的感觉。
虽然与暖食创立时间都差不多,但老爸道如今还没有开体验店。只在淘宝和微博微信等线上订餐,不过赵鹏飞表示,也许未来老爸道会开体验店,但不会很大,而且相对会私密一些,主要是服务一些老用户。在品类上,以后也会考虑增加家宴和年夜饭等配送服务,而不会像现在这样稍显单一。
跟“鸭”死磕的品牌文化
去年,一篇《叫个鸭子,满足你對鸭子的一切幻想》的文章火爆朋友圈,随即,叫个鸭子全线飘红,走红程度堪称火爆,这与暖食和老爸道静深流水式的风格,显然不同。
有人说,叫个鸭子顶着没节操的名字,满北京城送鸭上门。而它的创始人曲博认为,叫个鸭子名字本身就带有自传播性。
从产品名称到包装,再到产品本身及周边配套产品,曲博和他的团队也是花了心思的。他们把鸭元素贯穿到各个细节,比如头牌配送的人叫鸭王,而配送人员的服装上也印着诸如“鸭子走了”“就你鸭(丫)跑得快”这样打趣的话,绝对是奔着要把“鸭”玩坏的节奏去的。但在曲博看来,这是叫个鸭子“跟鸭死磕”的品牌文化,有极强的心理暗示作用。
曲博是生长于北京的土著,在创办叫个鸭子之前,曾任职于百度,1985年出生的他,已经在那工作了十年。虽然百度与叫个鸭子分属于两个不同行业,看起来似乎不搭,实则并非所用非所长。叫个鸭子之所以一开始就以迅猛的势头走红,与他十年百度社区工作经验不无关联。
最初,叫个鸭子也是以熟人的方式切入,当时很大魄力赠送了几百个朋友,搅动了朋友圈,瞬间带动一批订单蜂拥而至。让许多自媒体人、美食达人,以及机构等为品牌免费代言,省却了大笔营销费用。而一时间,各大点评网站、贴吧、论坛、微博、微信等平台,均有了叫个鸭子的出现,带动了订单量的持续增加。
与传统北京烤鸭需要卷饼和蘸酱不同,叫个鸭子是经过腌制电烤而出,可以直接食用,凉了也依然好吃,更便捷健康。在曲博看来,传统烤鸭的吃法过于复杂,并不适合外卖。而叫个鸭子是更符合时下年轻人消费模式的鸭子。“我自己是北京人,对烤鸭有特别的感情,我们曾用两个月时间吃各种烤鸭,最后结合南北口味,做出现在的产品。叫个鸭子是用新配方新做法做出来的,主材来自河北白洋淀,是无催化的生态鸭,鸭子好吃才是基础。”
和老爸道与用户交朋友互动密切的方式相似,曲博的90后运营团队同样很会洞察用户,他们不但跟用户交朋友,还算准了什么时候该穷追猛打,什么时候该晾着他。他们跟用户交朋友甚至到了变态的地步。比如,鸭王需具备出众的容貌,还不能戴眼镜。而去用户家时,带包烟来,带垃圾走也是必备技能。此外,还有项技能是创造互动的话题点。
同样,叫个鸭子,一开始也是选择个人微信号和电话作为订餐方式,现在的公共号,是个人微信号满5000人后才开的。曲博认为,正常的企业都会直接用公共号去运营,因为公共号的传播途径是点对多的。但个人号却能在朋友圈中与粉丝互动,增加用户粘性。比如,某个顾客喜欢吃凉的鸭子,他们就会在用户名字后面标上“偏凉”,而当这个用户再次下订单时,他们会先征求对方意见,这会让用户感觉自己备受重视,“原来还记得我喜欢吃凉鸭子”。
入侵检测系统综述 篇4
(一)入侵检测系统(IDS)简介
“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。
入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。
1. IDS主要功能:
(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
2. IDS系统组成。
IETF将一个入侵检测系统分为四个组件:事件产生器(Event generators);事件分析器(Event analyzers);响应单元(Response units);事件数据库(Event databases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
3. IDS系统分类。
(1)根据检测对象的不同,入侵检测系统可分为主机型和网络型。 (1) 基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID (intrusion detection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。 (2) 网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(promisc mode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。(2)根据其采用的分析方法可分为异常检测和误用检测。 (1) 异常检测 (Anomaly detection) :异常入侵检测系指建立系统的正常模式轮廓,若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值,就进行入侵报警。其优点是可以发现新型的入侵行为。缺点是容易产生误报。 (2) 误用检测 (Misuse detection) :误用检测指根据已知的攻击特征检测入侵,可以直接检测出入侵行为。关键是如何表达入侵的模式,把真正的入侵行为与正常行为区分开来,因此入侵模式表达的好坏直接影响入侵检测的能力。其优点是误报少。缺点是只能发现攻击库中已知的攻击,且其复杂性将随着攻击数量的增加而增加。
(二)入侵检测技术
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。
(三)入侵检测过程
1. 信息收集
信息收集包括收集系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个就是对来自不同源的信息进行特征分析之后比较得出问题所在的因素。
入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下三个方面(这里不包括物理形式的入侵信息):
(1)系统和网络日志文件:黑客经常在系统日志文件中留下他们的踪迹,因此,可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
(2)非正常的目录和文件改变:网络环境中的文件系统包含很多软件和数据文件,他们经常是黑客修改或破坏的目标。目录和文件中非正常改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。
(3)非正常的程序执行:网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用,例如WEB服务器。每个在系统上执行的程序由一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。
2. 信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
(1)模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
(2)统计分析:统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
(3)完整性分析:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
(四)IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面:1.准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。2.性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。3.完整性。完整性是指IDS能检测出所有的攻击。4.故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。5.自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。6.及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:IDS运行时,额外的计算机资源的开销;误警报率/漏警报率的程度;适应性和扩展性;灵活性;管理的开销;是否便于使用和配置。
(五)IDS的发展趋势
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主代理方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:1.大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。2.宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。3.入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。4.与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
(六)结束语
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
参考文献
[1]赵婷婷, 陈小春, 杨娟.基于windows平台下的入侵检测系统[J].通信技术, 2007, (12) .
[2]王颖.网络安全与入侵检测技术浅析[J].辽宁师专学报, 2007, (03) .
[3]周碧英.入侵检测技术及网络安全的探讨[J].电脑知识与技术, 2007, (23) .
