论文部分内容阅读
摘要:入侵检测技术就是对这些入侵行为的检测。它主要是通过收集和分析网络行为、安全日志、审计数据等安全信息,检查计算机系统或网络中是否存在违反安全策略的行为和被攻击的迹象。主要按原始数据和检测方法对入侵检测系统的分类进行研究。
关键词:入侵检测系统;原始数据;检测方法
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2010)1210032-01
1、概 述
入侵检测系统(Intrusion Detection System,IDS)就是执行入侵检测的软件与硬件的组合,它是可以在一个计算机系统或网络上实现入侵检测、报警、响应和防范的系统。1987年,Denning首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。
2、入侵检测系统按原始数据的来源分类
2.1 基于主机的入侵检测系统。基于主机的入侵检测系统是对主机上的系统、事件、安全记录进行监测,当有发生变化时,入侵检测系统将新的记录条目与攻击标记相比较,看其是否匹配。如果匹配,系统就会用户报警,以采取措施。融入其他技术使之自动化程度大大提高后的基于主机的IDS,提高了轮询间隔的频率,是精密的可迅速做出响应的检测系统。
2.2 基于网络的入侵检测系统。基于网络的入侵检测系统使用截获的网络数据包作为入侵检测源数据,通过模式,字节或表达式匹配;低级事件的相关性,完整性分析等技术来分析网络通信业务产生的数据报文。这种方法消耗较少的主机资源,却能够提供对网络通用的保护同时对计算机主机架构依赖性也较小。基于网络的IDS中最为重要的应用例子是基于Snort的入侵检测系统。Snort系统是一个以开放源代码形式开发的网络入侵检测系统,它不仅可作为一个网络入侵检测系统,还可作为网络数据包分析器和记录器来使用。Snort采用基于规则的工作模式,通过对网络数据包进行规则匹配来检测入侵行为和攻击试探行为(例如隐蔽端口扫描等)。
2.3 分布式的入侵检测系统。分布式IDS又称为主体机(Agent-Based)型IDS,它是综合了基于网络和基于主机两种IDS的优点构架而成的一套完整的主动防御系统。它是由多部分组成的分布式结构,能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统。这种技术在ISS的RealSecure等产品中已经有了应用。
3、入侵检测系统按检测方法的分类
按检测方法的不同,IDS又可分为两类一特征检测和异常检测IDS。
3.1 特征检测。特征检测也称作误用检测,将入侵行为按照特定方式进行特征编码,特征检测的目标就是检测用户或程序行为是否符合这些模式。
1)基于模式匹配的特征检测方法。模式匹配就是将收集到的信息与已知的入侵行为和系统误用模式数据库进行比较,从而发现违法安全策略的攻击行为。该方法的一大优点就是只需要收集相关的数据集合,显著减少了系统负担,且技术已相当成熟。它与病毒防火墙采用的思想一样,检测准确率和效率都很高。但是,该方法需要不断的升级以对付不断出现的攻击手法,不能检测到从未出现过的未知攻击模式。
2)基于状态迁移分析的特征检测方法。状态迁移分析法以状态图表示攻击行为对系统的影响,不同时刻的状态反映了系统对应时刻的特征。初始状态表示系统未遭受入侵时刻的状态,威胁状态表示系统已被成功入侵时的状态。随着入侵行为的进行,系统状态也随之发生迁移,系统可能由初始状态经过若干中间状态迁移至威胁状态。
3)基于规则的特征检测方法。基于规则的特征检测方法(rule basedmisuse detection),是指将攻击行为或入侵模式抽象成一种规则,只要待检测的行为符合规则就认定它是一种入侵行为。Snort入侵检测系统就采用了基于规则的误用检测方法。基于规则的特征检测按规则组成方式可分为向前推理规则和向后推理规则两类。
3.2 异常检测。异常检测假设入侵者的活动异于正常主体的活动,通过建立一个与“正常的活动”相对应的特征轮廓(或称为活动简档),检测主体的行为异与该特征轮廓时,就认定为是入侵行为。理想情况下,可认为异常行为集合等同于入侵行为集合,此时,如果IDS能够检测出所有的异常行为,就表明该IDS能检测所有的入侵行为。异常检测的难点在于如何建立特征轮廓,以及对正常活动的统计算法的选择与设计。下面对不同的异常检测方法进行简要介绍:
1)特征选择方法。基于特征选择的异常检测方法是指从一组度量中选择能够检测出入侵的度量,构成子集,从而对以检测到的入侵进行分类。异常入侵检测方法的关键是,在异常行为和入侵行为之间做出正确的判断。选择合适的度量是困难的,因为选择度量子集依赖于所检测的入侵类型,显然一个度量集并不能适应所有的入侵类型。如果预先确定特定的度量,可能会漏报入侵行为。所以,理想情况下的入侵检测度量集,需要对入侵行为动态地进行判断。
