论文部分内容阅读
作者简介:刘桦,(1983年7月--),籍贯:陕西宝鸡,安徽理工大学计算机科学与工程学院工程硕士在读。
【摘要】:对入侵检测技术的相关问题进行了探讨,首先对机房信息安全进行基本概述,接着对入侵检测技术从基本情况及缺陷等角度进行探讨,随后论述入侵检测技术的发展前景。
【关键词】:网络信息安全安全入侵检测技术分析管理发展
中图分类号:TN915.08
当前,基于网络信息安全问题日益突出,防范问题日趋严峻。目前机房网络安全产品中较常用的技术是防火墙等,但这只是一种被动防御性的网络安全工具,使用时存在问题:入侵者可以通过防火墙的漏洞进行攻击,并且对内部攻击无能为力,无法检查出经过他的合法流量中是否包含着恶意的入侵代码,远远不能满足用户复杂的应用要求。应对以上问题,更为有效的解决途径就是入侵检测技术,入侵检测技术是保障信息与网络安全的关键技术之一。
一、入侵检测技术介绍:
入侵检测(Intrusion Detection)技术是安全审核的核心技术之一,是网络安全防护的重要组成部分。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中能够违反安全策略行为的技术。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,来检测网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
违反安全策略的行为有:入侵,非法用户的违规行为;滥用,合法用户的违规行为。入侵检测系统通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反应一直进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。入侵检测的原理如下图所示:
入侵检测技术作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,可以在网络系统受到危害之前拦截相应入侵。应用入侵检测技术,能是在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,填入知识库内,以增强系统的防范能力。
二、入侵检测技术缺陷:
入侵检测技术还存在许多问题,大多是目前很难克服的:
(1)攻击者知识的增长,自动化工具的成熟多样,攻击手法的复杂细致导致入侵检测技术必须不断更新最新的安全技术,才能不被攻击者远远超越;(2)恶意信息多采用加密的方法传输,而入侵检测技术通过匹配网络数据包发现攻击行为,往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过入侵检测技术的检测;(3)因不能知道安全策略的内容,故必须协调、适应多样性的环境中的不同的安全策略,加之網络及其中的设备越来越多样化,入侵检测技术要能有所定制,才能更适应多样的环境要求;(4)面对不断增大的网络流量,用户往往要求入侵检测技术尽可能快地报警,此时需要对获得的数据进行实时的分析,导致对所在系统的要求越来越高,商业产品一般都建议采用当前最好的硬件环境,尽管如此,对百兆以上的流量,单一的入侵检测技术仍很难应付,可以想见,随着网络流量的进一步加大,对入侵检测系统将提出更大的挑战,传统方式需要突破;(5)存在大量的误报和漏报,采用当前的技术及模型,完美的入侵检测系统无法实现,这种现象存在的主要原因是:入侵检测技术必须清楚的了解所有操作系统网络协议的运作情况,甚至细节,才能准确的进行分析,但不同操作系统之间,甚至同一操作系统的不同版本之间对协议处理的细节均有所不同,而力求全面则必然违背入侵检测技术高效工作的原则。
三、入侵检测技术发展方向:
入侵检测技术发展方向主要有以下几方面:
(1)分布式入侵检测:传统技术局限于单一的主机或网络架构,对异构系统及大规模的网络检测明显不足,不同系统之间不能协同工作。为解决这一问题,需要发展分布式入侵检测技术与通用入侵检测架构,即针对分布式网络攻击的检测方法,使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
(2)智能化入侵检测:使用智能化的方法与手段来进行入侵检测,现阶段常用的智能化方法,有神经网络、遗传算法、模糊技术、免疫原理等,常用于入侵特征的辨识与泛化;利用专家系统的思想来构建入侵检测系统也是常用方法之一,特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。应用智能体的概念进行入侵检测的尝试也已有报道,较为一致的解决方案应为高效常规意义下的入侵检测技术与具有智能检测功能的检测软件或模块的结合使用,目前尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但仅是尝试性的研究工作,仍需对智能化技术加以进一步的研究以解决其自学习与自适应能力。
(3)应用层入侵检测:许多入侵的语义只有在应用层才能理解,而目前的技术仅能检测如Web之类的通用协议,而不能处理如Lotus Notes、数据库系统等其他的应用系统。
(4)高速网络的入侵检测:在应用中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源,因此大部分现有技术的应用只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,需要研究适应高速网络的入侵检测技术。
(5)入侵检测技术应用的标准化:在大型网络中,网络的不同部分可能使用了多种应用入侵检测技术的系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些系统之间以及系统和其他安全组件之间如何交换信息,共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。例如,漏洞扫描程序例行的试探攻击就不应该触发入侵检测的报警;而利用伪造的源地址进行攻击,就可能联动防火墙关闭服务从而导致拒绝服务,这也是需要考虑的问题,应建立新的检测模型,使不同的产品可以协同工作。
四、总结
本文对入侵检测技术方法进行了综述,对其面临的主要问题进行了探讨,并分析了其今后的发展趋势。随着计算机网络的快速发展,入侵检测技术的发展将对网络应用具有重要意义并产生深远影响,而入侵检测技术的未来发展方向将主要是智能的分布式入侵检测系统,研究和开发应用自主知识产权的入侵检测技术的入侵检测系统将成为我国信息安全领域的重要课题。