网络入侵检测系统研究 篇5
网络;入侵检测系统;黑客软件
【作者简介】谭 卫(1984—)男,湖南涟源人,华南理工大学硕士毕业,中国民用航空中南地区空中交通管理局助理工程师。研究方向:电子信息化与网络安全。
1.入侵检测系统发展现状
A.入侵检测系统分类[1]
入侵检测系统有不同的分类方法:
按照采用技术不同,分为滥用检测系统和异常检测系统。
按照数据来源不同,分为基于主机的检测系统和基于网络的检测系统。
按照实现结构不同,分为单一、部分分布式以及完全分布式结构系统。
按照响应方式不同,分为被动响应和主动响应检测系统。
B.入侵检测系统面临的问题
检测性能方面:虚警和漏警问题从本质上讲难以避免,现有的入侵检测系统无法实现有效实现提高对新型攻击的检测率并降低虚警率的目标。
检测系统健壮性方面(鲁棒性):许多商用入侵检测系统会由于某些组件突然失败而导致整个检测系统功能丧失。
自适应方面:入侵检测系统面临的攻击是随着时间而变化的,因此入侵检测系统需要具有动态自适应性,能够既可以适应变化的入侵,而且能够容忍自身系统的变化。
2.基于免疫原理的入侵检测系统
A.免疫原理分析
免疫系统抵御外部入侵,使其机体免受病原侵害的应答反应叫做免疫。外部有害病原入侵机体并激活免疫细胞,诱导其发生反应的过程称为免疫应答。免疫应答分为固有免疫和获得性免疫。前者为机体先天获得,可对病原进行快速消除;后者为特异性识别并消除病原体,具有特异性、记忆、区分自我和非自我、多样性和自我调节等优良特性。诱导免疫系统产生免疫应答的物质称为抗原[2]。
在生物免疫系统中,最主要的机制就是区分自我和非自我。自我就是指自身的细胞;非自我是指病原体、毒性有机物和内源的突变细胞或衰老细胞。在此过程中,免疫细胞能对“非自我”产生免疫应答,来消除其对抗体的危害。但对“自我”则不产生应答,以保持体内环境动态稳定。免疫细胞通过自身的进化和相互作用实现了人类的免疫功能。免疫系统的工作过程总体上是由基因选择、负选择和克隆选择3阶段组成。在这3个阶段中,由于免疫系统不受其它器官的支配,也不需要预先了解特定信息,因此是自组织的。最后由于一个抗体可以识别多种抗原,因此是轻负荷的。
生物免疫系统的特点总结如下,这为构建健壮的计算机安全系统提供了重要基础。①分布性:数百万的淋巴细胞分布于整个生物系统,他们之间没有中央控制机制,是一种没有中心控制器的分布式自制系统,能有效处理问题的非线性自适应网络;②鲁棒性:生物免疫系统中各种组件是大量存在的,因此即使缺少这些组件的一小部分也不会对系统的功能有太大的影响;③自适应性:生物免疫系统是一个自组织的存贮器,且是动态地维持着。它能够适应外界环境的变化,通过学习对新的抗原做出识别和反应,并保留对这些抗原特征的记忆,以帮助下一次对抗原的反应。这些特征是完善的IDS系统所需具备的。因此人们希望通过应用生物免疫机理,构建更高效率的IDS系统,以改进目前IDS系统的性能。
B.基于免疫原理的网络安全研究现状
当前基于人工免疫的网络安全研究内容主要包括反病毒和抗入侵两个方面。当前较有代表性的工作有如下两个:其一是IBM公司的研究人员J.O.Kephart提出的用于反病毒的计算机免疫系统,其二是S.Forrest等人提出的可用于反病毒和抗入侵两个方面的非选择算法。
J.O.Kephart等人提出的计算机免疫系统:通过模拟生物免疫系统的各个功能部件以及对外来抗原的识别、分析和清除过程,IBM公司J.O.Kephart等研究人员设计了一种计算机免疫模型和系统,用于计算机病毒的识别和清除。对已知病毒,该系统依据已知病毒特征和相应的病毒清除程序来识别和消灭计算机病毒。对未知病毒,该系统主要是设计“饵”程序来捕获病毒样本,在“饵”程序受感染后对其进行自动分析并提取病毒特征,设计相应的病毒清除程序。当计算机发现并分析了未知病毒特征时,可将所产生的病毒特征和宿主程序恢复信息传播到网上邻近计算机中,从而使得网络上的其它计算机很快就具有了对付该病毒的能力。该原型系统可以是一个病毒自动分析系统,它是从结构和功能上来模拟生物免疫系统,而没有深入研究生物免疫系统完成这些功能的具体机制并建立和设计相应的模型和算法。
负选择算法:S.Forrest等人在分析T细胞产生和作用机制的基础上,提出了一个负选择算法。T细胞在成熟过程中必须经过阴性选择,使得可导致自身免疫反应的T细胞克隆死亡并被清除,这样,成熟的T细胞将不会识别“自我”,而与成熟T细胞匹配的抗原性异物则被识别并清除。负选择算法是一个变化检测算法,具有不少优点,但它不是一个自适应学习算法。负选择算法自提出后就受到众多研究人员的关注并对其进一步研究。目前,在负选择算法和免疫系统中的学习机制相结合方面已有了一定的进展。
其它:以上仅仅是两个较有影响的工作,此外还有其它很多具有相当影响的相关模型、算法和原型系统,如R.E.Marmelstein等人提出的用于反病毒的计算机病毒免疫分层模型和系统,D.Dasgupt等人提出的基于免疫自主体的入侵检测系统框架等。
C.基于免疫原理的入侵检测一般模型
检测环境的描述:U代表本地主机和网络系统中的所有模式的集合。U被分为两部分:self集合S和non-self集合N。S、N满足S∪N=U并且S∩N=U。
入侵检测问题的描述:s∈U,判断s∈S or s∈N。
人侵检测系统的描述:D代表入侵检测系统D=(f,M),其中M∈U代表D的检测规则集。f代表判定函数,f:U*€譛→{normal,anomalous),即
误报、漏报问题的描述:人侵检测系统可能产生的错误有两类,一类是虚警(False Positive),另一类是漏警(False Negative)。定义试验集Utest,UtestU。令Stest=S∩Utest,Ntest=N∩Utest,则由S∪N=U, S∩N=U可知Stest∪Ntest=Utest并且Stest∪Ntest= 。如果s∈Stest,且f(M,s)=anomalous,则称发生虚警错误,如果s∈Ntest,且f(M,s)=normal,则称发生漏警错误。
入侵检测问题从本质上来说是模式检测问题,以比较小的代价从海量数据中检测出异常数据。生物免疫正是具备这种高效的检测能力,其基因变异、免疫耐受、克隆选择和记忆细胞等原理能够保持机体动态平衡。
人工免疫系统的一般性工程框架[3]如下图1所示,分别为表示层、亲和力定义和免疫算法层。首先将工程中需要计算的对象正确表达出来,包括抗原與抗体的定义,接着定义抗原与抗体之间的亲和力,最后选择合适的免疫算法进行计算。
图1 人工免疫系统的工程框架
在入侵检测领域,以上工程框架可以映射为模式表达、匹配规则定义和检测算法三个过程。首先是模式表达,我们需要将要检测的目标对象表达为合适的抗原和抗体模型,比如我们可以将网络数据包所包含的地址端口等关键信息表达为长二进制串[4],将进程的系统调用序列表达为短二进制串。接着根据检测对象的不同,选择更合适的亲和力计算方法,比如网络数据包的异常检测可以采用r连续海明距离匹配规则,而系统调用的异常检测可以采用变种的欧拉距离匹配规则。最后是免疫算法的选择,针对入侵检测的各个阶段采用不同的免疫算法,比如检测模式抗体库的产生阶段通常采用否定选择算法,而检测阶段则采用克隆选择算法,若进行大规模网络检测则选择免疫网络模型。
以上三个过程实际上也包含了人工免疫原理应用丁入侵检测系统中的难点所在,首先是模式表达的确定,如何选择合适的关键数据作为检测的模式基础是首要问题,接着是检测指令系统的构建问题,用于检测的抗体库如何优化产生以及如何向低抗体总数的高覆盖率进化,然后就是快速匹配算法的设计问题,如何定义合适的亲和力表达直接涉及到检测率和检测性能。最后是免疫算法的合适问题,如何合理地选择应用免疫系统原理到人侵检测的各个阶段。
同时应该充分考虑到已经取得辉煌成就的生物学其他一些原理。比如利用遗传算法可以解决入侵检测系统的数据优化问题、利用神经网络解决入侵检测系统中的模式识别问题以及利用模糊规则来解决入侵发生后系统的控制问题等等。
本文首先介绍了网络安全的背景知识,然后在分析入侵检测系统面临巨大的挑战后,提出了一种基于免疫原理的入侵检测系统。
第三章是本文的主要内容,里面比较详细地介绍了免疫原理的特点及其应用于入侵检测系统的优点。在了解了目前该方面的研究工作后,本文接着描述了一种基于免疫原理的入侵检测基本模型。
该章重点介绍了一般人工免疫系统的工程框架,并在此基础上,入侵检测领域可以映射为模式表达、匹配规则定义和检测算法三个过程。最后分析了这几个过程中的关键技术以及未来发展可以借鉴的其他理论。
[1]闫 巧.基于免疫机理的入侵检测系统研究.西安电子科技大学.2003
[2]王宝进,薛 娟.基于生物免疫原理的网络入侵检测系统.计算机工程与设计.2006
[3]陈云芳,王汝传.基于免疫学的入侵检测系统一般模型.南京邮电大学.2006
[4]Forrest S, Perelson S. Self-nonself discrimination in a computer. In Proceedings of the IEEE Symposium on Research in Security and Privacy. pp.202-212,1994.