2)贝叶斯网络方法。贝叶斯网络是贝叶斯理论和有向图技术的结合,它实现了贝叶斯定理揭示的学习功能,同时又具有有向图的优点,用于发现诸多变量之间内在的关系,是数据分类的强有力工具。贝叶斯网络异常检测方法,是先建立异常入侵检测的贝叶斯网络,利用它的学习功能,分析并辨别异常行为。贝叶斯网络以图形方式表示随机变量之间的相关关系,并通过设定一个小的与邻接结点相关的概率集计算随机变量的联合概率分布。
3)预测模式生成方法。预测模式生成也属于一种异常检测方法,它的前提条件是,审计事件序列不是随机的而是服从某种可识别的模式。与纯粹的统计方法相比,其特点是考虑了事件序列之间的相互联系入侵检测系统的组成部分,增加了对各事件顺序与相互问关系的分析,通过归纳学习生成规则集合,并能动态地修订该规则集合,使之具有较高的准确性。
4)数据挖掘检测方法。数据挖掘检测方法也是一种异常检测方法,它由Lee和Stolfo首次引入到入侵检测领域。Lee和Stolfo通过数据挖掘技术,从海量审计数据或网络数据流中只提取感兴趣的知识,并用这些知识检测异常入侵和已知的入侵。这些知识往往是事先未知的潜在有用信息。数据挖掘的优点在于对数据关联性分析的能力和处理海量数据的能力,但是目前还没有可用于实时入侵检测的数据挖掘检测方法。
5)其他异常检测的方法。异常检测的方法还有很多,有基于应用模式和基于文本分类异常检测方法等。其中前者是一种对特定应用行为建模的异常检测方法,Krugel等人提出了基于服务相关的网络异常检测算法,通过已知的攻击方法进行学习训练,获得异常阈值,分别计算服务请求类型、服务请求长度和服务请求包三者的异常值最终综合计算出网络服务的异常值。文本分类的异常检测方法基本思想是将每个系统调用看做文本中的一个词,而将系统调用序列看做一个有含义的文本,利用文本分类算法,分析不同“文本”之间的相似度,借此发现异常的系统调用序列。
参考文献:
[1]DOROTHY E.Denning,an intrusion-detection model[J],IEEETransactions on Software Engineering,1987,13(2):222-232
[2]梅顺良,入侵检测与病毒防范,清华大学电子系,通信原理概论教学文档,http://edu.docin.com/app/edusearchclass/index,2005
关键词:入侵检测系统;原始数据;检测方法
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2010)1210032-01
1、概 述
入侵检测系统(Intrusion Detection System,IDS)就是执行入侵检测的软件与硬件的组合,它是可以在一个计算机系统或网络上实现入侵检测、报警、响应和防范的系统。1987年,Denning首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。
2、入侵检测系统按原始数据的来源分类
2.1 基于主机的入侵检测系统。基于主机的入侵检测系统是对主机上的系统、事件、安全记录进行监测,当有发生变化时,入侵检测系统将新的记录条目与攻击标记相比较,看其是否匹配。如果匹配,系统就会用户报警,以采取措施。融入其他技术使之自动化程度大大提高后的基于主机的IDS,提高了轮询间隔的频率,是精密的可迅速做出响应的检测系统。
2.2 基于网络的入侵检测系统。基于网络的入侵检测系统使用截获的网络数据包作为入侵检测源数据,通过模式,字节或表达式匹配;低级事件的相关性,完整性分析等技术来分析网络通信业务产生的数据报文。这种方法消耗较少的主机资源,却能够提供对网络通用的保护同时对计算机主机架构依赖性也较小。基于网络的IDS中最为重要的应用例子是基于Snort的入侵检测系统。Snort系统是一个以开放源代码形式开发的网络入侵检测系统,它不仅可作为一个网络入侵检测系统,还可作为网络数据包分析器和记录器来使用。Snort采用基于规则的工作模式,通过对网络数据包进行规则匹配来检测入侵行为和攻击试探行为(例如隐蔽端口扫描等)。
2.3 分布式的入侵检测系统。分布式IDS又称为主体机(Agent-Based)型IDS,它是综合了基于网络和基于主机两种IDS的优点构架而成的一套完整的主动防御系统。它是由多部分组成的分布式结构,能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统。这种技术在ISS的RealSecure等产品中已经有了应用。
3、入侵检测系统按检测方法的分类
