入侵检测与防范技术(IDS/IPS)综述与分析
卓雪君
学号:2007310381
(清华大学计算机科学与技术系, 北京市100084)
摘要:本文从入侵检测/入侵防范的概念入手,对两者的技术特点,原理进行了详细的分析,进而讨论了入侵检测和入侵防范之间的关系。并在此基础上对入侵检测/入侵防范产品进行了调研,着重对开源IDS软件snort进行了介绍。最后给出了一系列反入侵检测技术,并提出了入侵检测/入侵防范技术所存在的问题以及发展趋势。
关键字:入侵检测系统、入侵防范系统、安全
Intrusion Detection System and Intrusion Prevention System:
A Survey
Zhuo Xue-Jun
Dept. of Computer Science and Technology, Tsinghua University, Beijing
100084, China
Abstract:Starting from the concept of Intrusion Detection and Intrusion Protection, this article presents a detailed analysis of their technological characteristics and principles, and then discusses their relationships. Based on this, the article gives a survey of the intrusion detection/protection products and put the focus on the open-source IDS (Intrusion Detection System) software snort. At last, a series of anti-intrusion detection techniques are introduced, as well as some existing problems and future trend of the intrusion detection/protection technology.
Key Words:Intrusion Detection System ; Intrusion Prevention System ; Security
计算机安全逐步成为一个国际化的问题,每年全球因为计算机安全系统被破坏而造成的经济损失也在不断飙升。对于企业、机关乃至个人来说,如何保护自身的安全不受到黑客的攻击成为了一个现实而至关重要的问题。传统的网络安全防范工具是防火墙,它是一种用来加强网络之间访问控制的特殊网络互联设备,通过对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许。防火墙能有效地控制内部网络与外部
网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。但是防火墙不能防止来自网络内部的攻击,而事实证明往往大部分的攻击都是来自网络内部,此外由于防火墙性能的限制使得它不具备实时监控入侵的能力。在这个需求背景下,入侵检测技术乃至入侵防范便应运而生,可以弥补防火墙的不足,为网络提供实时的监控,并结合其他的网络安全产品,在网络系统受到威胁之前对入侵行为做出实时反应。
1.IDS/IPS技术介绍
入侵指的是破坏目标系统资源的完整性、机密性或可用性的一系列活动,入侵检测系统所检测的入侵行为不包括物理入侵,而是仅包括从系统内部或者外部发起的,尝试或者实施对系统资源的非授权访问、操纵或破环的行为[1,2]。
入侵检测系统IDS(Intrusion Detection System)是通过收集网络系统信息来进行入侵分析的软件与硬件的智能组合。对IDS进行标准化工作的两个组织分别是作为国际互联网标准的制定者IETF的Intrusion Detection working Group(IDWG,入侵检测工作组)和Common Intrusion Detection Framework(CIDF,通用入侵检测框架)。
入侵防范系统IPS(Intrusion Prevention System)的功能是不仅能实时检测网络信息,发现识别出入侵信息,主动智能进行防御。如一旦发现有攻击行为,立即相应主动切断连接。
IDS和IPS都属于网络入侵检测技术,两者在技术应用上有着很多相同点,但其防御手段却有着很大的区别。
入侵检测的基本模型
从1984年到1986年间,乔治敦大学的Dorothy Denning[3]和SRI/CSL(SRI公司计算机科学实验室)的Peter Neumann最早所提出的入侵检测系统的抽象模型主要由主体、对象、审计记录、异常记录、活动规则和活动文档六部分组成。为了使分布在网络中不同主机上的IDS能够互相通信,交换检测数据和分析结果,Stuart Staniford-Chen等人提出了公共入侵检测框架(Common Intrusion Detection Framework,CIDF)[4]。CIDF中阐述了一个入侵检测系统的通用模型,它将入侵检测系统分成了四个组件如图1.1所示。
(1) 事件产生器(Event Generators) :从计算机网络中获取数据包或从计算机系统日志中获取信息。
(2) 事件分析器(Event Analyzers) :分析事件产生器获取的事件,做出总结。
(3) 响应单元(Response Units) :根据事件分析器分析的结果做出响应,保护被保护系统免受攻击和破坏。
(4) 事件数据库(Event Databases) :记录事件产生器产生的所有事件以及事件分析器对事件分析的结果。
图1.1 CIDF入侵检测通用模型
入侵检测系统分类
入侵检测系统按照不同的角度可以有不同的分类方法[6,7]。
根据检测的方法分类
入侵检测系统根据采用的分析方法可以分为异常检测和误用检测两类。(1) 异常检测又被称为基于行为或基于统计的入侵检测。它是通过预先定义一组系统正常的数据值,然后根据系统运行时的数据值和已经定义好的正常数据值进行比较,最后得出是否有被攻击的迹象[8]。这种方式可以检测出未知的攻击类型,但是往往误报率比较高。