[5]朱永宣,单 莘,郭 军.基于免疫算法的入侵检测系统特征选择.微电子学与计算机.2007
[6]丁冠华,闫 军,王晓然.基于人工免疫的入侵检测系统.计算机与信息技术.2006
入侵检测系统研究 篇6
在人们越来越多地和网络亲密接触的同时,被动的防御已经不能保证系统的安全。针对日益繁多的网络人侵事件,需要在使用防火墙的基础上选用一种协助防火墙进行防患于未然的工具,这种工具要求能对潜在的入侵行为作出实时判断和记录,并能在一定程度上抗击网络入侵,扩展系统管理员的安全管理能力,保证系统的绝对安全性。并能使系统的防范功能大大增强,甚至在入侵行为已经被证实的情况下,能自动切断网络连接,保护主机的绝对安全。在这种形势下,基于多年对网络安全防范技术和黑客入侵技术的研究而开发的网络安全产品——入侵检测系统IDS(Intrusion Detection System)应运而生了。
1 入侵检测系统(IDS)概念
1980年,James P.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部渗透、内部渗透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。在其之后,1986年Dorothy E.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES)。1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统NSM(Network Security Monitor)。自此之后,入侵检测系统才真正发展起来。
入侵检测是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息、拒绝服务(Denial of Service)等对计算机系统造成危害的行为。入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS,Intrusion Detection System)。与其它安全产品不同的是,入侵检测系统需要更多的智能,它必须能够对得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全地运行。
2 入侵检测系统模型
美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2]。该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型,一般称为CIDF模型,如图一所示。但是并没有对IDS系统的体系结构进行任何约束,也没有限制其实现所采用的编程语言和依赖的操作系统。它将一个入侵检测系统分为以下四个组件:
(1)事件产生器(Event Generators)
CIDF将入侵检测系统需要分析的数据统称为事件(Event),事件可以是基于网络的数据包也可以是主机的系统日志等其它信息。事件产生器是IDS的感知部件,相当于“事件”数据采集器。目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。
“事件”可以是复杂的事件,或者是低层网络协议事件,它不一定是入侵事件本身。事件产生器进行信息收集,还可完成必要数据过滤功能。
(2)事件分析器(Event Analyzers)
也称为分析引擎。对来自事件产生器输入的事件流进行检测分析,从而抽取相关信息,产生分析结果,并根据数据分析结果确定应该采取的行为。
(3)响应单元(Response Units)
接收事件分析器的分析结果和其它组件的信息,根据响应策略对入侵事件进行反应。它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的日志记录和报警。
(4)事件数据库(Event databases)
事件数据库是存放各种中间和最终数据的地方,也称为日志,它用来存储、管理系统中多种类型事件的数据,对系统各个阶段的数据进行管理,也可以进行高级搜索、关联性分析、序列模式分析、趋势分析等。它可以是复杂的数据库,甚至是数据仓库,也可以是简单的文本文件。
3 入侵检测系统的分类
目前入侵检测系统按功能可以分为四类:
(1)系统完整性校验系统(SIV)
SIV可以自动判断系统是否有被黑客入侵迹象,并能检查是否被系统入侵者更改了系统文件,以及是否留有后门,监视针对系统的活动(用户的命令、登陆/退出过程,使用的数据等),这类软件一般由系统管理员控制。
(2)网络入侵检测系统(NIDS)
NIDS可以实时检验网络的数据包,及时发现端口是否有黑客扫描的迹象。监视计算机网络上发生的事件,然后对其进行安全分析,以此来判断入侵企图;分布式NIDS通过分布于各个节点的传感器或代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息,并监视网络流动的数据和入侵企图。
(3)日志分析系统(LFM)
LFM对于系统管理员进行系统安全防范来说非常重要,因为日志记录了系统每天发生的各种各样的事情,用户可以通过日志记录来检查错误发生的原因,或受到攻击时攻击者留下的痕迹。日志分析系统的主要功能有:审计和监测、追踪侵入者等。日志文件也会因大量的记录而导致系统管理员用一些专业的工具对日志或者报警文件进行分析。此时,日志分析系统就可以起作用了,它帮助系统管理员从日志中获取有用的信息,使管理员可以针对攻击威胁采取必要措施。
(4)欺骗系统(DS)
普通的系统管理员日常只会对入侵者的攻击作出预测和识别,而不能进行反击。但是DS可以帮助系统管理员做好反击工作。DS通过模拟一些系统漏洞来欺骗入侵者,当系统管理员通过一些方法获得黑客企图入侵的迹象后,利用欺骗系统可以获得很好的效果。例如,重命名NT上的Administrator帐号,然后设立一个没有权限的虚拟帐号让黑客来攻击,在入侵者感觉到上当时,管理员也就知晓了入侵者的一举一动和他的水平高低。
4 IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:
(1)有效性、准确性
有效性是所有需求中最重要的一个。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。入侵检测系统必须能够准确地、持续地检测到入侵行为和其它感兴趣的预定义的使用模式,且对于入侵事件的错报与漏报能够控制在一定范围内。
(2)实时性
入侵检测系统必须具有时效性,即能够实时地执行对目标环境的监测任务。如果入侵行为或者入侵企图能够尽快的被发现,这就使得有可能对入侵者进行追踪,阻止其进一步的入侵活动,把破坏控制在最小限度,并能够记录下入侵过程的全部活动。
(3)可扩展性
因为存在成千上万种不同的已知和未知的入侵手段,它们的入侵行为特征也各不相同。所以必须建立一种机制,把入侵检测系统的体系结构与使用策略区分开。一个已经建立的入侵检测系统必须能够保证在新的攻击类型出现时,可以通过某种机制在无需对入侵检测系统本身进行改动的情况下,使系统能够检测到新的入侵行为。并且在入侵检测系统的整体功能设计上,也必须建立一种可以扩展的结构以适应未来可能出现的要求。
(4)适应性
入侵检测系统必须能够适用于多种不同的环境,比如高速大容量计算机网络环境,并且在系统环境发生改变,比如增加环境中的计算机系统数量,改变计算机系统类型时,入侵检测系统依然能够正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性,即跨平台工作的能力,适应其宿主平台软、.硬件配置的各种不同情况。另外还应该能适应客户的不同策略。
(5)安全性
入侵检测系统必须尽可能的完善与健壮,能够自动地适应更好的安全实现的设置和模式。不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。
(6)可靠性
入侵检测系统应该具有一定容错性,即能够在允许一定的冗余和错误的情况下可靠地运行,可以容忍入侵(intrusion-tolerance)。同时,入侵检测系统还应具有完善的自身防护手段。
(7)高效性
入侵检测系统应该能够优化使用计算资源、存储资源、通信带宽资源等,提高检测系统自身的性能,以使它对其所监测的目标环境的影响最小。
(8)易使用性
便于用户使用也是很重要的。一个设计良好的工具应该能够使得非安全专家可以可靠地执行安全任务。
5 IDS的发展趋势
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS (国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwal l-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术、主动的自主代理方法、智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测
传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术
大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术
目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合
结合防火墙、病毒防护以及电子商务技术,提供完整的网络安全保障。
6 结束语
在目前的计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但是,要根本改善系统的安全现状,必须要发展入侵检测技术,它已经成为计算机安全策略中的核心技术之一。IDS作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,从立体纵深、多层次防御的角度对系统实施保护。随着网络通信技术安全性的要求越来越高,入侵检测技术必将受到人们的高度重视。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成一些较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强对统计分析的相关技术的研究。
参考文献
[1]Anderson J P.Computer security threat moni- toring and surveillance[P].PA 19034,USA,1980,4.
