论文部分内容阅读
【摘要】近年来计算机技术水平飞速发展,网络信息安全越来越受到重视。网络技术飞速发展的同时,各种意图的网络攻击者也越来越多,网络入侵和攻击的现象仍然是屡见不鲜,而网络攻击工具与手法日趋复杂多样。传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要,想要保证网络信息和网络秩序的安全,就必须要更强有力和更完善的入侵檢测系统。
【关键词】入侵检测;检测系统;HIDS;NIDS;DIDS
安全专家认为:“入侵是指未经授权蓄意尝试访问信息、篡改信息、使系统不可用的行为。”对目标的操作是否超出了目标的安全策略范围是判断与目标相关的操作是入侵的依据。而入侵检测往往是通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统(简称IDS)。
一、入侵检测系统的模型
早期的入侵检测模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异,发现系统的入侵行为。
随着入侵行为的种类在不断增多,许多攻击都是经过长时期准备的。面对这种情况,入侵检测系统的不同功能组件之间、不同入侵检测系统之间共享这类攻击信息是十分重要的。于是,一种通用的入侵检测框架模型(简称CIDF)就被提出来了。
入侵检测框架模型将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统曰志等其他途径得到的信息。事件产生器从整个计算环境中获得事件,并向系统的其他部分提供事件。事件分析器分析所得到的数据,并产生分析结果。响应单元对分析结果做出反应,如切断网络连接,改变文件属性,简单报警等。事件数据库存放各种中间和最终数据,数据存放的形式既可以是复杂的数据库,也可以是简单的文本文件。入侵检测框架模型模型具有很强的扩展性,目前已经得到广泛认同。
二、入侵检测系统的作用
入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色,入侵检测系统的直接目的不是阻止入侵事件的发生,而是通过检测技术来发现系统中企图或违背安全策略的行为,其作用表现为以下几个方面:
(1)发现受保护系统中的入侵行为或异常行为。
(2)检验安全保护措施的有效性。
(3)分析受保护系统所面临的威胁。
(4)有利于阻止安全事件扩大,及时报警触发网络安全应急响应。
(5)可以为网络安全策略的制定提供重要指导。
(6)报警信息可用作网络犯罪取证。
三、入侵检测系统的组成
一个入侵检测系统主要由以下功能模块组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。数据采集模块的功能是入侵分析引擎模块提供分析用的数据,包括操作系统的审计日志、应用程序的运行日志和网络数据包等。入侵分析引擎模块的功能是依据辅助模块提供的信息(如攻击模式),根据一定的算法对收集到的数据进行分析,从中判断是否有入侵行为出现,并产生入侵报警。该模块是入侵检测系统的核心模块。管理配置模块的功能是为其他模块提供配置服务,是入侵检测系统中的模块与用户的接口。应急处理模块的功能是发生入侵后,提供紧急响应服务,例如关闭网络服务/中断网络连接/启动备份系统等。辅助模块的功能是协助入侵分析引擎模块工作,为它提供相应的信息,例如攻击特征库、漏洞信息等。
四、入侵检测系统的分类
通用的入侵检测系统结构是一个广泛的概念,可以是工作站、网段、服务器、防火墙、Web服务器、企业网等。虽然每一种入侵检测系统在概念上是一致的,但在具体实现时,它在采用的分析数据方法、采集数据以及保护对象等关键方面还是有所区别。根据入侵检测系统的检测数据来源和它的安全作用范围,可将入侵检测系统分为三大类:
1.基于主机的入侵检测系统(简称 .HIDS)
即通过分析主机的信息来检测入侵行为。HIDS收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息,然后分析这些信息是否包含攻击特征或异常情况,并依此来判断该主机是否受到入侵。由于入侵行为会引起主机系统的变化,因此在实际的HIDS产品中,CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。
HIDS一般适合检测到以下入侵行为:
(1)针对主机的端口或漏洞扫描;