按检测方法的不同,IDS又可分为两类一特征检测和异常检测IDS。
3.1 特征检测。特征检测也称作误用检测,将入侵行为按照特定方式进行特征编码,特征检测的目标就是检测用户或程序行为是否符合这些模式。
1)基于模式匹配的特征检测方法。模式匹配就是将收集到的信息与已知的入侵行为和系统误用模式数据库进行比较,从而发现违法安全策略的攻击行为。该方法的一大优点就是只需要收集相关的数据集合,显著减少了系统负担,且技术已相当成熟。它与病毒防火墙采用的思想一样,检测准确率和效率都很高。但是,该方法需要不断的升级以对付不断出现的攻击手法,不能检测到从未出现过的未知攻击模式。
2)基于状态迁移分析的特征检测方法。状态迁移分析法以状态图表示攻击行为对系统的影响,不同时刻的状态反映了系统对应时刻的特征。初始状态表示系统未遭受入侵时刻的状态,威胁状态表示系统已被成功入侵时的状态。随着入侵行为的进行,系统状态也随之发生迁移,系统可能由初始状态经过若干中间状态迁移至威胁状态。
3)基于规则的特征检测方法。基于规则的特征检测方法(rule basedmisuse detection),是指将攻击行为或入侵模式抽象成一种规则,只要待检测的行为符合规则就认定它是一种入侵行为。Snort入侵检测系统就采用了基于规则的误用检测方法。基于规则的特征检测按规则组成方式可分为向前推理规则和向后推理规则两类。
3.2 异常检测。异常检测假设入侵者的活动异于正常主体的活动,通过建立一个与“正常的活动”相对应的特征轮廓(或称为活动简档),检测主体的行为异与该特征轮廓时,就认定为是入侵行为。理想情况下,可认为异常行为集合等同于入侵行为集合,此时,如果IDS能够检测出所有的异常行为,就表明该IDS能检测所有的入侵行为。异常检测的难点在于如何建立特征轮廓,以及对正常活动的统计算法的选择与设计。下面对不同的异常检测方法进行简要介绍:
1)特征选择方法。基于特征选择的异常检测方法是指从一组度量中选择能够检测出入侵的度量,构成子集,从而对以检测到的入侵进行分类。异常入侵检测方法的关键是,在异常行为和入侵行为之间做出正确的判断。选择合适的度量是困难的,因为选择度量子集依赖于所检测的入侵类型,显然一个度量集并不能适应所有的入侵类型。如果预先确定特定的度量,可能会漏报入侵行为。所以,理想情况下的入侵检测度量集,需要对入侵行为动态地进行判断。
2)贝叶斯网络方法。贝叶斯网络是贝叶斯理论和有向图技术的结合,它实现了贝叶斯定理揭示的学习功能,同时又具有有向图的优点,用于发现诸多变量之间内在的关系,是数据分类的强有力工具。贝叶斯网络异常检测方法,是先建立异常入侵检测的贝叶斯网络,利用它的学习功能,分析并辨别异常行为。贝叶斯网络以图形方式表示随机变量之间的相关关系,并通过设定一个小的与邻接结点相关的概率集计算随机变量的联合概率分布。
3)预测模式生成方法。预测模式生成也属于一种异常检测方法,它的前提条件是,审计事件序列不是随机的而是服从某种可识别的模式。与纯粹的统计方法相比,其特点是考虑了事件序列之间的相互联系入侵检测系统的组成部分,增加了对各事件顺序与相互问关系的分析,通过归纳学习生成规则集合,并能动态地修订该规则集合,使之具有较高的准确性。
4)数据挖掘检测方法。数据挖掘检测方法也是一种异常检测方法,它由Lee和Stolfo首次引入到入侵检测领域。Lee和Stolfo通过数据挖掘技术,从海量审计数据或网络数据流中只提取感兴趣的知识,并用这些知识检测异常入侵和已知的入侵。这些知识往往是事先未知的潜在有用信息。数据挖掘的优点在于对数据关联性分析的能力和处理海量数据的能力,但是目前还没有可用于实时入侵检测的数据挖掘检测方法。
5)其他异常检测的方法。异常检测的方法还有很多,有基于应用模式和基于文本分类异常检测方法等。其中前者是一种对特定应用行为建模的异常检测方法,Krugel等人提出了基于服务相关的网络异常检测算法,通过已知的攻击方法进行学习训练,获得异常阈值,分别计算服务请求类型、服务请求长度和服务请求包三者的异常值最终综合计算出网络服务的异常值。文本分类的异常检测方法基本思想是将每个系统调用看做文本中的一个词,而将系统调用序列看做一个有含义的文本,利用文本分类算法,分析不同“文本”之间的相似度,借此发现异常的系统调用序列。
参考文献:
[1]DOROTHY E.Denning,an intrusion-detection model[J],IEEETransactions on Software Engineering,1987,13(2):222-232
[2]梅顺良,入侵检测与病毒防范,清华大学电子系,通信原理概论教学文档,http://edu.docin.com/app/edusearchclass/index,2005