[2]Denning D E.An Intrusion-Detection Model[A]. IEEE Symp on Security & Privacy[C].1986:118-131.
[3]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002,(6):28-32.
[4]曾昭苏,王锋波.基于数据开采技术的入侵检测系统[J].自动化博览,2002,(8):29-31.
智能入侵检测技术 篇7
入侵检测技术是近20年来出现的一种新型网络安全技术, 能够检测出多种形式入侵行为, 是现代计算机网络安全体系的一个重要组成部分, 入侵检测的研究可以追溯到JamesP.Anderson在1980年的工作, 首次提出了利用审计数据发现入侵行为的思想。1987年DorothyE.Denning首次给出一个入侵检测的抽象模型, 并将入侵检测作为一个新的安全防御措施提出。后来, 随着对入侵检测技术的广泛和深入的研究, 科研人员提出了多种入侵检测方法, 从早期的日志审计、文件的完整性检查和异常行为的统计检测等方法[1], 到现在智能化检测技术的研究都体现了网络安全问题的日益重要和严峻。
智能入侵检测技术
1. 专家系统。
传统的采用模式匹配的特征检测算法没有逻辑推理和判断能力, 对一些有变化的攻击就无能为力, 而采用专家系统的入侵检测系统具有适应性强、可靠性强、相应快和稳定等优点, 用专家系统对入侵进行检测, 经常是针对有特征入侵行为, 专家系统的建立依赖知识库的完备性, 知识库的完备性又取决于审计记录的完备性与实时性。而入侵特征的抽取与表达, 是入侵检测专家系统的关键。在系统实现中, 将有关入侵的知识化为if-then结构, 条件部分为入侵特征, then部分是系统防范措施, 系统防范有特征入侵行为的有效性完全取决于知识库的完备性。系统通过监测系统、事件、安全记录以及系统记录和原始IP数据包的截获来获取数据。当采集到的数据显示有可疑活动时, 就会触发规则, 当可疑超过一定门限时, 即判断发生入侵行为。
专家系统可有针对性地建立高效的入侵检测系统, 检测准确度高, 但是在具体实现中, 有如下问题: (1) 专家知识获取问题:即由于专家系统的检测规则依赖于安全专家知识, 因此难以全面的构建知识库; (2) 规则动态更新问题:因为用户行为的动态性也要求专家系统有自学习、自适应的功能。
2. 数据挖掘技术。
1999年, Wenke Lee[2]给出了用数据挖掘技术建立入侵检测模型的过程。数据挖掘是从海量数据中抽取、“挖掘”出未知的、有价值的模式和知识的复杂过程。而入侵检测正是从大量的网络数据中提取和发现异常的入侵行为, 因此, 数据挖掘中的多种技术都可以应用于入侵检测系统, 例如:分类、聚类、关联分析、序列分析等。
分类技术把观察到的事件映射到预先定义好的类别中去。常见的分类算法包括:判定树、贝叶斯分类器等。使用分类技术进行入侵检测的基本思想是首先使用带类标的训练数据集对分类器进行训练, 使其能够对正常和异常至少两类事件进行区分, 然后使用训练好的分类器对需要检测的事件进行分类, 从中发现异常行为。
聚类是将物理或抽象对象的集合分组成为由类似的对象组成的多个簇的过程。同分类不同的是, 聚类对要划分的类是未知的。分类器的训练通常需要大量的有类标示的训练数据, 但在实际情况下, 提供这样的数据集是相当困难的。基于聚类的无监督异常检测方法的基本思想就是假设入侵行为和正常行为的差异很大并且数量较少, 因此它们能够在检测到的数据中呈现出比较特殊的属性。Portnoy和Eskin等人提出了一种使用无类标示数据的基于聚类的无监督异常入侵检测方法, 其方法是使用一个简单的基于距离的度量[3]方法来形成簇。该方法的优点在于对不需要对训练集进行分类, 但漏报率较高, 主要原因是该方法的性能主要依赖于训练集的好坏。
关联规则挖掘的目的就是为了发现大量数据中项集之间的关联或相关联系。用于入侵检测系统中, 关联规则挖掘可以分析标示用户的行为特征, 发现正常行为数据之间的关联, 并将其作为用户正常行为的轮廓, 可以对异常行为进行检测。
3. 神经网络技术。
目前许多入侵检测系统是基于Dorothy Denning的入侵检测模型。随着时间的推移, 这些传统的入侵检测模型的缺陷逐渐暴露[4]。其误警率高、检测速度慢、自适应能力差等, 而神经网络入侵检测系统的优点在于它并不会受到程序员的关于入侵知识的限制。能够从已有的入侵行为中进行学习, 从而掌握入侵行为的一些共性的特征。因此, 通过神经网络来构建IDS, 那么IDS就会变得更加高效, 尤其是它将具有一定的自适应能力, 去适应和跟踪入侵行为的变化, 从而有效地检测出新型的入侵模式和入侵行为。
它的主要优点表现在: (1) 神经网络适用于不精确模型, 而传统的统计方法很大程度上依赖于用户行为的主观设计, 因而, 描述偏差是引起误报的重要因素。 (2) 基于神经网络的检测方法具有普适性, 可以对多个用户采用相同的检测措施。 (3) 基于神经网络的检测方法不必对大量的数据进行存取, 精简了系统。神经网络具有自适应、自组织和自学习能力, 可以处理一些环境信息十分复杂、背景知识不详的问题, 允许样本有较大的缺陷和不足。
国内外已经在神经网络入侵检测方面取得的一些成果。K.Fox使用神经网络来进行攻击检测, 对异常检测和误用检测采用多层BP神经网络模型, 取得了不错的实验效果.A.Ghosh和A.Schwartzhard使用神经网络用于异常检测和误用检测的应用, 他们的实验结果表明基于神经网络的入侵检测模型在误用检测中工作良好。
然而, 如何提高神经网络的训练速度, 选用合适的方法对输入向量进行降维和神经网络的语义问题也是神经网络需要进一步研究的地方。
4. 人工免疫技术。
人工免疫算法在入侵检测中的应用。免疫系统的主要目的是识别体内的所有细胞, 并将它们分为自我与非自我。将免疫系统应用于异常检测时, 将自我定义为系统行为的正常模式, 因此, 观测数据中任何超过允许变化值的偏离均被看作是行为模式中的异常行为。根据信息处理的观点, 免疫系统是一个非凡的平行及分布式自适应系统, 它可用于学习、记忆、联想检索、解决识别与分类等问题。如果把网络系统看做一个生理系统, 那么检测系统实质就是实现这一系统的免疫功能与自愈功能。
Forrest等人[5]基于免疫系统中自我与非自我差异的原则, 为免疫系统开发了一个逆向选择算法, 用它来检测计算机系统内的恶意攻击。因此异常检测问题可简化为检测所观察的数据模式是否已经变化的问题, 因为数据模式的变化意味着正常行为模式的变化。这种方法可概括为: (1) 收集充分显示系统正常行为的时间序列数据; (2) 仔细审查这些数据, 决定数据模式的变化范围, 并根据所需的精度选择编码参数; (3) 在观察的数据范围内用二进制对每个数值进行编码; (4) 选择适当的能获取数据模式规律的窗口大小; (5) 将窗口沿着时间序列进行滑移, 并将每个窗口的编码储存; (6) 产生一个能与任何一种自我匹配的探测器。一旦正常数据模式的探测器产生, 它就能够尽可能地从未出现的时间序列数据的模式中检测出任何变化, 即非正常行为。
基于免疫系统的学习方法不需要中心控制器且学习时间短, 本身具有的自调节和最优化功能, 能根据接收到的数据作出决策。但是, 它需要足够的能代表系统行为的正常数据序列样本。
5. 基于agent的检测技术。
随着网络环境的日益复杂, 人们提出了用分布式的入侵检测系统来增强检测处理能力。然而, 尽管分布式入侵检测系统改善了网络抗攻击的能力, 但这种系统也存在很多的局限性, 比如局部故障会影响整体, 难以动态配置和跨异构平台工作等等。一些学者提出了基于agent的入侵检测技术, 因为Agent技术具备分布式协同处理和智能化的特点, 将之引入入侵检测领域, 正好可以弥补传统入侵检测系统的不足。
但是, 目前agent的协同工作问题, 适合于入侵检测系统的agent平台问题, 基于agent的入侵检测系统的标准化的问题也需要进一步的研究。
结束语
随着研究工作者的不断努力, 基于专家系统、数据挖掘、神经网络和免疫算法等技术的智能化的入侵检测技术已经显示出它的优越性, 这些技术都是优化技术或是模式识别技术在入侵检测领域的发展, 是下一步入侵检测技术的发展趋势。显然, 只有不断地完善入侵检测技术, 才能开发出性能更加强大、功能更加完善的入侵检测系统, 以确保网络的真正安全。