(2) 误用检测又被称为基于知识或基于特征的入侵检测。它从已有的各类攻击中提取出攻击的模式特征,形成规则库。任何与规则库中的模式相一致的都被认为是入侵行为。这种检测方法误报率低,但只能检测已有的攻击,存在一定的漏报率。
根据数据源的分类
入侵检测系统根据数据源的分类可以分为基于主机的入侵检测和基于网络的入侵检测。
(1)基于主机的入侵检测系统(HIDS)是通过分析主机上的系统日志和应用程序日志等信息,来判断是否发生了入侵。HIDS通常情况下比NIDS误报率要低,因为检测在主机上运行的命令比检测网络流更简单,系统的复杂性也少得多。但是HIDS必须为不同的平台开发不同的程序,而且全面部署HIDS的代价也非常大,此外因为它对于网络上的情况不予以监视,所以对入侵检测行为的分析工作量将随着主机数目增加而增加。
(2)基于网络的入侵检测系统(NIDS)是通过分析关键网络段或重点部位的数据包,来实时判断是否有网络攻击[9]。NIDS有一个非常显著的优点是一个网段上
只需安装一个或几个这样的系统,便可以检测整个网段的情况,但这种方式不能解析监听到的加密信息以及交换网络上的数据包,而且在高速网络上监听数据包时会大大增加系统的开销。
根据体系结构分类
入侵检测系统根据体系结构可分为集中式入侵检测系统和分布式入侵检测系统。
(1)集中式入侵检测系统是指分析部件位于固定数量的场地,包括基于主机的集中式入侵检测系统和基于网络的集中式入侵检测系统。
(2)分布式入侵检测系统是指运行数据分析部件的场地和被监测的主机的数量成比例,通过分布在不同主机或网络上的监测实体来协同完成检测任务。
根据响应方式分类
入侵检测系统根据响应方式可分为主动响应入侵检测系统和被动响应入侵检测系统。
(1)主动响应入侵检测系统是指当一个特定类型的入侵被检测到时,它会自动收集辅助信息,或改变当时的环境以堵住入侵发生的漏洞,甚至可以对攻击者采取行动。
(2)被动响应入侵检测系统是指当入侵检测系统检测到入侵信息时,把入侵信息递交给网络管理员处理。
入侵检测技术
异常入侵检测技术
基于异常入侵检测技术的IDS工作原理如图1.2所示:
图1.2 基于异常检测IDS工作原理图
(1)基于统计的异常检测技术
基于统计的异常检测技术通过对系统审计中的数据进行统计处理,然后与描述主体正常行为的统计性特征进行比较,最后根据两者之间的偏差是否超过指定的限度来判断是否有入侵行为发生。在这种方法中入侵检测系统可以主动学习主体的日常行为,并将那些与正常行为偏差较大的行为标志为异常,产生告警。(2)基于特征选择的异常检测技术
基于特征选择的异常检测技术是通过从一组度量中选择出能够检测入侵的度量构成子集,从而预测或分类检测到的入侵行为。异常检测的关键在于难以区分异常行为和入侵行为,选择合适的度量也很困难。度量子集的选取依赖于入侵的类型,一个度量不可能适应于所有的入侵类型。
(3)基于神经网络的异常检测技术
基于神经网络的异常检测技术是通过对系统提供的审计数据的自学习过程,从中提取正常用户或系统活动的特征模式。该方法的关键是在检测前必须对入侵样本进行训练,使其具备对某些入侵行为进行分类的能力,从而能够正确识别入侵行为。
(4)基于计算机免疫技术的异常检测方法
计算机免疫技术是通过模仿生物有机体的免疫系统工作机制,使得受保护的系统能够区分正常的行为和非正常的行为。它首先利用系统进程正常执行的轨迹中的系统调用短序列集来构造系统进程正常执行活动的特征轮廓,并实时检测系统进程是否符合正常的特征轮廓。
误用入侵检测技术
基于异常入侵检测技术的IDS工作原理如图1.3所示:
图1.3 基于误用检测IDS工作原理图
(1)基于专家系统的误用检测技术
基于专家系统的检测方法也称基于规则的检测方法。该方法根据安全专家对
可疑行为进行分析的经验形成一套推理的规则,然后运用推理算法来检测入侵。snort入侵检测系统就采用了这种方法。
(2)基于状态迁移分析的误用检测技术
入侵行为是攻击者执行的一系列操作,使系统从某一种初始状态转到一个危及系统安全的状态。其中的初始状态代表入侵前的系统状态,而危及系统安全的状态则代表入侵发生后的系统状态。
这样在这两个状态之间可能存在一个或多个中间状态的迁移。而状态迁移分析主要是考虑入侵行为对这其中的中间状态迁移的影响,这种方法可以检测出协同攻击和时间跨度较大的攻击,但这种方法中的状态和转换动作很难进行精确的表达,且只适合于那些多个步骤间具有全序关系的入侵行为的检测。
(3)基于模式匹配的误用检测技术
模式匹配就是通过提取已有攻击信息的特征编码成模式,然后将审计信息与该模式进行匹配,从中发现是否存在攻击行为。该方法原理简单,可扩展性好,准确率和效率都很高,可以实时检测,且技术已经相当成熟,但需要不断升级已有的模式库以便检测新的攻击,以及不能检测出从未出现过的攻击。
入侵防范系统分类
入侵防范系统分类方式与入侵检测系统类似,可以分为:
(1)基于主机的入侵防范系统(HIPS)
HIPS通过在主机/服务器上安装代理程序,防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。在技术上,HIPS采用独特的服务器保护途径,利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提下,最大限度地保护服务器的敏感内容,既可以以软件形式嵌入到应用程序对操作系统的调用当中,通过拦截针对操作系统的可疑调用,提供对主机的安全防护;也可以以更改操作系统内核程序的方式,提供比操作系统更加严谨的安全控制机制。
由于HIPS工作在受保护的主机/服务器上,它不但能够利用特征和行为规则检测,阻止诸如缓冲区溢出之类的已知攻击,还能够防范未知攻击,防止针对Web页面、应用和资源的未授权的任何非法访问。与HIDS类似HIPS与具体的主机/服务器操作系统平台紧密相关,不同的平台需要不同的软件代理程序。(2)基于网络的入侵防范系统(NIPS)
NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口。