(2)重复失败的登入尝试;
(3)远程口令破解;
(4)主机系统的用户帐号添加;
(5)服务启动或停止;
(6)系统重启动;
(7)文件的完整性或许可权变化;
(8)注册表修改;
(9)要系统启动文件变更;
(10)程序的异常调用;
(11)拒绝服务攻击。
2.基于网络的入侵检测系统(简称NIDS)
即通过获取网络通信中的数据包,然后对这些数据包进行攻击特征扫描或异常建模来发现入侵行为。NIDS通过侦听网络系统,捕获网络数据包,并依据网络数据包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为。NIDS通常由一组用途单一的计算机组成,其构成多分为两部分:探测器和管理控制器。探测器分布在网络中的不同区域,通过侦听(嗅探)方式获取网络包,探测器将检测到的攻击行为形成一个报警事件,向管理控制器发送报警信息,报告发生入侵行为。管理控制器可监控不同网络区域的探测器,接收来自探测器的报警信息。
基于网络的入侵检测系统的典型配置如图1所示。
一般说来,NIDS能够检测到以下入侵行为: (1)同步风暴(SYN Flood);
(2)分布式拒绝服务攻击(DDoS);
(3)网络扫描;
(4)缓冲区溢出;
(5)协议攻击;
(6)流量异常;
(7)非法网络访问。
3.分布式入侵检测系统(简称DIDS)
随着网络系统结构的复杂化和大型化,带来许多新的入侵检测问题:
(1)系统的漏洞分散在网络中的各个主机上,这些漏洞有可能被攻击者一起用来攻击网络,仅依靠基于主机或网络的:IDS不会发现入侵行为。
(2)入侵行为不再是单一的行为,而是相互协作的入侵行为。
(3)入侵检测所依靠的数据来源分散化,收集原始的检测数据变得困难。如交换型网络使监听網络数据包受到限制。
(4)网络速度传输加快,网络的流量增大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。
面对这些新的入侵检测问题,分布式入侵检测系统(DIDS)应运而生,DIDS可以从多台主机、多个网段采集检测数据,或者收集单个IDS的报警信息,然后根据收集到的信息进行综合分析,以发现入侵行为。DIDS可以跨越多个子网检测攻击行为,特别是大型网络。分布式入侵检测系统又可以分成两种类型,即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。
(1)基于主机检测的分布式入侵检测系统
基于主机检测的分布式入侵检测系统,简称HDIDS,其结构分为两个部分:主机探测器和入侵管理控制器。HDIDS将主机探测器按层次、分区域地配置和管理,把它们集成为一个可用于监控、保护分布在网络区域中的主机系统。HDIDS用于保护网络的关键服务器或其他具有敏感信息的系统,利用主机的系统资源、系统调用、审计日志等信息,判断主机系统的运行是否遵循安全规则。在实际工作过程中,主机探测器多以安全代理(Agent)形式直接安装在每个被保护的主机系统上,并通过网络中的系统管理控制台进行远程控制。这种集中式的控制方式,便于对系统进行状态监控、管理以及对检测模块的软件进行更新。图2是基于主机检测的分布式入侵检测系统的典型配置。
(2)基于网络的分布式入侵检测系统
HDIDS只能保护主机的安全,而且要在每个受保护主机系统上都配置一个主机的探测器,如果当网络中需要保护的主机系统比较多时,其安装配置的工作非常大。此外,对于一些复杂攻击,主机探测器无能为力。因此,需要使用基于网络的分布式入侵检测系统,简称NDIDS。NDIDS结构分为两部分:网络探测器和管理控制器,如图11—8所示。网络探测器部署在重要的网络区域,如服务器所在的网段,用于收集网络通信数据和业务数据流,通过采用异常和误用两种方法对收集到信息进行分析,若出现攻击或异常网络行为,就向管理控制器发送报警信息。
NDIDS一般适用于大规模网络或者是地理区域分散的网络,采用这种结构有利于实现网络的分布式安全管理。现在市场上的网络入侵系统一般支持分布式结构。分布式IDS系统结构能够将基于主机和网络的系统结构结合起来,检测所用到的数据源丰富,可以克服前两者的弱点。
随着计算机和网络技术的发展,入侵检测系统作为重要的安全防范措施,将会得到网络管理员的重视,从而更好的预防网络入侵。
参考文献
[1]蒋建春,冯登国.网络入侵检测原理与技术[M].北京:国防工业出版社.