参考文献
[1]崔蔚, 任继念, 徐永红.入侵检测系统的研究现状及发展趋势[J], 西安邮电学院学报, 2006, 11, 66-69.
[2]Wenke Lee, Stolfo S J, Mok K W.A Data Mining Framework for Building Intrusion Detection Models[J].In:Proceedings of the1999IEEE Symposium on Security and Privacy, 1999.
[3]Portnoy L, Eskin E, Stolfo S J.Intrusion Detection with Unla2bel-ed Data Using Clustering[J].In:Proceedings of ACM CSS Work2shop on Data Mining Applied to Security, 2001.
[4]蒋建春, 冯登国.网络入侵检测原理与技术[M]北京国防工业出版社, 2001:25-27.
入侵检测技术浅析 篇8
在传统的安全模型中,防火墙作为计算机网络安全的一种防护手段得到了广泛的应用。但随着攻击技术的发展,这种单一的防护手段已经不能确保网络的安全,防火墙在防范黑客时出现了明显的局限性,主要表现为防火墙无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,在攻击发生后难以调查和取证。为了确保计算机网络安全,不断有新的安全技术被提出。入侵检测技术能够帮助网络系统快速发现入侵攻击,并做出响应,扩展了系统管理员的安全管理能力,从而得到快速发展和广泛应用。
2. 入侵检测概念
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
3. 入侵检测系统模型[1]
目前对IDS进行标准化工作的有两个组织:IETF的入侵检测工作组(IDWG)和通用检测框架(CIDF)。
CIDF阐述了一个入侵检测系统的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Event Generators),用E盒表示;事件分析器(Event Analyzers),用A盒表示;响应单元(Response Units),用R盒表示;事件数据库(Event Databases),用D盒表示。
CIDF模型的结构如下:E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式;D盒存储来自A、E盒的数据,并为额外的分析提供信息;R盒从A、E盒中提取数据,D盒启动适当的响应。
4. 入侵检测系统分类[2]
根据数据来源不同,入侵检测系统常分为主机型、网络型和混合型。
(1)主机型:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用记录、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统,是由代理来实现的。代理是运行在目标主机上的小的可执行程序,它们与命令控制台通信。
(2)网络型:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器组成。传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
(3)混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
5. 入侵检测分析过程[3]
5.1 信息收集
信息收集是在计算机网络系统中的若干不同关键点收集包括系统、网络、数据及用户活动的状态和行为等信息。入侵检测系统利用的信息一般来自四个方面:系统和网络日志文件;目录和文件中的不期望的改变;程序执行中的不期望行为;物理形式的入侵信息。
5.2 信号分析
信号分析是指对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,通过技术手段进行分析的过程。信号分析的技术手段有三种:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
(1)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该方法的优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟,检测准确率和效率都相当高。但是,该方法存在的弱点是不能检测到从未出现过的黑客攻击手段,需要不断地升级以对付不断更新的黑客攻击手法。
(2)统计分析
统计分析方法首先给系统对象创建一个统计描述,统计正常使用时的一些测量属性,然后将测量属性的平均值用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,而缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
(3)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数,它能识别哪怕是微小的变化。其优点是它能够发现任何导致了文件或其它对象改变的攻击;而缺点是一般以批处理方式实现,不用于实时响应。
5.3 结果处理
结果处理是指当检测到入侵时,就产生预先定义的响应,并采取相应的措施。可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的警告。
6. 入侵检测系统部署
一个网络型的入侵检测系统由入侵检测控制台(Console)以及探测器(Sensor)组成。
Sensor负责侦听网络中的所有数据包,Console负责搜集Sensor汇报上来的侦听数据并与数据库中的特征库进行匹配,然后产生报警日志等提示信息。
在企业中,入侵检测系统只需监视特定的重要区域的网络行为即可。最简单Sensor部署位置是监听防火墙DMZ口连接的重要服务器区域,以及监听防火墙的内口,这样既可以对入侵服务器区域的网络行为进行监视,也可以监视穿透防火墙的一些网络行为。这样就构成了1个控制台(Console),2个探测器(Sensor)的经典入侵检测网络结构。
由于入侵检测系统在网络中扮演的是一个“聆听者”的角色,并不需要和网络中的其它设备发生通信,因此出于安全性的考虑,我们把入侵检测的Console和Sensor组建成专用网络。入侵检测系统专用网络即以带外(Out of Band)管理入侵检测系统引擎。这样能够更好的突出入侵检测系统的自身安全,也防止在被监测的网络发生问题,例如像Nimda,Code Red病毒造成的网络阻塞情况发生时,入侵检测系统管理控制中心及时地发现问题,让系统管理员及时了解网络情况,重新配置网络引擎,解决网络发生的问题。
7. 结束语
随着入侵技术的不断发展,入侵行为表现出不确定性、复杂性及多样性等特点,入侵或攻击向综合化、规模化、分布化等方面发展,入侵检测技术也必须不断地更新和发展。目前,许多学者在研究新的检测方法,如采用自动代理的主动防御方法和将免疫学原理应用到入侵检测的方法等等。未来,入侵检测技术会向以下四个方面发展:一是分布式入侵检测,二是智能化入侵检测,三是全面的安全防御方案,四是建立入侵检测系统评价体系。
入侵检测技术是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。入侵检测技术是为计算机网络系统安全的重要组成部分,但它不是一个完全的计算机网络系统安全解决方案,它不能替代其它安全技术,如访问控制、身份识别与认证、加密、防火墙、病毒检测与清除等的功能。但可以将它与其它安全技术,如防火墙技术、安全网管技术等增强协作,以增加其自身的动态灵活反应及免疫能力,为我们提供更加安全的网络环境。
摘要:随着互联网技术的迅速发展,网络攻击和入侵事件与日俱增,入侵检测系统被认为是继防火墙之后的第二道网络安全闸门。本文介绍了入侵检测系统的基本概念、模型及分类,阐述了入侵检测系统的分析过程和部署,展望了入侵检测的未来发展趋势。
关键词:入侵检测,网络安全,计算机网络
参考文献
[1]阮耀平,易江波.计算机系统入侵检测模型与方法[J].中外科技信息,1999,11:61-63.