NIPS必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常可以分为三类:一类是网络处理器,一类是专用的FPGA编程芯片,第三类是专用的ASIC芯片。
在技术上,NIPS吸取了目前NIDS所有的成熟技术,包括特征匹配、协议分析和异常检测。特征匹配是最广泛应用的技术,具有准确率高、速度快的特点。基于状态的特征匹配不但检测攻击行为的特征,还要检查当前网络的会话状态,避免受到欺骗攻击。
协议分析是一种较新的入侵检测技术,它充分利用网络协议的高度有序性,并结合高速数据包捕捉和协议分析,来快速检测某种攻击特征。协议分析正在逐渐进入成熟应用阶段。协议分析能够理解不同协议的工作原理,以此分析这些协议的数据包,来寻找可疑或不正常的访问行为。协议分析不仅仅基于协议标准,还基于协议的具体实现,这是因为很多协议的实现偏离了协议标准。通过协议分析,IPS能够针对插入与规避攻击进行检测。但是异常检测的误报率比较高,NIPS 不将其作为主要技术。
入侵防范技术
IDS通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并产生告警,因此绝大多数IDS系统是被动的,在攻击实际发生之前,它们往往无法预先发出警报,而且在入侵发生后也不能主动采取一些防护措施。而入侵检测系统(IPS)则倾向于提供主动防御,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单的在恶意流量传送时或传送后才发出警报。
IPS是通过直接嵌入到网络流量中来实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确定其中不包含异常活动或可疑内容后,在通过另一个端口允许其继续向前传输。这样有问题的数据包,以及所有来自同一数据流的后续数据包都可以在IPS中被拦截下来。其工作原理如图1.4所示:
图1.4 IPS工作原理图
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS 数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用从2层到5层的漏洞发起攻击,IPS都能够从数据流中检查出这些攻击并加以阻止。而传统的防火墙只能对3层和4层进行检查,不能检测应用层的内容。此外防火墙的包过滤技术不会针对每一字节进行检查,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
综上所述,IPS需要具有如下的基本特性:
(1) 嵌入式运行:只有以嵌入模式运行的IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
(2) 深入分析和控制:IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。
(3) 入侵特征库:高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。
(4) 高效处理能力:IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
入侵检测系统与入侵防范系统关系
从工作原理和检测机制上来看,IDS和IPS的共同点在于它们都是要求接入网络,对网络上的数据进行审计,根据事先定义好的安全策略对分析得到的结果做出判断和响应。而不同之处在于IDS受检测机制影响往往安装在网络的旁路上,被动的监听网络,是一种并联的接入方式。而IPS是串联到网络中的,以主动的方式检测网络信息流。这样对于IPS性能要求往往更高。而在数据保护和内容安全方面,IPS没有太多的建树,与此相比IDS在检测网络流和追查非法访问方面具有优势,可以帮助用户保护数据安全。但是IDS的响应能力十分有限,
(1) 只需要IPS ,不需要IDS ,这种情况的使用环境是只关注风险控制,而并不关注风险管理的用户,比如低风险的行业,如图1.6所示:
图 1.6 只需部署IPS 示意图
(2) 只需要IDS ,不需要IPS ,这种情况往往适用于监控机构,他们只需要对用户的安全状况做了解,而不用对入侵行为做出防御,如图1.7所示:
图 1.6 只需部署IDS 示意图
(3) 既需要IDS 也需要IPS ,这种情况适用于高风险行业用户,既需要关注风险管理与风险控制,又需要通过风险管理不断完善风险控制措施,如图1.8所示:
图 1.6 既需部署IDS 又需部署IPS 示意图
2. IDS/IPS 产品调研
国内外IDS/IPS产品概况
绝大多数的入侵检测产品都以纯软件的形式出售,但为了达到性能最佳,往往需要对安装的系统进行优化调整。这样把产品做成黑盒子的形式出售就可以达到目的,如Cisco公司的Secure IDS和金诺网安的KIDS等。同时随着入侵检测产品在规模庞大企业中的应用越来越广泛,分布式技术也开始融入到入侵检测产品中来,目前绝大多数的入侵检测产品尤其是企业级的产品都具有分布式结构[5]。
基于网络的入侵检测产品放置在比较重要的网段内,对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler,以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威―天眼‖网络入侵侦测系统等。
基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。
混合式入侵检测系统综合了基于网络和主机的两种结构特点,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。
文件完整性检查工具通过检查文件的数字摘要与其他一些属性,判断文件是否被修改,从而检测出可能的入侵。这个领域的产品有半开放源代码的Tripwire 等。