[2]卿斯汉,蒋建春.网络攻防技术原理与实战[M].北京:科学出版社.
作者简介:吴士君(1980—),男,河北邯郸人,在读工程硕士研究生,讲师,主要从事计算机应用方面的教学工作。
【关键词】入侵检测;检测系统;HIDS;NIDS;DIDS
安全专家认为:“入侵是指未经授权蓄意尝试访问信息、篡改信息、使系统不可用的行为。”对目标的操作是否超出了目标的安全策略范围是判断与目标相关的操作是入侵的依据。而入侵检测往往是通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统(简称IDS)。
一、入侵检测系统的模型
早期的入侵检测模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异,发现系统的入侵行为。
随着入侵行为的种类在不断增多,许多攻击都是经过长时期准备的。面对这种情况,入侵检测系统的不同功能组件之间、不同入侵检测系统之间共享这类攻击信息是十分重要的。于是,一种通用的入侵检测框架模型(简称CIDF)就被提出来了。
入侵检测框架模型将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统曰志等其他途径得到的信息。事件产生器从整个计算环境中获得事件,并向系统的其他部分提供事件。事件分析器分析所得到的数据,并产生分析结果。响应单元对分析结果做出反应,如切断网络连接,改变文件属性,简单报警等。事件数据库存放各种中间和最终数据,数据存放的形式既可以是复杂的数据库,也可以是简单的文本文件。入侵检测框架模型模型具有很强的扩展性,目前已经得到广泛认同。
二、入侵检测系统的作用
入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色,入侵检测系统的直接目的不是阻止入侵事件的发生,而是通过检测技术来发现系统中企图或违背安全策略的行为,其作用表现为以下几个方面:
(1)发现受保护系统中的入侵行为或异常行为。
(2)检验安全保护措施的有效性。
(3)分析受保护系统所面临的威胁。
(4)有利于阻止安全事件扩大,及时报警触发网络安全应急响应。
(5)可以为网络安全策略的制定提供重要指导。
(6)报警信息可用作网络犯罪取证。
三、入侵检测系统的组成
一个入侵检测系统主要由以下功能模块组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。数据采集模块的功能是入侵分析引擎模块提供分析用的数据,包括操作系统的审计日志、应用程序的运行日志和网络数据包等。入侵分析引擎模块的功能是依据辅助模块提供的信息(如攻击模式),根据一定的算法对收集到的数据进行分析,从中判断是否有入侵行为出现,并产生入侵报警。该模块是入侵检测系统的核心模块。管理配置模块的功能是为其他模块提供配置服务,是入侵检测系统中的模块与用户的接口。应急处理模块的功能是发生入侵后,提供紧急响应服务,例如关闭网络服务/中断网络连接/启动备份系统等。辅助模块的功能是协助入侵分析引擎模块工作,为它提供相应的信息,例如攻击特征库、漏洞信息等。
四、入侵检测系统的分类
通用的入侵检测系统结构是一个广泛的概念,可以是工作站、网段、服务器、防火墙、Web服务器、企业网等。虽然每一种入侵检测系统在概念上是一致的,但在具体实现时,它在采用的分析数据方法、采集数据以及保护对象等关键方面还是有所区别。根据入侵检测系统的检测数据来源和它的安全作用范围,可将入侵检测系统分为三大类:
1.基于主机的入侵检测系统(简称 .HIDS)
即通过分析主机的信息来检测入侵行为。HIDS收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息,然后分析这些信息是否包含攻击特征或异常情况,并依此来判断该主机是否受到入侵。由于入侵行为会引起主机系统的变化,因此在实际的HIDS产品中,CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。
HIDS一般适合检测到以下入侵行为:
(1)针对主机的端口或漏洞扫描;
(2)重复失败的登入尝试;
(3)远程口令破解;
(4)主机系统的用户帐号添加;
(5)服务启动或停止;
(6)系统重启动;
(7)文件的完整性或许可权变化;
(8)注册表修改;
