论文部分内容阅读
摘要:随着攻击工具和手段的多样化,仅靠传统的安全防范措施已经无法满足对网络安全的需求。入侵检测作为防火墙等网络安全技术的有效补充,对网络络安全的一个重要环节,从将来的技术发展和市场需求来看,入侵检测系统还有很大的发展前景。
关键词:网络信息安全;入侵检测系统;发展趋势
入侵检测技术对内部入侵、外部入侵和误操作进行实时防御,它的最大特点是在网络系统受到危害之前拦截,所以说它是一种积极主动的安全防护技术。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。入侵检测系统(IDS)是进行入侵检测的软件与硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;网络遭受威胁程度的评估和入侵事件的恢复等功能。入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它可以获得的信息以及系统中关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测的任务包括:监视和分析系统中用户的各种活动;检查系统构造和弱点;分辨出己知攻击类型并及时报警;记录工作中的异常情况并分析;检查数据的完整性;跟踪管理并识别用户违反安全策略的行为。
入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。
一,新一代入侵检测技术
特征检测,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
协议识别:协议识别是新一代的网络安全产品的核心技术。今天,安全产品如防火墙、NIDS、NIPS均是通过协议端口映射表(或类似技术)来判断流经的网络报文属于何种协议,然后提交给相应的协议分析引擎。但是,事实上,协议与端口是完全无关的两个概念。我们仅仅可以认为某个协议运行在一个固定的缺省端口,但没有任何限制该协议必须绑定在该端口。协议识别通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理。具备了协议识别技术的NIDS,能高速智能准确地检测出对于运行在任意端口的应用层协议的攻击行为,也可准确发现绑定在任意端口的各种木马、后门,同时,对于运用了智能隧道技术的软件也能准确地捕获分析。
攻击结果判定:从成千上万次攻击中快速定位风险程度高的攻击是最为重要的事情,通过对多种尖端检测技术的综合运用以及数千种攻击行为的全面深入分析,可以精确检测出几乎所有攻击的最终结果--成功不是失败。依据该结果,可以迅速判断出具有最高风险的安全隐患,并在第一时间作出处理措施加以弥补。攻击结果判定是新一代NIDS技术的显著标志。
拒绝服务检测:基于TCP/IP协议缺陷的拒绝服务攻击(DOS或DDOS)至今仍对互联网构成巨大的威胁。如何精确检测并保护运行关键任务的电子商务或电子政务系统远离拒绝服务的威胁是一项复杂且有挑战性的工作。常见的拒绝服务检测与保护技术如系统优化、路由器优化、负载均衡、防火墙等并不能完全彻底地解决此类问题。IDS上的拒绝服务检测可以完美而彻底地检测并阻止来自拒绝服务的威胁。
二,入侵检测技术发展趋势
入侵检测系统是根据市场的需求而发展起来的,因此入侵检测技术的发展趋势也受市场需求的影响。入侵检测系统有以下几个方面的发展方向:
提高入侵检测的速度:入侵检测技术包括误用检测和异常检测两种。其中,误用检测技术已经发展得比较成熟。误用检测系统的一个必要发展方向是提高处理速度。提高处理速度的一个方向就是从软件转移到硬件。提高处理速度的另一个方向是减少攻击的签名条目,一个很老的攻击很多已经不存在了,去掉这些老的攻击不会影响IDS的查全度。减少攻击的签名条目的另一个方向是专业化检测,如果系统只提供WWW服务,就只需关心有关WWW服务的攻击即可。专业化的入侵检测系统不但能提高速度,还能提高检测的准确度。
异常检测:异常检测还没有发展成熟,其最大缺点是错误率太高,走向专业化的入侵检测系统给异常检测开辟了一条新路,异常检测作为误用检测的前段预处理将是将来很多入侵检测系统的选择方案,也是入侵检测系统的一个发展方向。
人工智能的应用:目前在异常检测的人工智能应用过程中还有很多问题要解决,这是将来入侵检测系统发展的一个重要方向。随着人工智能在各个领域上得到广泛应用,人工智能也将会在入侵检测领域上取得很好的成果。
标准化:标准化工作对一项技术的发展至关重要,IDS还没有一个正式相关的国际标准。现在国际上主要有两个组织在这方面的工作,它们是公共入侵检测框架工作组和入侵检测工作小组。IDS的标准化必须要有两套标准:数据格式和通信协议,研究入侵检测系统的数据标准格式和通信协议是入侵检测系统的一个发展方向。
密罐技术:密罐技术是入侵检测系统的一个重要发展方向。密罐技术是建立一个虚假的网络,诱惑黑客攻击这个虚假的网络,从而达到保护真正网络的目的。
防火墙与入侵检测系统联动:防火墙与入侵检测都已经得到了广泛的认同,然而防火墙提供的是静态防御,它的规则都是事先设定的,对实时攻击或异常行为不能实时反应,无法调整策略设置。IDS有发现入侵、阻断连接的功能,但重点更多地放在对入侵行为的识别上,网络整体的安全策略还需要由防火墙完成。所以,入侵检测应该通过与防火墙联动,动态改变防火墙的策略,通过防火墙从源头上彻底切断入侵行为。
结语
由于对于通信技术安全性的要求越来越高,给网络应用提供服务的可靠性要求也越来越高,能够纵贯立体网络,实现多层次防御的入侵检测技术必将大力发展。
参考文献:
【1】张千里、陈光英编著.网络安全新技术.北京:人民邮电出版社,2003.1