在全球范围内,根据Infonetics研究公司2007年9月的报告显示,第三季度全球IDS/IPS产品收入为1.35亿美元,比第二季度下滑1%,预计2008年第三季度会上升至1.82美元,涨幅可达到35%。预计2007年IDS/IPS全球年收入可达到9.32亿美元,2003~2007年复合年增长率可达到21%。Infonetics首席分析师Jeff Wilson认为根据IDS/IPS收入分析预测表明,到2007年基于主机的产品和基于网络的入侵检测与入侵防范产品会在大多数环境里很好的共存。调查进一步表示,争夺IDS/IPS市场霸主的战斗正在激烈进行,Cisco和ISS平分秋色,全球收入份额为22%;赛门铁克位居整个IDS/IPS市场第三,并且位居基于主机的IDS/IPS市场第一;McAfee在整个IDS/IPS市场排名第四,比第二季度增加几个百分点,McAfee还位居在线式IPS硬件市场首位;基于网络的传统IDS产品占支出的39%,基于主机的IDS/IPS占32%,基于在线网络的IDS/IPS占29%;北美占全部IDS产品收入的一半多,欧洲、中东和非洲地区约占五分之一,亚太地区排在第三,而加勒比海和拉美地区是相差较远的第四名。
而在国内,通信世界网2007年11月20日消息表明,根据国际权威调查机构IDC的最新报告,2007年上半年,启明星辰公司的天阗入侵检测系统和天清入侵防御系统双双拔得头筹。IDC统计数据还进一步表明,2007年上半年,除传统的IDS硬件市场保持稳定增长外,新兴的IPS硬件市场也一路上扬,预期2007年IDS国内市场总额可达6亿元人民币,而IPS也将达2亿元人民币,再次证明了IDC之前提出的―IDS、IPS两个市场相互独立‖的观点。此外福建海峡―黑盾‖入侵检测系统、上海金诺KIDS 3.3入侵检测系统以及海信―眼镜蛇‖入侵检测系统等都具有比较好的口碑。国内IPS起步比较晚,2005年9月,绿盟科技推出了国内安全厂商的第一款具有自主知识产权的IPS产品——冰之眼网络入侵保护系统ICEYE NIPS,一举打破了目前国内IPS市场由国外产品垄断的局面,在国内安全市场上掀起一个新的IPS研发和应用高潮。纵观全局,尽管在众多的IDS/IPS产品中不乏精品,但是就整体市场而言,各种产品表现良莠不齐。可以说目前中国IDS/IPS市场的真正格局还未真正形成。
开源免费IDS产品Snort介绍
2.2.1 Snort概述
1998年,Martin Roesch开发了开放源代码的入侵检测系统Snort,直至今天已发展成为一个跨平台的软件包,具有实时流量分析、网络IP数据包记录、协议分析等功能,是最具代表性的免费的IDS产品,其主要特点有:
(1)轻量级,Snort虽然功能强大,但是其代码却短小精悍,源代码的压缩包仅
200K。
(2)移植性好,Snort的跨平台性极佳,目前已经可以支持Linux、Windows、MacOS
X、Solaris、BSD、IRIX、Tru64、HP-UX等操作系统
(3)速度快,Snort可以运行在100Mbps的网络上,监测网络中的入侵行为。
(4)易于配置,Snort安装配置容易,且规则语法非常简单,方便用户根据自身需
要下载或自己编写。
(5)灵活易扩展,Snort可以使用具有特定功能的报告,检测子系统插件对其功能进行扩展。Snort当前支持的插件包括:数据库日志输出插件,破碎数据包检测插件,断口扫描检测插件,HTTP URI插件,XML网页生成等。
(6)免费,这也是Snort最诱人的一大特点。
Snort 主要由以下几大部分组成:数据包解码器,预处理器,检测引擎和报警输出模块。Snort 从网卡取得数据包后先用预处理插件进行处理,然后经过检测引擎中的所有规则链,如果有符合规则链的数据包则会被检测出来,按照规则进行处理,如图2.1所示:
图2.1 Snort工作流图
2.2.2 Snort运行模式
Snort有三种主要的运行模式:数据包嗅探器模式、数据包记录器模式以及成熟的侵入探测系统模式:
(1)数据包嗅探器模式
该模式类似于tcpdump,是从网络上捕获数据包,然后将数据包的详细信息显示在控制台上。
① $snort –v
显示TCP/IP包头信息,打印在屏幕上
② $snort –vd
显示TCP/IP包头以及应用层数据信息。
③ $snort –dev
显示TCP/IP包头、应用层数据以及链路层信息,如图2.2所示:
图2.2 snort数据包嗅探器模式
(2)数据包记录器模式
该模式可以将数据包信息以不同的格式记录到磁盘上,方便用户对数据进行事后分析。这这个模式下需要制定一个日志文件路径,snort就会自动记录数据包了。
① $snort –dev –l ./log
-l 参数后面跟的是log文件的路径,该目录必须存在,否则snort就会报告错误信息并退出。当snort在这种模式下运行,它会记录所有看到的包将其放到一个目录中,这个目录以数据包目的主机的IP地址命名,如图2.3所示:
图2.3 snort数据包记录器模式
Snort数据包记录器运行模式可以将数据包信息以不同的格式保存在磁盘上,如ASCII码、tcpdump格式、XML等。
② $snort –dv –r packet.log
可以使用任何支持tcpdump二进制格式的嗅探器程序从snort所生成的文件中读出数据包,同时snort也可以在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上。
③ $snort –dvr packet.log icmp
在数据包记录器和入侵检测模式下,可以通过BPF(BSD Packet Filter)接口,使用许多方式维护日志文件中的数据。例如,使用上述命令可以从日志文件中提取ICMP包。
(3)网络入侵检测系统模式
Snort最重要的运行模式就是网络入侵检测模式。
① $snort –dev –l ./log –c etc/snort/snort.conf
使用-c命令参数可以导入规则文件,snort就可以利用该规则文件对数据包进行检查,如果有规则匹配了,就会产生告警信息,默认告警信息会保存到/var/log/snort目录下,如图2.4所示:
图2.4 snort入侵检测系统模式
2.2.3 Snort规则语法
Snort规则语法非常简单,易于掌握。规则文件用户可以在网上down到,也可以根据自身的需要自己来编写。这也增加了snort的灵活性。
图2.5 snort规则语法
