论文部分内容阅读
摘 要:入侵检测是网络完全的一个重要技术之一,它通过对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。本文介绍了入侵检测中常用的检测技术,并对一些检测技术进行了详细的对比分析。
关键词:入侵检测;网络安全;检测技术;对比分析
1 入侵检测的分类
⑴按照数据来源的不同,可以将入侵检测系统分为3类:1)基于网络:系统获取的数据来源是网络传输的数据包,保护的目标是网络的运行。2)基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机。3)混合型:毋庸置疑,混合型就是即基于主机又基于网络,因此混合型一般也是分布式的。
⑵根据数据分析方法(也就是检测方法)的不同,可以将入侵检测系统分为2类:1)异常入侵检测:异常检测是根据系统或用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。异常检测需要建立正常用户行为模式库,然后通过被检测系统或用户的实际行为与正常用户行为模式库之间的比较和匹配来检测入侵,如果不匹配则说明该行为属于异常行为。2)误用入侵检测:误用检测是收集非正常操作的行为特征,建立相关的特征库,主要是通过某种预先定义入侵行为,然后监视系统的运行,并从中找出符合预先定义规则的入侵行为,进而发现相同的攻击。3)误用检测与异常检测的比较:异常检测系统试图发现一些未知的入侵行为,而误用检测系统则是标识一些已知的入侵行为。异常检测指根据使用者的行为或资源使用状况判断是否入侵,而不依赖于具体行为是否出现来检测;而误用检测系统则大多是通过对一些具体的行为的判断和推理,从而检测出入侵。异常检测的主要缺陷在于误检率很高,尤其在用户数目众多或工作行为经常改变的环境中;而误用检测系统由于依据具体特征库进行判断,准确度要好很多。异常检测对具体系统的依赖性相对比较小;而误用检测系统对具体的系统依赖性太强,移植性不好。
⑶按照数据分析发生的时间不同,可以分为:1)脱机分析:就是在行为发生后,对产生的数据进行分析,而不是在行为发生的同事进行分析。如对日志的审核、对系统文件的完整性检查等都属于这种。一般而言,脱机分析也会间隔很长时间,所谓的脱机只是与联机相对而言的。2)联机分析:就是在数据产生或者发生改变的同时对其进行检查,以发现攻击行为。这种方式一般用对网络数据的实时分析,对系统资源要求比较高。
⑷按照系统各个模块运行的分布式不同,可以分为:1)集中式:系统的各个模块包括数据的收集与分析以及响应模块都集中在一台主机上运行,这种方式适用于网络环境比较简单的情况。2)分布式:系统的各个模块分布在网络中不同的计算机、设备上,一般来说分布性主要体现在数据手机模块上,例如有些系统引入的传感器,如果网络环境比较复杂、数据量比较大,那么数据分析模块也会分布,一般是按照层次性的原则进行组织,例如AAFID的结构。分布式是目前入侵检测乃至整个网络安全领域的热点之一。到目前为止,还没有严格意义上的分布式入侵检测的商业化产品,但研究人员已经提出并完成了多个原型系统。通常采用的方法中,一种是对现有的IDS进行规模上的扩展,另一种则通过IDS之间的信息共享来实现。具体的处理方法上也分为两种:分布式信息收集、集中式处理;分布式信息收集、分布式处理。
2 基于主机与网络的对比分析
⑴网络入侵检测优点:1)网络通信检测能力:NIDS能够检测哪些来自网络的攻击、它能够检测到超过授权的非法访问。2)对正常业务影响少。3)部署风险小。4)定制设备,安装简单。
⑵网络入侵检测弱点:1)共享网段的局限:NIDS只检查它直接连接网段的通信、NIDS不能监测在不同网段的网络包、交换以太网环境中就会出现它的监测范围的局限、多传感器系统会使部署成本增加。2)性能局限:NIDS为了性能目标通常采用特征检测的方法,它可以高效地检测出普通的一些攻击,实现一些复杂的需要大量计算与分析时间的攻击检测时,对硬件处理能力要求较高。3)中央分析与大数据流量的矛盾:NIDS可能会将大量的数据传回分析系统中,会产生大量的分析数据流量。
⑶主机入侵检测优点:1)入侵行为分析能力:HIDS对分析“可能的攻击行为”非常有用、HIDS比NIDS能够提供更详尽的相关信息。2)误报率低。3)复杂性小。4)网络通信要求低。5)部署风险:HIDS在不适用诸如“停止服务”、“注销用户”等响应方法时风险较少。
⑷主机入侵检测弱点:1)响保护目标:HIDS安装在需要保护的设备上可能会降低应用系统的效率带来一些额外的安全问题。2)服务器依赖性。3)全面部署代价与主机盲点。4)工作量随主机数目线性增加:HIDS主机入侵检测系统除了监测自身的主机以外根本不检测网络上的情况,对入侵行为的分析的工作量将随着主机数目增加而增加。
总地来看,单纯地使用基于主机的入侵检测或基于网络的入侵检测,都会造成主动防御体系的不全面。但是由于它们具有互补性,所以将两种产品结合起来,无缝地部署在网络内,就会构架成综合了两者优势的主动防御体系,既可以发现网段中的攻击信息,又可以从系统日志中发现异常情况。这种系统一般为分布式,有多个部件组成。
[参考文献]
[1]张超,霍红卫,钱秀斌.入侵检测系统概述[J].计算机工程与应用.2004.
[2]孔芳,徐汀荣,周丽琴.入侵检测技术的分析研究[J].计算机与现代化.2003.
[3]王超,李群.入侵检测系统及实例剖析[M].清华大学出版社.2002.
[4]蒋建春,马恒太,文伟平.入侵检测技术研究综述[M].中国科学院.2004.