【2】王玉锋,范明钰,王绪本,徐海梅.入侵检测系统的研究.计算机仿真,2005,5
关键词:网络信息安全;入侵检测系统;发展趋势
入侵检测技术对内部入侵、外部入侵和误操作进行实时防御,它的最大特点是在网络系统受到危害之前拦截,所以说它是一种积极主动的安全防护技术。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。入侵检测系统(IDS)是进行入侵检测的软件与硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;网络遭受威胁程度的评估和入侵事件的恢复等功能。入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它可以获得的信息以及系统中关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测的任务包括:监视和分析系统中用户的各种活动;检查系统构造和弱点;分辨出己知攻击类型并及时报警;记录工作中的异常情况并分析;检查数据的完整性;跟踪管理并识别用户违反安全策略的行为。
入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。
一,新一代入侵检测技术
特征检测,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
协议识别:协议识别是新一代的网络安全产品的核心技术。今天,安全产品如防火墙、NIDS、NIPS均是通过协议端口映射表(或类似技术)来判断流经的网络报文属于何种协议,然后提交给相应的协议分析引擎。但是,事实上,协议与端口是完全无关的两个概念。我们仅仅可以认为某个协议运行在一个固定的缺省端口,但没有任何限制该协议必须绑定在该端口。协议识别通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理。具备了协议识别技术的NIDS,能高速智能准确地检测出对于运行在任意端口的应用层协议的攻击行为,也可准确发现绑定在任意端口的各种木马、后门,同时,对于运用了智能隧道技术的软件也能准确地捕获分析。
攻击结果判定:从成千上万次攻击中快速定位风险程度高的攻击是最为重要的事情,通过对多种尖端检测技术的综合运用以及数千种攻击行为的全面深入分析,可以精确检测出几乎所有攻击的最终结果--成功不是失败。依据该结果,可以迅速判断出具有最高风险的安全隐患,并在第一时间作出处理措施加以弥补。攻击结果判定是新一代NIDS技术的显著标志。
拒绝服务检测:基于TCP/IP协议缺陷的拒绝服务攻击(DOS或DDOS)至今仍对互联网构成巨大的威胁。如何精确检测并保护运行关键任务的电子商务或电子政务系统远离拒绝服务的威胁是一项复杂且有挑战性的工作。常见的拒绝服务检测与保护技术如系统优化、路由器优化、负载均衡、防火墙等并不能完全彻底地解决此类问题。IDS上的拒绝服务检测可以完美而彻底地检测并阻止来自拒绝服务的威胁。
二,入侵检测技术发展趋势
入侵检测系统是根据市场的需求而发展起来的,因此入侵检测技术的发展趋势也受市场需求的影响。入侵检测系统有以下几个方面的发展方向:
提高入侵检测的速度:入侵检测技术包括误用检测和异常检测两种。其中,误用检测技术已经发展得比较成熟。误用检测系统的一个必要发展方向是提高处理速度。提高处理速度的一个方向就是从软件转移到硬件。提高处理速度的另一个方向是减少攻击的签名条目,一个很老的攻击很多已经不存在了,去掉这些老的攻击不会影响IDS的查全度。减少攻击的签名条目的另一个方向是专业化检测,如果系统只提供WWW服务,就只需关心有关WWW服务的攻击即可。专业化的入侵检测系统不但能提高速度,还能提高检测的准确度。
异常检测:异常检测还没有发展成熟,其最大缺点是错误率太高,走向专业化的入侵检测系统给异常检测开辟了一条新路,异常检测作为误用检测的前段预处理将是将来很多入侵检测系统的选择方案,也是入侵检测系统的一个发展方向。
人工智能的应用:目前在异常检测的人工智能应用过程中还有很多问题要解决,这是将来入侵检测系统发展的一个重要方向。随着人工智能在各个领域上得到广泛应用,人工智能也将会在入侵检测领域上取得很好的成果。
标准化:标准化工作对一项技术的发展至关重要,IDS还没有一个正式相关的国际标准。现在国际上主要有两个组织在这方面的工作,它们是公共入侵检测框架工作组和入侵检测工作小组。IDS的标准化必须要有两套标准:数据格式和通信协议,研究入侵检测系统的数据标准格式和通信协议是入侵检测系统的一个发展方向。
密罐技术:密罐技术是入侵检测系统的一个重要发展方向。密罐技术是建立一个虚假的网络,诱惑黑客攻击这个虚假的网络,从而达到保护真正网络的目的。
防火墙与入侵检测系统联动:防火墙与入侵检测都已经得到了广泛的认同,然而防火墙提供的是静态防御,它的规则都是事先设定的,对实时攻击或异常行为不能实时反应,无法调整策略设置。IDS有发现入侵、阻断连接的功能,但重点更多地放在对入侵行为的识别上,网络整体的安全策略还需要由防火墙完成。所以,入侵检测应该通过与防火墙联动,动态改变防火墙的策略,通过防火墙从源头上彻底切断入侵行为。
结语
由于对于通信技术安全性的要求越来越高,给网络应用提供服务的可靠性要求也越来越高,能够纵贯立体网络,实现多层次防御的入侵检测技术必将大力发展。
参考文献:
【1】张千里、陈光英编著.网络安全新技术.北京:人民邮电出版社,2003.1
【2】王玉锋,范明钰,王绪本,徐海梅.入侵检测系统的研究.计算机仿真,2005,5