其中一条规则由规则头部和规则选项两部分组成,如图2.5所示。规则头部包括了:动作、协议、源/目的IP地址、源/目的端口号等字段。规则选项包含了特征码和告警信息等字段。
上面这条规则是对ICMP PING攻击进行了判断,其中―alert‖表示的动作是当规则匹配的时候既会产生告警,又会记录到log中;―icmp‖是协议字段;这条规则定义的源地址是外网地址,目的地址为内网地址,且没有设定端口号;―itype:8‖表示ICMP数据包类型为8;―dsize:0‖表示数据负载为0,当这些条件都匹配的时候就会产生一条告警―ICMP PING NMAP‖。
2.2.4 Snort + Acid-Base运行环境
因为snort是一个免费开源的IDS软件,所以它并没有为用户提供一个友好的交互界面,这样用户靠肉眼来查看海量的告警信息是非常费劲的,因此作者在ubuntu7.10下配置了一个Snort + Acid-Base环境,将snort的告警信息保存在数据库中,然后通过为基于PHP 的入侵检测数据库分析控制台(Acid-Base)显示出告警信息的统计情况,具体步骤如下:
(2)安装snort-mysql辅助工具
(3)建立snort数据库
(4) 使用snort-mysql在数据库中建立表项
(4)修改snort配置文件
(5) 安装并配置base
配置好环境后就可以运行snort ,告警信息会导入到数据库对应的表项中,并在入侵检测数据库分析控制台上会显示出告警的统计信息,如图2.6,2.7所示:
图2.6 acid-base 告警事件统计信息a
图2.7 acid-base 告警事件统计信息b
3. 反IDS/IPS 技术分析
反IDS/IPS 方法主要有两种,一种是首先攻击入侵检测系统使其失效,而另
一种方法则是利用各种手段躲过IDS系统的检测。
利用字符串匹配弱点技术
针对基本字符串匹配弱点来躲过IDS检查的入侵方法是最早被提出和实现的。一些基于特征码的入侵检测设备几乎完全依赖于字符串匹配算法。虽然不是所有的入侵检测系统都是纯粹基于特征码检测的,但是绝大多数对字符串匹配算法有很大的依赖。
比如拿2.2节中介绍的snort的特征码来进行讨论,在UNIX系统中,/etc/passwd是一个重要的文件,它包含用户名、组成员关系和为用户分配的shell 等信息。下面是用于检测的snort检测规则:
snort使用字符串匹配算法对包含特征码(/etc/passwd)的HTTP请求进行检测。但是这个规则的特征码过于简单了,攻击者可以通过修改攻击字符串,便能轻松地逃过检测。例如,把攻击请求由GET /etc/passwd改为GET /etc//\// passwd,就可以轻松的绕过snort的检查了。这是最基本的逃避技术,对这种技术的检测也相对容易一些,只要在编写特征码时能够仔细考虑一下攻击可能出现的变体。目前大多数流行入侵检测系统都有非常强大的字符串匹配能力,足以检测此类攻击的大多数变体。不过,仍然有些编写不太好的特征码可以给攻击者以可乘之机。
多变shell代码技术
多变shell代码(polymorphic shell code)技术由K2开发的,设计思想来源于病毒逃避技术。使用这种技术重新构造的shell代码非常危险,入侵检测设备非常难以检测到。这种技术只用于缓冲区溢出攻击,对付基于特征码的检测系统非常有效。例如有如下snort规则:
上面的第一条规则简单地检查从外部到$HOME_NET,目标端口是22的数据包,搜索其中是否包含字符串/bin/sh。第二条规则是检查其中是否包含x86空操作字符(0x90)。
而多变shell代码使用很多方法逃避字符串匹配系统的检测。首先可以使用其它的字符代替0x90执行无操作指令。对于X86架构,有55种替代方式。这些替代方式以一种伪随机的方式结合到一块,建立缓冲区溢出shell代码包含无操作指令的部分。除此之外,shell代码本身也采用XOR机制编码。通过这种方式建立的缓冲区溢出shell代码被重组后不会包含以上的特征码,从而能够逃过字符串匹配检测。
会话拼接技术
上面讨论的方法都是属于攻击数据在一个数据包中,没有涉及攻击数据和会话通过多个数据包投递的情况。会话拼接技术就是把会话数据放到多个数据包中发出。通过这种方式,每次只发送几个字节的数据,就可能避开字符串匹配入侵检测系统的监视。要监视这种攻击,需要入侵检测系统或者能够理解、监视网络会话。
Snort中使用以下规则来监视会话拼接:
这条规则使snort检测目标为$HTTP_SERVERS 80端口的ACK报文的负载长度是否等于1以及是否包含空格。使用这条规则可以精确地检测出拼接攻击。但是攻击者只要稍加修改就可以避开这个检测。为了能够检测可能出现的会话拼接攻击,可以对上面这条snort规则进行扩展,使其检查负载很短的HTTP请求。但是,这样做的副作用是提高了误报警数量,而且在某些情况下攻击者还是能够避开监视。为了真正有效地检测这种攻击,需要入侵检测系统能够完整地理解网络会话,不过这是非常困难的。
拒绝服务攻击技术
这是一种比较野蛮的攻击方法。拒绝服务可以针对检测设备本身和管理设备。利用Stick或其它一些测试工具能够使入侵检测设备产生大量的报警。使用这些工具,可以消耗检测设备的处理能力,从而真正的攻击逃过检测;塞满硬盘空间,使检测设备无法记录日志;使检测设备产生超出其处理能力的报警;使系统管理人员无法研究所有的报警。对IDS来说这类工具非常难以对付。
木马技术
IDS 检测木马和后门程序一般是通过端口来判断的,即通过后门程序的默认端口的连接来判断,如Netspy默认端口是7306,BO2k默认端口是54320,所以只要后门程序不使用默认值就可以逃过一些IDS的法眼。目前大部分后门程序的通信都已采用加密的方式,所以目前大部分IDS只能通过非正常端口建立连接来判断,如果后门程序采用正常的端口进行通信,IDS就很有可能漏报。
4.IDS/IPS存在的问题及发展趋势
IDS/IPS存在的问题
IDS/IPS不但可以发现外部攻击也可以发现内部的攻击,成为了防火墙的必要补充。但是由于这项技术诞生的时间还不是很长,并且防范和攻击之间总是存在着一种此消彼长的博弈关系,所以入侵检测/防范产品中还是存在有不少问题。
(1)漏报和误报