[5]夏寒.入侵检测系统的设计与实现[D].上海:上海交通大学.2007.
关键词:入侵检测;网络安全;检测技术;对比分析
1 入侵检测的分类
⑴按照数据来源的不同,可以将入侵检测系统分为3类:1)基于网络:系统获取的数据来源是网络传输的数据包,保护的目标是网络的运行。2)基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机。3)混合型:毋庸置疑,混合型就是即基于主机又基于网络,因此混合型一般也是分布式的。
⑵根据数据分析方法(也就是检测方法)的不同,可以将入侵检测系统分为2类:1)异常入侵检测:异常检测是根据系统或用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。异常检测需要建立正常用户行为模式库,然后通过被检测系统或用户的实际行为与正常用户行为模式库之间的比较和匹配来检测入侵,如果不匹配则说明该行为属于异常行为。2)误用入侵检测:误用检测是收集非正常操作的行为特征,建立相关的特征库,主要是通过某种预先定义入侵行为,然后监视系统的运行,并从中找出符合预先定义规则的入侵行为,进而发现相同的攻击。3)误用检测与异常检测的比较:异常检测系统试图发现一些未知的入侵行为,而误用检测系统则是标识一些已知的入侵行为。异常检测指根据使用者的行为或资源使用状况判断是否入侵,而不依赖于具体行为是否出现来检测;而误用检测系统则大多是通过对一些具体的行为的判断和推理,从而检测出入侵。异常检测的主要缺陷在于误检率很高,尤其在用户数目众多或工作行为经常改变的环境中;而误用检测系统由于依据具体特征库进行判断,准确度要好很多。异常检测对具体系统的依赖性相对比较小;而误用检测系统对具体的系统依赖性太强,移植性不好。
⑶按照数据分析发生的时间不同,可以分为:1)脱机分析:就是在行为发生后,对产生的数据进行分析,而不是在行为发生的同事进行分析。如对日志的审核、对系统文件的完整性检查等都属于这种。一般而言,脱机分析也会间隔很长时间,所谓的脱机只是与联机相对而言的。2)联机分析:就是在数据产生或者发生改变的同时对其进行检查,以发现攻击行为。这种方式一般用对网络数据的实时分析,对系统资源要求比较高。
⑷按照系统各个模块运行的分布式不同,可以分为:1)集中式:系统的各个模块包括数据的收集与分析以及响应模块都集中在一台主机上运行,这种方式适用于网络环境比较简单的情况。2)分布式:系统的各个模块分布在网络中不同的计算机、设备上,一般来说分布性主要体现在数据手机模块上,例如有些系统引入的传感器,如果网络环境比较复杂、数据量比较大,那么数据分析模块也会分布,一般是按照层次性的原则进行组织,例如AAFID的结构。分布式是目前入侵检测乃至整个网络安全领域的热点之一。到目前为止,还没有严格意义上的分布式入侵检测的商业化产品,但研究人员已经提出并完成了多个原型系统。通常采用的方法中,一种是对现有的IDS进行规模上的扩展,另一种则通过IDS之间的信息共享来实现。具体的处理方法上也分为两种:分布式信息收集、集中式处理;分布式信息收集、分布式处理。
2 基于主机与网络的对比分析
⑴网络入侵检测优点:1)网络通信检测能力:NIDS能够检测哪些来自网络的攻击、它能够检测到超过授权的非法访问。2)对正常业务影响少。3)部署风险小。4)定制设备,安装简单。
⑵网络入侵检测弱点:1)共享网段的局限:NIDS只检查它直接连接网段的通信、NIDS不能监测在不同网段的网络包、交换以太网环境中就会出现它的监测范围的局限、多传感器系统会使部署成本增加。2)性能局限:NIDS为了性能目标通常采用特征检测的方法,它可以高效地检测出普通的一些攻击,实现一些复杂的需要大量计算与分析时间的攻击检测时,对硬件处理能力要求较高。3)中央分析与大数据流量的矛盾:NIDS可能会将大量的数据传回分析系统中,会产生大量的分析数据流量。
⑶主机入侵检测优点:1)入侵行为分析能力:HIDS对分析“可能的攻击行为”非常有用、HIDS比NIDS能够提供更详尽的相关信息。2)误报率低。3)复杂性小。4)网络通信要求低。5)部署风险:HIDS在不适用诸如“停止服务”、“注销用户”等响应方法时风险较少。
⑷主机入侵检测弱点:1)响保护目标:HIDS安装在需要保护的设备上可能会降低应用系统的效率带来一些额外的安全问题。2)服务器依赖性。3)全面部署代价与主机盲点。4)工作量随主机数目线性增加:HIDS主机入侵检测系统除了监测自身的主机以外根本不检测网络上的情况,对入侵行为的分析的工作量将随着主机数目增加而增加。
总地来看,单纯地使用基于主机的入侵检测或基于网络的入侵检测,都会造成主动防御体系的不全面。但是由于它们具有互补性,所以将两种产品结合起来,无缝地部署在网络内,就会构架成综合了两者优势的主动防御体系,既可以发现网段中的攻击信息,又可以从系统日志中发现异常情况。这种系统一般为分布式,有多个部件组成。
[参考文献]
[1]张超,霍红卫,钱秀斌.入侵检测系统概述[J].计算机工程与应用.2004.
[2]孔芳,徐汀荣,周丽琴.入侵检测技术的分析研究[J].计算机与现代化.2003.
[3]王超,李群.入侵检测系统及实例剖析[M].清华大学出版社.2002.
[4]蒋建春,马恒太,文伟平.入侵检测技术研究综述[M].中国科学院.2004.
[5]夏寒.入侵检测系统的设计与实现[D].上海:上海交通大学.2007.