【摘要】:对入侵检测技术的相关问题进行了探讨,首先对机房信息安全进行基本概述,接着对入侵检测技术从基本情况及缺陷等角度进行探讨,随后论述入侵检测技术的发展前景。
【关键词】:网络信息安全安全入侵检测技术分析管理发展
中图分类号:TN915.08
当前,基于网络信息安全问题日益突出,防范问题日趋严峻。目前机房网络安全产品中较常用的技术是防火墙等,但这只是一种被动防御性的网络安全工具,使用时存在问题:入侵者可以通过防火墙的漏洞进行攻击,并且对内部攻击无能为力,无法检查出经过他的合法流量中是否包含着恶意的入侵代码,远远不能满足用户复杂的应用要求。应对以上问题,更为有效的解决途径就是入侵检测技术,入侵检测技术是保障信息与网络安全的关键技术之一。
一、入侵检测技术介绍:
入侵检测(Intrusion Detection)技术是安全审核的核心技术之一,是网络安全防护的重要组成部分。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中能够违反安全策略行为的技术。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,来检测网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
违反安全策略的行为有:入侵,非法用户的违规行为;滥用,合法用户的违规行为。入侵检测系统通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反应一直进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。入侵检测的原理如下图所示:
入侵检测技术作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,可以在网络系统受到危害之前拦截相应入侵。应用入侵检测技术,能是在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,填入知识库内,以增强系统的防范能力。
二、入侵检测技术缺陷:
入侵检测技术还存在许多问题,大多是目前很难克服的:
(1)攻击者知识的增长,自动化工具的成熟多样,攻击手法的复杂细致导致入侵检测技术必须不断更新最新的安全技术,才能不被攻击者远远超越;(2)恶意信息多采用加密的方法传输,而入侵检测技术通过匹配网络数据包发现攻击行为,往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过入侵检测技术的检测;(3)因不能知道安全策略的内容,故必须协调、适应多样性的环境中的不同的安全策略,加之網络及其中的设备越来越多样化,入侵检测技术要能有所定制,才能更适应多样的环境要求;(4)面对不断增大的网络流量,用户往往要求入侵检测技术尽可能快地报警,此时需要对获得的数据进行实时的分析,导致对所在系统的要求越来越高,商业产品一般都建议采用当前最好的硬件环境,尽管如此,对百兆以上的流量,单一的入侵检测技术仍很难应付,可以想见,随着网络流量的进一步加大,对入侵检测系统将提出更大的挑战,传统方式需要突破;(5)存在大量的误报和漏报,采用当前的技术及模型,完美的入侵检测系统无法实现,这种现象存在的主要原因是:入侵检测技术必须清楚的了解所有操作系统网络协议的运作情况,甚至细节,才能准确的进行分析,但不同操作系统之间,甚至同一操作系统的不同版本之间对协议处理的细节均有所不同,而力求全面则必然违背入侵检测技术高效工作的原则。
三、入侵检测技术发展方向:
入侵检测技术发展方向主要有以下几方面:
(1)分布式入侵检测:传统技术局限于单一的主机或网络架构,对异构系统及大规模的网络检测明显不足,不同系统之间不能协同工作。为解决这一问题,需要发展分布式入侵检测技术与通用入侵检测架构,即针对分布式网络攻击的检测方法,使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
(2)智能化入侵检测:使用智能化的方法与手段来进行入侵检测,现阶段常用的智能化方法,有神经网络、遗传算法、模糊技术、免疫原理等,常用于入侵特征的辨识与泛化;利用专家系统的思想来构建入侵检测系统也是常用方法之一,特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。应用智能体的概念进行入侵检测的尝试也已有报道,较为一致的解决方案应为高效常规意义下的入侵检测技术与具有智能检测功能的检测软件或模块的结合使用,目前尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但仅是尝试性的研究工作,仍需对智能化技术加以进一步的研究以解决其自学习与自适应能力。
(3)应用层入侵检测:许多入侵的语义只有在应用层才能理解,而目前的技术仅能检测如Web之类的通用协议,而不能处理如Lotus Notes、数据库系统等其他的应用系统。
(4)高速网络的入侵检测:在应用中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源,因此大部分现有技术的应用只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,需要研究适应高速网络的入侵检测技术。
(5)入侵检测技术应用的标准化:在大型网络中,网络的不同部分可能使用了多种应用入侵检测技术的系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些系统之间以及系统和其他安全组件之间如何交换信息,共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。例如,漏洞扫描程序例行的试探攻击就不应该触发入侵检测的报警;而利用伪造的源地址进行攻击,就可能联动防火墙关闭服务从而导致拒绝服务,这也是需要考虑的问题,应建立新的检测模型,使不同的产品可以协同工作。
四、总结
本文对入侵检测技术方法进行了综述,对其面临的主要问题进行了探讨,并分析了其今后的发展趋势。随着计算机网络的快速发展,入侵检测技术的发展将对网络应用具有重要意义并产生深远影响,而入侵检测技术的未来发展方向将主要是智能的分布式入侵检测系统,研究和开发应用自主知识产权的入侵检测技术的入侵检测系统将成为我国信息安全领域的重要课题。