[2]卿斯汉,蒋建春.网络攻防技术原理与实战[M].北京:科学出版社,2004.
入侵检测技术研究 篇9
随着信息技术在社会各个领域的深入开展, 人们在得益于信息革命所带来巨大机遇的同时, 也面临着信息安全问题的严峻考验。由于信息系统安全脆弱性的客观存在, 操作系统、应用软件、硬件设备不可避免地存在安全漏洞。入侵检测系统 (Intrusion Detective System, IDS) 是对防火墙极其有益的补充, 被认为是防火墙之后的第二道安全闸门, 作为一种主动安全防范机制, 受到越来越广泛的重视。
1 入侵检测概述
1.1 基本概念
入侵检测是指“通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行操作, 检测对系统的闯入或闯入企图” (参见国标GB/T18336) 。而入侵检测技术是为保证计算机系统安全而设计、配置的一种能够及时发现并报告系统中未授权或异常现象的技术, 是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是IDS。IDS是从多种计算机系统及网络系统中收集信息, 通过网络安全系统分析入侵信息特征。从而在入侵攻击对系统发生危害前, 检测到入侵攻击, 利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中, 减少入侵攻击造成的损失;在被入侵攻击后, 收集入侵攻击相关信息, 添加到策略集中, 避免系统再次受到同类型的入侵。
1.2 发展历程
入侵检测由传统电子数据处理、安全审计以及统计技术发展而来。1980年4月, James P.Anderson第一次详细阐述了入侵检测的概念, 并提出用审计追踪监视入侵产生的威胁。1984~1986年, 乔治敦大学的Dorothy Denning和美国斯坦福国际研究所的Peter Neumann研究出了一个实时入侵检测系统模型, 取名为IDES (入侵检测专家系统) 。1987年, D.E.Denning给出了一个入侵检测的抽象模型, 并将入侵检测作为一个新的与传统加密认证和访问控制完全不同的计算机安全防御措施提出。1988年, 莫里斯蠕虫事件发生之后, 网络安全引起了军方、学术界和企业的高度重视。
1.3 过程分析
入侵检测过程分为三部分:信息收集、信息分析和结果处理。入侵检测第一步是信息收集, 收集内容包括系统、网络、数据及用户活动的状态和行为。收集到的相关信息, 被送到驻留在传感器中的检测引擎, 通过模式匹配、统计分析或完整性分析进行分析。当检测到某种误用模式时, 产生一个告警并发送给控制台。控制台按照告警产生相应措施, 可重新配置路由器或防火墙、终止进程、切断连接、改变文件属性或简单的告警。
2 入侵检测方法
2.1 入侵检测系统分类
按数据源 (根据不同的结构和监听策略) 分类, 入侵检测系统可以分为3类:主机型 (HIDS) 、网络型 (NIDS) 和混合型入侵检测系统。
HIDS以系统日志、应用程序日志等审计记录文件作为数据源, 能对检测到的事件给予积极的反应。可以检测特定应用程序, 误报率较低, 在主机上运行的命令序列简单, 系统复杂性小, 入侵行为分析工作量随主机数目的增加而增加等。常见的HIDS产品有ISS的Real Secure Os Sensor等。
NIDS以网络包作为分析数据源, 将计算机上的网卡设于混杂模式监听、分析网段内的数据包。不用在被保护主机上安装软件, 成本低, 安装维护方便;可自动阻塞可疑数据等。但监测范围受限, 常出现误报漏报, 处理加密的会话过程较难。常用的NIDS有国外的Real Secure Network Sensor等;国内的金诺网安KIDS等。
HIDS产品和NIDS产品各有优缺点。如果结合两类方式的优点部署在网内, 检测系统既可发现网络中的攻击信息, 也可从系统日志中发现异常情况。目前商品化的产品有国外ISS的Server Sensor等;国内的金诺网安KIDS等。
2.2 入侵检测技术的分类
按所采用的检测机制, 分为误用检测技术和异常检测技术。
2.2.1 误用检测技术
误用检测的前提是入侵行为按某种方式进行特征编码。检测过程主要是模式匹配的过程。特征描述了安全事件或其它误用事件的特征、条件、排列和关系。特征构造方式有多种, 主要误用检测方法有:
(1) 基于条件概率的误用检测方法指将入侵方式对应一个事件序列, 然后观测事件发生序列, 应用贝叶斯定理进行推理, 推测入侵行为。是基于概率论的通用方法。是对贝叶斯方法的改进, 其缺点是先验概率难以给出, 事件独立性难以满足。
(2) 基于状态迁移分析的误用检测方法以状态图表示攻击特征, 不同状态刻画系统某一时刻特征。初始状态对应入侵开始前的系统状态, 危害状态对应已成功入侵时刻系统状态。初始状态与危害状态之间的迁移有一个或多个中间状态。通过检查系统的状态就能发现系统入侵行为。采用该方法的IDS有STAT和USTAT。
(3) 基于键盘监控的误用检测方法假设入侵行为对应特定的击键序列模式, 然后监测用户击键模式, 并将此模式与入侵模式匹配发现入侵行为。缺点是在没有操作系统支持的情况下, 缺少捕获用户击键的可靠方法。如果没有击键语义分析, 用户提供别名 (如Korn shell) 很容易欺骗这种检测技术。而且不能检测恶意程序的自动攻击。
(4) 基于规则的误用检测方法指将攻击行为或入侵模式表示成一种规则, 只要符合规则就认定是入侵行为。按规则组成方式可分为两类:一是向前推理规则, 根据收集到的数据, 规则按预定结果进行推理, 直到推出结果时为止。大部分IDS采用这种方法。二是向后推理规则。由结果推测可能发生的原因, 然后再根据收集到的信息判断真正发生的原因。
其他如基于专家系统、模型误用推理及Petri网状态转换等的误用检测方法, 参见文献[2]。
2.2.2 异常检测技术
异常检测为系统建立一个正常活动的特征文件, 通过统计不同于已建立特征文件的所有系统状态数量, 来识别入侵企图。优点是可检测到未知入侵和更为复杂的入侵。但正常模式的知识库难以建立, 而且误报漏报率高。主要检测方法有:
(1) 基于特征选择的异常检测方法, 指从一组度量中选择能够检测出入侵的度量, 构成子集, 从而预测或分类入侵行为。理想的入侵检测度量集, 必须能够动态地进行判断和决策。Maccabe提出应用遗传方法搜索整个度量子空间, 以寻找正确的度量子集。其他基于特征选择的异常检测方法, 可以参考文献[1, 2]。
(2) 基于贝叶斯推理的异常检测方法指在任意给定时刻, 测量A1, A2, …, An变量值, 推理判断系统是否发生入侵行为, 其中Ai表示系统某一方面的特征, 例如系统中页面出错的数目等。根据各种异常测量值、入侵先验概率、入侵发生时每种测量得到的异常概率, 能够判断系统入侵概率。通过相关性分析, 确定各异常变量与入侵的关系。
(3) 基于贝叶斯网络的异常检测方法指建立异常入侵检测的贝叶斯网络, 通过它分析异常测量结果。贝叶斯网络以图形方式表示随机变量之间的相关关系, 通过指定一个小的与邻接节点相关的概率集计算随机变量的联接概率分布。按给定全部节点组合, 所有根节点的先验概率和非根节点概率构成这个集。
(4) 基于模式预测的异常检测方法的前提条件是事件序列不是随机发生的而是服从某种可辨别的模式, 特点是考虑事件序列之间的相互联系。Teng和Chen给出一种基于时间的推理方法, 利用时间规则识别用户正常行为模式特征。优点是能较好地处理变化多样的用户行为, 并具有很强的时序模式;容易发现针对检测系统的攻击。
(5) 基于贝叶斯聚类的异常检测方法指在数据中发现不同数据类集合。这些类反映了基本的类属关系, 同类成员比其它成员更相似, 以此可以区分异常用户类, 进而推断入侵事件发生。该方法目前只限于理论讨论, 还没有实际应用。