这一问题可以说几乎对于所有的安全软件都是存在的。造成漏报的原因有很多。首先入侵检测产品的一个重要的指标就是包截获能力,当网络数据流量超过入侵检测产品本身的包获取能力时,就会有部分数据包无法被分析,这样就有可能导致漏报。然后随着攻击技术的不断发展,如果IDS/IPS产品不能及时更新攻击规则库的话也会对新的攻击类型没有任何抵抗能力。此外还有一些如特殊隧道、后门以及碎片等反IDS/IPS技术也会造成产品的漏报,利用这些技术可以使恶意的数据流巧妙的躲过IDS/IPS的检查。
误报也是一个值得关注的问题,以为它的存在可能会分散管理员的注意力,从而忽略了一些重要的攻击信息。造成误报的主要原因有,当大量发送包含有攻击特征数据到指定的网络环境时,就可能造成整个IDS/IPS系统被这些报警信息所淹没从而崩溃。此外因为目前流行的IDS/IPS技术还是基于数据特征匹配的,那么对于一些偶然含有攻击特征的无害数据包,IDS/IPS往往也会不加判断的进行报警。
(2)隐私和安全之间的矛盾
IDS/IPS可以接收到网络中所有的数据,并对此进行分析和记录,这一过程对于安全来说是非常重要的,但对于用户来说可能也会涉及到隐私被侵犯的问题。如何来权衡隐私和安全也是IDS/IPS所要面对的一大问题。
(3)告警信息处理
首先因为安全设备的规范标准并不是很多,这样各个设备制造商都会定义自己告警信息格式,而格式上的不同就对告警的统一分析处理造成了一定的障碍。其次,入侵检测,防火墙等安全设备都会产生大量安全事件数据,单凭管理员手
第一章技术分析概述 引言:从证券市场产生的那一天起,人们一直在寻找和探索评定市场和分析市场的方法,以作为入市买卖的依据。实际上技术分析一直是证券投资中极其重要的方法,虽然基本分析与技术分析比肩齐名,但纯粹使用基本分析的人实属凤毛麟角。因此从这一意义上说,技术分析的实际应用价值是极高的,能够读懂并正确理解技术分析的人所得到的回报也是巨大的。本章将着重阐述技术分析赖以成立的理论基础,也就是技术分析的三个理论前提,只有明确并始终坚持这三个前提,才能深入学习和探讨技术分析的各种理论和方法。任何时候在应用技术分析的同时,去试图探寻价格变动的原因都是偏离了技术分析而陷入基本分析之中。当然我们并不是说基本分析没有用,只是把二者混在一起使用极容易使自己陷入迷团,在价格变动的原因和结果之间打转转,因此本章的学习就是要把技术分析界定清楚,为以后的内容奠定基础。 第一节技术分析的理论基础 技术分析是经验的总结,它不象数学公式或物理定律那样有着严密的逻辑性和科学性,这也正是引起对技术分析争议的原因之一。实际上技术分析也并非空穴来风,它有着赖以成立的哲学基础和理论前提,不理解这一点是无法应用好技术分析的。经常在技术分析与基础分析之间摇摆,甚至纠缠不清而产生困惑的原因也是因为没有深刻理解上述问题。 一、什么是技术分析 所谓技术分析,就是通过图表的方式对市场行为进行研究从而推判出市场价格发展的未来趋势。 可见,技术分析是一种研究市场的方法,其中图表是手段,市场行为是研究对象,未来趋势是研究的目的。 1、技术分析的研究手段——图表 最初的图表是手工绘制的,今天的图表不仅由电脑绘制,而且增添了许多自动的分析功能,大大方便了对市场的跟踪和研究,目前的图表分析工具主要分为两类,一类是动态报价系统,主要的功能是跟踪市场的即时变化;另一类是静态分析系统,主要用于收市后对市场的未来发展做出分析和决策,在第二章中将对图表的形式概括介绍。 2、技术分析的研究对象——市场行为 市场行为极其复杂,但都可以通过价格和成交量表现出来,其中价格是技术分析的目的,是首要的研究对象,而成交量是对价格运动的验证,它是股市的血脉,反映着市场的活跃程度,可以对价格运动的研究起着较好的辅助作用。 3、技术分析的研究目的——未来趋势 这是技术分析的核心问题,研究价格图表,就是要在一个趋势形成和发展的早期,及时准确地判定出来,从而达到顺应趋势的目的。 二、技术分析的理论前提 1、市场行为包容消化一切 (1)这是技术分析的基础,它的内容是影响价格变动的任何因素,政治的、经济的、心理的或其他任何方面的,都反映在价格之中,各种已知的和可以预知的所有信息都可以被市场所包容并且消化掉。
入侵检测技术综述 胡征兵1Shirochin V.P.2 乌克兰国立科技大学 摘要 Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品。 关键词入侵检测入侵检测系统网络安全防火墙 1 引言 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对安全解决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统来保证安全,依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[1]。 2 入侵检测的概念、模型 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。 入侵检测的研究最早可以追溯到詹姆斯·安德森[1]在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础 , 他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。 Denning[2]在1987年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 ●信息来源(Information Source):为检测可能的恶意攻击,IDS所检测的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。 ●分析引擎(Analysis Engine):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。 ●响应模组(Response Component):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。 3 入侵检测系统的分类 入侵检测系统依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD),其分类架构如图1所示: 图 1. 入侵检测系统分类架构图
