论文部分内容阅读
摘要:简要概述了网络入侵的概念及分类,提出了一种基于IPV6的网络入侵检测模型,并提出了其实现的算法。
关键词:入侵检测 IPV6 入侵检测系统
中图分类号:TP393 文献标识码:A 文章编号:1002-2422(2008)03-0033-02
1 IDS的作用
(1)监视、分析用户和系统的运行状况,查找非法用户和合法用户的越权操作:(2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;(3)检测系统程序和数据的一致性和正确性;(4)能够实时地对检测到的攻击行为进行响应;(5)对用户非正常活动的统计分析,发现攻击行为的规律;(6)对操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
2 入侵检测系统的分类
IDS根据检测的对象可分为基于主机的入侵检测系统和基于网络的入侵检测系统。
HIDS是根据主机系统的日志和审计记录来进行检测分析,通常在要受保护的主机上有专门的检测代理,从而来发现对主机的攻击。系统能够监视主机的运行状态和用户的操作,如用户登录和退出系统,审计系统在日志记录中的策略改变,监视养分系统文件和可执行文件的改变等,由于使用含有已受攻击信息,HIDS能够准确确定攻击是否成功,有些攻击在网络的数据流中很难发现,或者根本没有通过网络在本地进行,此时HIDS将更有效。但系统也有一些不足,例如HIDS直接装在受保护的机器上会影响系统的运行效率,对一个网络系统全面部署HIDS的代价太大,HIDS只能监视主机本身,不能对网络上的数据进行全面监视。
NIDS一般是配置在网关,通过捕获流入内部子网的原始数据包实时检测功能。这种网络检测每个内部子网只需要配置一个NIDS,其成本较低,能够对流入内部子网的所有数据包进行监视,以检测来自网络的攻击,这是HIDS无法完成的,NIDS不依赖于被保护主机的操作系统,NIDS能做到实时监测和响应,一旦发现入侵行为就可以立即中止攻击,入侵都不容易销毁证据,被截获的入侵信息不仅包括入侵的方法,还包括可以定位入侵对象的信息;NIDS也有一些缺点,例如只能监视本网的信息流,对于多网段的监控需要更多的传感器,则会增加NIDS的复杂度,精确度不高,很难实现对一些复杂的需要大量计算与分析时间的攻击,在交换环境下难以配置;NIDS难以处理加密会话过程,在IPV6网络中需要增加设备才能实现。
3 入侵检测技术分类
一般将IDS分为两种类型的检测技术:异常检测(An-omaly Detection)和误用检测(Misuse Detection)。
异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为检测与系统相对无关,通用性较强,它甚至有可能检测出以前未出现过的攻击方法,不像基于知识的检测那样受到已知脆弱性的限制。但基于异常的入侵检测技术仍面临以下问题:(1)入侵者可以逐步训练基于统计的检测系统,使之将异常活动判为正常活动;(2)异常行为是相对的,难以确定正常和异常之间的闽值,容易漏报和误报;(3)计算量大,涉及的入侵度量众多;(4)需较高的技术,实现上有一定难度,而且通常不能给出准确的结论,只能提出某种可能性;(5)异常检测的使用比较麻烦,要有一定的训练期,以获得正常行为的有关数据。其模型如图1所示。
目前出现的具体方法有模式匹配、模型推理、基于条件概率、基于状态迁移和专家系统等。
由于这两类技术方案具备一定的优势互补性,因此在商用系统中通常把两类方法结合使用,以提高对入侵的识别率。在商业产品中应用最广泛的还是属于误用入侵检测技术中的模式匹配技术。
4 Snort系统概述
Snort系统是一个开放源代码的网络入侵检测系统,运行在Libpcap库函数基础上,系统代码遵循GNU/GPL协议,能够在IP网络上执行实时的网络流量分析和数据包记录,可以执行协议分析、内容检查和匹配。它是一个轻量级的网络入侵检测系统。所谓轻量级是指在检测时尽可能低地影响网络的正常操作,一个优秀的轻量级NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时间内通过修改配置进行实时的安全响应,更为重要的是能够成为整体安全结构的重要成员。另外,Snort还可以作为数据包记录器使用。
Snort使用灵活的规则语言来描述流量,判断应该是否收集或者通过,有一个优秀的检测引擎,此引擎是利用模块插入框架,可以提供实时的预警能力,预警方式有系统记录、UNIX套节字,或者WinPopup消息方式。
Snort作为一个基于网络的入侵检测系统,其工作原理为在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的预警或记录。从检测模式而言,Snort属于误用检测,即对已知攻击的特征模式进行匹配。从本质上来说,Snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库:其次将捕获的数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。
5 IPV6环境下的NIDS实现
整个入侵检测的说明如下:
(1)进入系统,进行初始化全局变量,并将规则库中的规则读入内存;(2)捕获数据包;(3)根据协议规则解析捕获的数据包,保存到僵局变量,并同步输出到屏幕和保存到数据库;(4)用内存中的一条规则进行匹配;(5)若匹配成功将发出报警,否则检查规则是否匹配完,如果匹配完就转入第二步检测下一个数据包,否则取下一个规则进行匹配。
6 结束语
基于协议分析的NIDS技术的低误报率和高效性使其具有较高的实际应用价值,对IPV6网络下的NIDS研究应该是与时俱进的过程。
