返回首页

入侵检测技术现状及发展趋势

时间:2011年09月07日来源:职称论文网 作者:admin 点击:
  【关键词】趋势,发展,现状,检测技术,入侵,

 在日益复杂的网络环境下,以往的网络安全防范措施逐渐地暴露出不足。因此,许多组织致力于找出更多、更大的主动策略和方案来增强网络的安全性,而入侵检测就是其中一个有效的解决途径。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对外部攻击、内部攻击和误操作的实时保护。

  1 入侵检测的含义

  入侵检测是识别系统资源的非授权使用及系统合法用户的滥用行为,通过对网络或系统中若干关键点收集信息,并对收集到的信息进行分析,从而判断网络或系统中是否存在违反安全策略的行为和系统被攻击的迹象。入侵检测作为一种积极主动的安全防范措施,在网络或系统受到危害之前即响应和拦截入侵,提高了信息安全基础结构的完整性。

  2 入侵检测的实现步骤

  2.1 入侵数据收集

  入侵数据收集是入侵检测的第一步,主要是为系统提供数据,内容包括系统、网络、数据及用户活动的状态和行为。入侵数据的提取主要来自以下个方面:

  (1)系统和网络日志文件。日志文件记录了系统中特定事件的相关活动信息。这些记录可用于:审计用户行为、监控系统资源、对不正常或不期望的行为进行告警、生成调查报告、为打击入侵行为提供证据来源。因此,充分利用系统和网络日志文件提供的信息是检测入侵的必要条件。

  (2)目录和文件中不期望的改变。入侵者往往以修改或破坏包含重要信息和数据的文件为目的,同时为了隐藏系统中留下的活动痕迹,会尽力去替换系统程序或修改系统日志文件。目录和文件中不期望产生的创建、修改和删除,尤其是那些正常情况下限制访问的,很有可能就是一种入侵产生的警示和信号。

  (3)程序执行中的不期望行为。每个在系统上执行的程序都由一或多个进程来实现。每个进程都在具有不同权限的环境中执行,这种环境控制着进程可访问的系统资源和数据文件等。如果一个进程有不期望的行为出现,则可能表明入侵者正在入侵系统。

  (4)物理形式的入侵信息。物理形式的入侵包括两个方面的内容:一是未授权的对网络硬件连接;二是对物理资源的未授权访问。如果入侵者能够在物理上访问内部网,就能安装自己的设备和软件,由此就可以知道网上的、由用户添加的未授权的设备,然后利用这些设备访问网络。

  2.2 入侵数据分析

  入侵数据分析是整个入侵检测系统的核心模块。其主要作用是:对收集到的入侵数据进行深入的分析,根据发现的攻击行为的分析结果产生事件,传递给事件响应模块。通常有三种技术手段:模式匹配、统计分析和完整性分析。其中,前两种方法用于实时的入侵检测,而完整性分析则用于事后检测。虽然完整性分析不用于实时检测,但却能够发现模式匹配和统计分析方法所没有检测到的入侵。因此,完整性分析应成为网络安全防范的必要手段之一,可以每天在特定时间内开启完整性分析模块,对网络系统进行全面的扫描检测。

  2.3 入侵事件响应

  入侵事件响应的主要作用是对入侵行为的报警和反应。其响应方式分为主动响应和被动响应。二者的差别在于被动响应只会发出报警通知,不会对被攻击系统实施保护或者对攻击系统实施反击;而主动响应则会实施上述行为。

  3 入侵检测系统分类

  3.1 依据检测对象分类

  (1)基于主机的入侵检测。基于主机的入侵检测系统安装在需要保护的主机上,通过监视和分析主机的系统日志和审计安全记录等来实现对入侵行为的检测。其优点在于能够校验出攻击是否成功;可使特定的系统行为受到严密的监控等。缺点是要依赖操作系统,同时占有主机的资源。

  (2)基于网络的入侵检测。基于网络的入侵检测系统通常安装在需要保护的网段中,承担着保护整个网段的任务。通过网络侦听技术实时监视网段中的数据包,并对其内容、源地址和目的地址进行检测和分析。若发现可疑行为或入侵事件,入侵检测系统就会发出警报甚至切断连接。其优点在于价格低,对所发现的攻击能进行实时检测和响应等。缺点是交互环境下难以配置,防欺骗能力较差等。

  3.2 依据分析数据的方法分类

  (1)异常检测。是检测与正常行为之间的差异。先定义一组系统可接受的行为,再将系统运行时的此类数据与定义的正常行为作比较,若有偏差则认为是入侵。此种检测的漏报率低,但误报率较高。

  (2)误用检测。是检测与已知的不正常行为的匹配程度。若系统运行时的行为能够同预先定义的不正常行为相匹配,则认为是入侵。此种检测的误报率低,但漏报率较高。对于已知的攻击,可以准确报出,而对未知攻击却效果有限,且需不断收集并更新不正常行为的特征库。

  4 入侵检测技术的发展方向

  由于当前的入侵检测技术会产生大量的漏报和误报,难以确定真正的入侵行为。因此,入侵检测技术有如下几个发展方向。

  (1)基于Agent的分布式入侵检测与通用入侵检测结合。以往的入侵检测系统通常局限于单一的主机或网络架构,显然不能满足对异构系统和大规模网络的监测,并且不同的入侵检测系统之间不能协同工作。为了解决这些问题,需要基于Agent的分布式入侵检测与通用入侵检测结合。

  (2)宽带高速实时入侵检测技术。随着大量高速网络技术如千兆以太网等的相继出现,各种宽带接入手段层见叠出。如何实时检测高速网络下的入侵行为已成为实际面临的问题。由此,入侵检测系统的算法和软件结构均需重新设计,以适应高速网的环境;同时,新的高速网络协议的设计也将成为其发展的趋势。

  (3)基于数据挖掘的智能化入侵检测。入侵检测的实质就是对审计数据进行分析和定性,而随着操作系统的日益复杂及网络数据流量的大幅度增加,导致审计数据以惊人的速度剧增。如何在大量的审计数据中提取具有代表性的行为特征,来准确地描述用户的行为,是入侵检测的关键。数据挖掘是从大量的数据中提取潜在有用的信息和知识的过程。因此,为了适应新的发展形势,基于数据挖掘的智能化入侵检测必将成为未来的发展趋势。

  5 结束语

  随着各种网络业务的增多,网络安全问题越来越受到人们的重视,而目前的入侵检测还停留在研究和实验样品阶段。因此,入侵检测技术仍有较大的发展空间,从技术途径来看,除了完善传统的、常规的技术外,还应将重点放在加强统计分析的相关技术研究上,从而满足更高、更新的网络安全需求。


版权说明:《入侵检测技术现状及发展趋势》论文属计算机网络论文栏目,版权归其作者所有,您可以参考,但严禁抄袭。
推荐论文合作
推荐论文