(6) 基于机器学习的异常检测方法指通过机器学习实现入侵检测, 其主要方法有死记硬背、监督学习、归纳学习等。机器学习中许多模式识别技术对于入侵检测都有参考价值, 特别是用于发现新的攻击行为。
(7) 基于数据挖掘的异常检测方法指把数据挖掘技术应用到入侵检测领域, 从审计数据或数据流中提取感兴趣的知识, 这些知识是隐含的、事先未知的潜在有用信息。提取的知识表示为概念、规则、规律、模式等形式, 并用这些知识检测异常入侵和已知的入侵。优点是适于处理大量数据。对于实时入侵检测需加以改进。
(8) 基于应用模式的异常检测方法。对特定应用行为建模, 发现异常入侵行为是一种可行的方法。Krugel等人提出了基于服务相关的网络异常检测算法, 用服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。异常值的计算公式如下:
AS=0.3·AStype+0.3ASlen+0.4·ASpd
其中, AStype, ASlen和ASpd分别表示服务请求类型、服务请求长度和服务请求包的异常值。该方法利用已知的攻击方法训练异常阈值, 在实际检测中, 通过实时计算出的异常值和所训练出的阈值作比较, 分析判断是否有针对某种网络服务的攻击发生。
(9) 基于文本分类异常检测方法是将程序的系统调用视为某个文档中的“字”, 而进程运行所产生的系统调用集合就产生一个“文档”。对于每个进程所产生“文档”, 利用K最近邻聚类 (K-nearest neighbor) 文本分类算法, 分析文档的相似性, 发现异常的系统调用, 从而检测入侵行为。
其他如基于神经网络、统计的异常检测方法请参看文献[3, 4]。
3 入侵检测系统的评价标准
目前的入侵检测技术发展迅速, 应用的技术也很广泛, 如何评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几方面:
(1) 准确性。不会标记环境中的一个合法行为为异常或入侵。
(2) 性能。处理审计事件的速度。
(3) 完整性。能检测出所有的攻击。
(4) 故障容错。当被保护系统遭到攻击和毁坏时, 能迅速恢复系统原有的数据和功能。
(5) 自身抵抗攻击能力。这点很重要, 尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是首先采用“拒绝服务”攻击摧毁IDS, 再实施对系统的攻击。
(6) 及时性。必须尽快地执行和传送它的分析结果, 以便在系统造成严重危害之前能及时做出反应, 阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面, 还应该考虑以下几个方面:
(1) IDS运行时, 额外的计算机资源的开销;
(2) 误警报率/漏警报率的程度;
(3) 适应性和扩展性;
(4) 灵活性;
(5) 管理的开销;
(6) 是否便于使用和配置。
4 结论
经过二十多年的研究与开发, 入侵检测技术得到了飞速的发展, 但是目前还存在很多的问题。主要有:大量的误报和漏报、自身缺少防御功能、互动性能低以及实时性差。
随着入侵检测技术的发展, 成型的产品已陆续应用到实践中。入侵检测系统的典型代表是国际互联网安全系统公司的Real Secure。目前较为著名的商用入侵检测产品还有:NAI公司的Cyber Cop Monitor、Axent公司的Net Prowler、CISCO公司的Netranger等。国内已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上, 又在研究新的检测方法, 如数据融合技术、主动自主代理方法和智能技术等。主要发展方向可概括为:大规模分布式入侵检测、宽带高速网络的实时入侵检测技术、入侵检测的数据融合技术等。
在计算机安全状态下, 基于防火墙、加密技术的安全防护固然重要, 但要根本改善系统的安全现状, 必须发展入侵检测技术, 它已经成为计算机安全策略中的核心技术之一。目前入侵检测技术还处于研究与发展阶段, 在技术上仍有许多未克服的问题, 但入侵检测技术会持续发展下去, 相信网络会随着入侵检测技术的逐渐成熟越来越安全。
参考文献
[1]DOAK J.Intrusion Detection:The Application of Feature Selection-A Comparison of Algorithms, and the Application of a Wide Area Network Analyzer[D].Department of Computer Science, University of California, Davis.1992.
[2]边肇祺等.模式识别[M].北京:清华大学出版社.1988.
[3]LUNT T F, TAMARU A, GILHAM F, et al.A Real-Time Intrusion Detection Expert System (IDES) -Final Technical Report[R].Computer Science Laboratory.SRI International.Menlo Park.California.1992.
基于免疫机理的入侵检测研究 篇10
关键词:网络安全;入侵检测;生物免疫
中图分类号:TP13 文献标识码:A文章编号:1007-9599 (2011) 03-0000-01
Research on Intrusion Detection Technology Based on Immune Mechanism
Kang Xiaoyu, Liao Shujian
(Taiyuan University of Technology,Department of Communication and Information,Taiyuan030021,China)
Abstract:The main objective of Intrusion Detection System (IDS) is testing computer systems internal or external intruders unauthorized use, misuse and abuse.IDS’ unique role in the network security system so that it occupies an irreplaceable position.Biological immune system and intrusion detection systems have many similarities,the similarity of the immune system for intrusion detection system provides a study of natural template.In this paper,a brief introduction in the immune mechanism in intrusion detection research,based on a current focus on network computers and artificial immune systems (artificial immune system,AIS) of the theoretical model,as well as a mechanism of immune-based Intrusion Detection system of multi-subsystems,multi-agent architecture.