关键词:入侵检测 IPV6 入侵检测系统
中图分类号:TP393 文献标识码:A 文章编号:1002-2422(2008)03-0033-02
1 IDS的作用
(1)监视、分析用户和系统的运行状况,查找非法用户和合法用户的越权操作:(2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;(3)检测系统程序和数据的一致性和正确性;(4)能够实时地对检测到的攻击行为进行响应;(5)对用户非正常活动的统计分析,发现攻击行为的规律;(6)对操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
2 入侵检测系统的分类
IDS根据检测的对象可分为基于主机的入侵检测系统和基于网络的入侵检测系统。
HIDS是根据主机系统的日志和审计记录来进行检测分析,通常在要受保护的主机上有专门的检测代理,从而来发现对主机的攻击。系统能够监视主机的运行状态和用户的操作,如用户登录和退出系统,审计系统在日志记录中的策略改变,监视养分系统文件和可执行文件的改变等,由于使用含有已受攻击信息,HIDS能够准确确定攻击是否成功,有些攻击在网络的数据流中很难发现,或者根本没有通过网络在本地进行,此时HIDS将更有效。但系统也有一些不足,例如HIDS直接装在受保护的机器上会影响系统的运行效率,对一个网络系统全面部署HIDS的代价太大,HIDS只能监视主机本身,不能对网络上的数据进行全面监视。
NIDS一般是配置在网关,通过捕获流入内部子网的原始数据包实时检测功能。这种网络检测每个内部子网只需要配置一个NIDS,其成本较低,能够对流入内部子网的所有数据包进行监视,以检测来自网络的攻击,这是HIDS无法完成的,NIDS不依赖于被保护主机的操作系统,NIDS能做到实时监测和响应,一旦发现入侵行为就可以立即中止攻击,入侵都不容易销毁证据,被截获的入侵信息不仅包括入侵的方法,还包括可以定位入侵对象的信息;NIDS也有一些缺点,例如只能监视本网的信息流,对于多网段的监控需要更多的传感器,则会增加NIDS的复杂度,精确度不高,很难实现对一些复杂的需要大量计算与分析时间的攻击,在交换环境下难以配置;NIDS难以处理加密会话过程,在IPV6网络中需要增加设备才能实现。
3 入侵检测技术分类
一般将IDS分为两种类型的检测技术:异常检测(An-omaly Detection)和误用检测(Misuse Detection)。
异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为检测与系统相对无关,通用性较强,它甚至有可能检测出以前未出现过的攻击方法,不像基于知识的检测那样受到已知脆弱性的限制。但基于异常的入侵检测技术仍面临以下问题:(1)入侵者可以逐步训练基于统计的检测系统,使之将异常活动判为正常活动;(2)异常行为是相对的,难以确定正常和异常之间的闽值,容易漏报和误报;(3)计算量大,涉及的入侵度量众多;(4)需较高的技术,实现上有一定难度,而且通常不能给出准确的结论,只能提出某种可能性;(5)异常检测的使用比较麻烦,要有一定的训练期,以获得正常行为的有关数据。其模型如图1所示。
目前出现的具体方法有模式匹配、模型推理、基于条件概率、基于状态迁移和专家系统等。
由于这两类技术方案具备一定的优势互补性,因此在商用系统中通常把两类方法结合使用,以提高对入侵的识别率。在商业产品中应用最广泛的还是属于误用入侵检测技术中的模式匹配技术。
4 Snort系统概述
Snort系统是一个开放源代码的网络入侵检测系统,运行在Libpcap库函数基础上,系统代码遵循GNU/GPL协议,能够在IP网络上执行实时的网络流量分析和数据包记录,可以执行协议分析、内容检查和匹配。它是一个轻量级的网络入侵检测系统。所谓轻量级是指在检测时尽可能低地影响网络的正常操作,一个优秀的轻量级NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时间内通过修改配置进行实时的安全响应,更为重要的是能够成为整体安全结构的重要成员。另外,Snort还可以作为数据包记录器使用。
Snort使用灵活的规则语言来描述流量,判断应该是否收集或者通过,有一个优秀的检测引擎,此引擎是利用模块插入框架,可以提供实时的预警能力,预警方式有系统记录、UNIX套节字,或者WinPopup消息方式。
Snort作为一个基于网络的入侵检测系统,其工作原理为在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的预警或记录。从检测模式而言,Snort属于误用检测,即对已知攻击的特征模式进行匹配。从本质上来说,Snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库:其次将捕获的数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。
5 IPV6环境下的NIDS实现
整个入侵检测的说明如下:
(1)进入系统,进行初始化全局变量,并将规则库中的规则读入内存;(2)捕获数据包;(3)根据协议规则解析捕获的数据包,保存到僵局变量,并同步输出到屏幕和保存到数据库;(4)用内存中的一条规则进行匹配;(5)若匹配成功将发出报警,否则检查规则是否匹配完,如果匹配完就转入第二步检测下一个数据包,否则取下一个规则进行匹配。
6 结束语
基于协议分析的NIDS技术的低误报率和高效性使其具有较高的实际应用价值,对IPV6网络下的NIDS研究应该是与时俱进的过程。