(9)要系统启动文件变更;
(10)程序的异常调用;
(11)拒绝服务攻击。
2.基于网络的入侵检测系统(简称NIDS)
即通过获取网络通信中的数据包,然后对这些数据包进行攻击特征扫描或异常建模来发现入侵行为。NIDS通过侦听网络系统,捕获网络数据包,并依据网络数据包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为。NIDS通常由一组用途单一的计算机组成,其构成多分为两部分:探测器和管理控制器。探测器分布在网络中的不同区域,通过侦听(嗅探)方式获取网络包,探测器将检测到的攻击行为形成一个报警事件,向管理控制器发送报警信息,报告发生入侵行为。管理控制器可监控不同网络区域的探测器,接收来自探测器的报警信息。
基于网络的入侵检测系统的典型配置如图1所示。
一般说来,NIDS能够检测到以下入侵行为: (1)同步风暴(SYN Flood);
(2)分布式拒绝服务攻击(DDoS);
(3)网络扫描;
(4)缓冲区溢出;
(5)协议攻击;
(6)流量异常;
(7)非法网络访问。
3.分布式入侵检测系统(简称DIDS)
随着网络系统结构的复杂化和大型化,带来许多新的入侵检测问题:
(1)系统的漏洞分散在网络中的各个主机上,这些漏洞有可能被攻击者一起用来攻击网络,仅依靠基于主机或网络的:IDS不会发现入侵行为。
(2)入侵行为不再是单一的行为,而是相互协作的入侵行为。
(3)入侵检测所依靠的数据来源分散化,收集原始的检测数据变得困难。如交换型网络使监听網络数据包受到限制。
(4)网络速度传输加快,网络的流量增大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。
面对这些新的入侵检测问题,分布式入侵检测系统(DIDS)应运而生,DIDS可以从多台主机、多个网段采集检测数据,或者收集单个IDS的报警信息,然后根据收集到的信息进行综合分析,以发现入侵行为。DIDS可以跨越多个子网检测攻击行为,特别是大型网络。分布式入侵检测系统又可以分成两种类型,即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。
(1)基于主机检测的分布式入侵检测系统
基于主机检测的分布式入侵检测系统,简称HDIDS,其结构分为两个部分:主机探测器和入侵管理控制器。HDIDS将主机探测器按层次、分区域地配置和管理,把它们集成为一个可用于监控、保护分布在网络区域中的主机系统。HDIDS用于保护网络的关键服务器或其他具有敏感信息的系统,利用主机的系统资源、系统调用、审计日志等信息,判断主机系统的运行是否遵循安全规则。在实际工作过程中,主机探测器多以安全代理(Agent)形式直接安装在每个被保护的主机系统上,并通过网络中的系统管理控制台进行远程控制。这种集中式的控制方式,便于对系统进行状态监控、管理以及对检测模块的软件进行更新。图2是基于主机检测的分布式入侵检测系统的典型配置。
(2)基于网络的分布式入侵检测系统
HDIDS只能保护主机的安全,而且要在每个受保护主机系统上都配置一个主机的探测器,如果当网络中需要保护的主机系统比较多时,其安装配置的工作非常大。此外,对于一些复杂攻击,主机探测器无能为力。因此,需要使用基于网络的分布式入侵检测系统,简称NDIDS。NDIDS结构分为两部分:网络探测器和管理控制器,如图11—8所示。网络探测器部署在重要的网络区域,如服务器所在的网段,用于收集网络通信数据和业务数据流,通过采用异常和误用两种方法对收集到信息进行分析,若出现攻击或异常网络行为,就向管理控制器发送报警信息。
NDIDS一般适用于大规模网络或者是地理区域分散的网络,采用这种结构有利于实现网络的分布式安全管理。现在市场上的网络入侵系统一般支持分布式结构。分布式IDS系统结构能够将基于主机和网络的系统结构结合起来,检测所用到的数据源丰富,可以克服前两者的弱点。
随着计算机和网络技术的发展,入侵检测系统作为重要的安全防范措施,将会得到网络管理员的重视,从而更好的预防网络入侵。
参考文献
[1]蒋建春,冯登国.网络入侵检测原理与技术[M].北京:国防工业出版社.
[2]卿斯汉,蒋建春.网络攻防技术原理与实战[M].北京:科学出版社.
作者简介:吴士君(1980—),男,河北邯郸人,在读工程硕士研究生,讲师,主要从事计算机应用方面的教学工作。