Keywords:Network security;Intrusion detection;Biological immune
目前,开放式网络环境使人们充分享受着数字化,信息化给人们日常的工作生活学习带来的巨大便利,也因此对计算机网络越来越强的依赖性,与此同时,各种针对网络的攻击与破坏日益增多,成为制约网络技术发展的一大障碍。传统的安全技术并不能对系统是否真的没有被入侵有任何保证。入侵检测系统已经成为信息网络安全其必不可少的一道防线。
人体内有一个免疫系统,它是人体抵御病原菌侵犯最重要的保卫系统,主要手段是依靠自身的防御体系和免疫能力。一些学者试图学习和模仿生物机体的这种能力,将其移植到计算机网络安全方面。相关研究很多都基于生物免疫系统的体系结构和免疫机制[5]。基于免疫理论的研究已逐渐成为目前人们研究的一个重要方向,其研究成果将会为计算机网络安全提供一条新的途径。
一、入侵检测简介
入侵即入侵者利用主机或网络中程序的漏洞,对特权程序进行非法或异常的调用,使外网攻击者侵入内网获取内网的资源。入侵检测即是检测各种非法的入侵行为。入侵检测提供了对网络的实时保护,在系统受到危害时提前有所作为。入侵检测严密监视系统的各种不安全的活动,识别用户不安全的行为。入侵检测应付各种网络攻击,提高了用户的安全性。入侵检测[4]技术就是为保证网路系统的安全而设计的一种可以检测系统中异常的、不安全的行为的技术。
二、基于免疫机理的入侵检测系统
(一)入侵检测系统和自然免疫系统
用四元函数组来定义一个自然免疫系统∑NIS[5],
∑NIS=(XNIS, ΩNIS,YNIS,GNIS)
XNIS是输入,它为各种类型的抗原,令Z表示所有抗原,抗原包括自身蛋白集合和病原体集合这两个互斥的集合,即,用W表示自身蛋白集合,NW表示病原体集合,有
S∪NW=Z,W=
YNIS是输出,只考虑免疫系统对病原体的识别而不计免疫效应,YNIS取0或1,分别表示自然免疫系统判别输入时的自身或非自身。
GNIS是一个自然免疫系统输入输出之间的非线性关系函数,则有
YNIS=GNIS(XNIS)=
ΩNIS为自然免疫系统的内部组成。而根据系统的定义,入侵检测系统可以表示为
∑IDS=(XIDS, ΩIDS,YIDS,GIDS)
式中,XIDS是入侵检测系统的输入。令M表示是整个论域,整个论域也可以划分成为两个互斥的集合即入侵集合,表示为I和正常集合表示﹁I,有
I∪﹁I=M,I∩﹁I=
輸入XIDS,输出YIDS,此时入侵检测系统具有报警S和不报警﹁A两种状态,报警用1表示,不报警用0表示。
GIDS表示输入与输出之间的非线性函数关系,则有
YIDS=GIDS(XIDS)=
ΩIDS是自然免疫系统的内部组成。不同种类的检测系统具有不同的ΩIDS,产生不同的ΩIDS,从而将输入向量映射到输出。
(二)基于自然免疫机理的入侵检测系统的设计
自然免疫系统是一个识别病原菌的系统,与网络入侵检测系统有很多类似之处,因此自然免疫系统得到一个设计网络入侵检测系统的启发,我们先来研究自然入侵检测系统的动态防护性、检测性能、自适应性以及系统健壮性这四个特性[5]。
1.动态防护性。
自然免疫系统可以用比较少的资源完成相对复杂的检测任务。人体约有1016种病原体需要识别,自然免疫系统采用动态防护,任一时刻,淋巴检测器只能检测到病原体的一个子集,但淋巴检测器每天都会及时更新,所以每天检测的病原体是不同的,淋巴细胞的及时更新,来应对当前的待检病原体。
2.检测性能。
自然免疫系统具有非常强的低预警率和高检测率。之所以具有这样好的检测性能,是因为自然免疫系统具有多样性、多层次、异常检测能力、独特性等多种特性。
3.自适应性。
自然免疫系统具有良好的自适应性,检测器一般情况下能够检测到频率比较高的攻击规则,很少或基本根本没有检测到入侵的规则,将会被移出常用检测规则库,这样就会使得规则库中的规则一直可以检测到经常遇到的攻击。基于免疫机理的入侵检测系统采用异常检测方法检测攻击,对通过异常检测到的攻击提取异常特征形成新的检测规则,当这些入侵再次出现时直接通过规则匹配直接就可以检测到。
4.健壮性。
自然免疫系统采用了高度分布式的结构,基于免疫机理研究出的入侵检测系统也包含多个子系统和大量遍布整个系统的检测代理,每个子系统或检测代理仅能检测某一个或几类入侵,而多个子系统或大量检测器的集合就能检测到大多数入侵,少量几个代理的失效,不会影响整个系统的检测能力[4]。
(三)基于免疫机理的入侵检测系统体系架构
根据上述所讨论的思想,现在我们提出基于免疫机理的入侵检测系统AIIDS[1],包括如下四个组成部分:
1.主机入侵检测子系统。
其入侵信息来源于被监控主机的日志。它由多个代理组成,主要监控计算机网络系统的完整保密以及可用性等方面。
2.网络入侵子系统。
其入侵信息来源于局域网的通信数据包。该数据包一般位于网络节点处,网络入侵子系统首先对数据包的IP和TCP包头进行解析,然后收集数据组件、解析包头和提取组件特征、生成抗体和组件的检测、协同和报告、优化规则、扫描攻击以及检测机遇协议漏洞的攻击和拒绝服务攻击等。
3.网络节点入侵子系统。
其入侵信息来源于网络的通信数据包,网络节点入侵子系统监控网络节点的数据包,对数据包进行解码和分析。他包括多个应用层代理,用来检测应用层的各种攻击。
4.控制台。
有各种信组件,包括交互组件以及通信组件,交互组件用于显示当前被检查的网络系统的各种安全状况,通信组件用于与子系统进行通信联络[5]。
三、结论与讨论
本文在借鉴生物免疫系统的有关机理的基础上,提出并设计了一种基于人工免疫机理的入侵检测系统。该系统包括两个方面,即信息传输免疫系统和计算机信息处理入侵检测系统。再次,阐述了基于自然免疫系统的机理提出了入侵检测系统的设计。就入侵检测而言,将免疫机理应用到入侵检测思想尽管取得了一些效果,但是建立基于人工免疫机理系统的真正智能的网络入侵检测系统尚任重道远。因此,进一步研究生物免疫系统,结合已有的技术和方法,探讨更优秀的网络安全技术。相信在不久的将来,随着理论研究的不断发展与完善以及与实际生产的不断结合,基于免疫机理的入侵检测将在网络安全中发挥其重要作用,展现广阔的应用前景。
参考文献:
[1]闫巧.基于免疫机理的入侵检测系统研究[博士学位论文.西安电子科技大学电子工程学院,2003.起止页码23-25
[2] Hofmeyr S.A..An interpretative int roduction to t he immune system. In : Cohen I. , Segel L.eds..Design Principles for t he Immune System and Ot her Dist ributed Autonomous Systems. England : Oxford University Press , 2000.起止頁码 01-03
[3]朱吉禹,郑家齐.病原学与免疫学.重庆大学出版社,1994 .起止页码 56-78
[4]胡昌振.网络入侵检测原理与技术.北京理工大学出版社.2006.1 .起止页码66-78
[5]焦李成,杜海峰,刘芳,公茂果.免疫优化计.学习与识别.科学出版社.2006.6..起止页码 109-111
[作者简介]
【检测新型入侵者】相关文章:
新型肺炎核酸检测一次多少钱08-19
机载新型机电管理系统综合检测技术研究03-02
新型检测技术在压力容器检验中的应用10-28
一种新型电能计量封印检测设备的研发及使用09-10
安防及入侵检测?什么是IDS入侵检测04-21
入侵检测05-05
新型C[6]/SiO2/CdTeNPs荧光探针对乙二胺的识别和检测09-11
无线入侵检测05-30
入侵检测方法06-05
入侵检测器06-21