入侵检测技术概述 孟令权李红梅黑龙江省计算中心 摘要 本文概要介绍了当前常见的网络安全技术——入侵检测技术,论述了入侵检测的概念及 分类,并分析了其检测方法和不足之处.最后描述了它的发展趋势及主要的IDS公司和产品。 关键词 入侵检测;网络;安全;IDS 1 引言 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵——非法用户的违规行为;滥用——用户的违规行为。 2 入侵检测的概念 入侵检测(I n t r u s i o n D e t e c t i o n ,I D ) ,顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违 反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系 统(Intrusion Detection SystemIDS ) 。 3 入侵检测系统的分类 入侵检测系统(I D S ) 依照信息来源收集方式的不同,可以分为基于主机(H o s t-Based IDS ) 的和基于网络(Netwo r k-BasedIDS ) ;另外按其分析方法可分为异常检测(Anomaly Detection ,AD ) 和误用检测(Misuse Detection ,M D ) 。 3 .1主机型入侵检测系统 基于主机的入侵检测系统是早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上。 其优点是:确定攻击是否成功;监测特定主机系统活动,较适合有加密和网络交换器的环境,不需要另外添加设备。 其缺点:可能因操作系统平台提供的日志信息格式不同,必须针对不同的操作系统安装不同类型的入侵检测系统。监控分析时可能会曾加该台主机的系统资源负荷.影响被监测主机的效能,甚至成为入侵者利用的工具而使被监测的主机负荷过重而死机。 3 .2 网络型入侵检测系统 网络入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在“混杂模式”(PromiscuousMode) 下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。 其优点是:成本低;可以检测到主机型检测系统检测不到的攻击行为;入侵者消除入侵证据困难;不影响操作系统的性能;架构网络型入侵检测系统简单。 其缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包对干直接对主机的入侵无法检测出。 3 .3混和入侵检测系统 主机型和网络型入侵检测系统都有各自的优缺点,混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合,许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,因为这两种系统在很大程度上互补,两种技术结合。能大幅度提升网络和系统面对攻击和错误使用时的抵抗力,使安全实施更加有效。 3 . 4 误用检测
河南理工大学 课程论文 (2014-2015第二学年) 论文题目:入侵检测技术综述 学院: 专业班级: 学号: 姓名: 指导老师: 日期:2015.7.3
1引言 1 2入侵行为的概念、分类和演化 1 3入侵检测技术的发展 3 3.1以Denning模型为代表的IDS早期技术 3 3.2中期:统计学理论和专家系统相结合 4 3.3基于网络的NIDS是目前的主流技术 4 4结语 5 参考文献 6
摘要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程。文章以历史和实践的观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程。 关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1引言 自从计算机问世以来,安全问题就一直存在。特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。 入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动。本文主要讨论入侵和入侵检测技术从20世纪70年代初到今天的发展历程。这个概念出自James P.Anderson在1972年的一项报告,随后的30多年中,概念本身几乎没有改变。 2入侵行为的概念、分类和演化 从最早期的计算机安全开始,人们就密切关注恶意使用者破坏保护机制的可能性。早期系统多为多用户批处理系统。这个时期,主要的威胁来自系统的合法使用者,他们企图得到未经授权的材料。到了20世纪70年代,分时系统和其他的多用户系统已成气候,Willis H Ware 主持的计算机安全防御科学特别工作 小组提供了一项报告,为处理多级数据的计算机系统的发展奠定了基础。但这篇报告并没有受到应有的重视,直到70年代中期,人们才开始进行构建多级安全体系的系统研究。 1980年4月,詹姆斯·安德森(James P.Anderson)为美国空军做的题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念,并首先为入侵和入侵检测提出了一个统一的架构,这是该领域的开山之作。他在论文中给出了入侵和入侵检测技术方面的概念: 威胁(Threat)可能存在有预谋的、未经认可的尝试: ①存取数据; ②操控数据; ③使系统不可靠或无法使用。 危险(Risk)意外的和不可预知的数据暴露,或者,由于硬件故障、软件设计的不完整和不正确所造成的违反操作完整性的问题。 脆弱性(Vulnerability)已知的或可疑的硬件或软件设计中的缺陷;使系统暴露的操作;意外暴露自己信息的操作。攻击(Attack)实施威胁的明确的表达或行为。 渗透/入侵(Penetration)一个成功的攻击;(未经认可的)获得对文件和程序的使用,或对计算机系统的控制。 威胁概念中的③包括DOS(Denial Of Service)“拒绝服务攻击”。盗用计算资源也属于这个类别之内。 一般来说,外部入侵者的首要工作是进入系统。所外人,也可能是合法用户,但违规使用了未经授权的资源。另一方面,除了拒绝服务攻击外,多数攻击都需要入侵者取得用户身份。20世纪80年代中后期,网络计算已经相当普遍,渗透和入侵也更广泛。但许多厂商和系
入侵检测技术毕业论文 Last updated on the afternoon of January 3, 2021
毕业设计 开题报告 学生姓名徐盼 学号 专业计算机网络技术 班级网络201401班 指导教师刘烨 开题时间2016年10月20日 黄冈职业技术学院电子信息学院
电子信息学院毕业设计开题报告
学业作品题目入侵检测技术应用 学生姓名徐盼 学号 专业计算机网络技术 班级网络201401班 指导教师刘烨 完成日期2016年11月20日 目录
摘要 近年来随着计算机网络的迅速发展,网络安全问题越来越受到人们的重视。从网络安全角度来看,防火墙等防护技术只是被动安全防御技术,只是尽量阻止攻击或延缓攻击,只会依照特定的规则,允许或是限制传输的数据通过。在网络环境下不但攻击手段层出不穷,而且操作系统、安全系统也可能存在诸多未知的漏洞,这就需要引入主动防御技术对系统安全加以补充,目前主动防御技术主要就是入侵检测技术。 本文从入侵检测技术的发展入手,研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。 关键词:网络安全,网络入侵,入侵检测技术,入侵检测系统 第一章绪论 入侵检测技术的提出 随着Internet高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,黑客攻击日益猖獗,防范问题日趋严峻:具WarroonResearch的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入;
入侵检测技术的现状及未来 【摘要】入侵检测能有效弥补传统防御技术的缺陷,近年来入侵检测系统已经成为网络安全的系统中的重要组成部分。本文在对当前主流入侵检测技术及系统进行详细研究分析的基础上,指出了入侵检测系统面临的问题和挑战。最后对入侵检测系统的未来发展方向进行了讨论,展望了应用人工智能技术的入侵检测系统、基于Android平台的入侵检测系统、基于云模型和支持向量机的特征选择方法等新方向。 【关键词】网络安全;入侵检测;异常检测;智能技术 0.引言 目前,在网络安全日趋严峻的情况下,解决网络安全问题所采用的防火墙、身份认证、数据加密、虚拟子网等一般被动防御方法已经不能完全抵御入侵。此时,研究开发能够及时准确对入侵进行检测并能做出响应的网络安全防范技术,即入侵检测技术(ID,Intrusion Detection),成为一个有效的解决途径。入侵检测作为一种积极主动地安全防护技术,已经成为网络安全领域中最主要的研究方向。 1.入侵检测概述 1.1入侵检测的基本概念 入侵检测(Intrusion Detection),即是对入侵行为的检测。入侵是指潜在的、有预谋的、未被授权的用户试图“接入信息、操纵信息、致使系统不可靠或不可用”的企图或可能性。它通过从计算机网络或计算机系统的关键点收集信息,并对收集到的信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。而入侵检测系统则是入侵检测的软件与硬件的组合。 1.2入侵检测系统的通用模型 1987年Dorothy E Denning[1]提出了入侵检测的模型,首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分:主体(Subjects)、对象(Objects)、审计记录(Audit Record)、活动档案(Active Profile)、异常记录(Anomaly Record )、活动规则(Activity Rules)。 2.入侵检测系统采用的检测技术 从技术上看,入侵可以分为两类:一种是有特征的攻击,它是对已知系统的系统弱点进行常规性的攻击;另一种是异常攻击。与此对应,入侵检测也分为两类:基于特征的(Signature-based即基于滥用的)和基于异常的(Anomaly-based,也称基于行为的)。
表面分析技术讲义 绪论 一、表面与表面科学 1. 表面与界面的定义 2.表面科学的三个组成部分 表面科学主要由表面物理、表面化学和表面分析技术三个方面所组成,是当前材料科学的前沿。 3.表面科学发展的三个阶段 (1)1947年以后(点接触二极管于1946年发明),人们开始认识到半导体表面的重要性,研究了干燥空气、湿空气、含臭氧空气等对锗表面的影响。此阶段证实了表面态的存在,但对它的来源仍不清楚。 (2)1957年前后,超高真空技术发展起来,已可以获得10-9Torr (1Torr=133.332 Pa)的真空度。通过解理、离子轰击、场致蒸发等方法可以获得一个清洁表面。人们注意力集中在清洁表面的原子排列,发现在表面原子存在重构或驰豫,并通过物理方法测量了表面的光、机、磁等特性,发现与体性质有明显的区别。此阶段仍处于唯象阶段。 (3)1968年Harris发现Auger电子能谱(AES)可以用来确定表面原子的化学态和成分。随后光电子能谱(XPS)、二次离子质谱(SIMS)等表面分析技术的相继出现,使人们可以了解表面几十个原子范围内和微区(1 m或更小)的成分和它们的化学态。60年代末期以来,随着计算机技术、电子测量技术和超高真空技术的发展,表面科学也以极其迅猛的速度发展。
二、表面科学研究领域 1.表面科学研究的领域 表面科学研究表面和与表面有关的过程,包括宏观的和微观的。近几十年来表面科学从原子水平来认识和说明表面原子的化学、几何排列、运动状态、电子态等性质及其与表面宏观性质的联系,推动了基础研究和新技术的发展。 表面科学是近代研究的重要领域,它有许多技术应用。例如: ①小于1 m的薄膜(半导体、绝缘体和金属膜等),具有复杂 的图案和结构,要求高纯和精确掺杂。 ②膜的内部和界面问题。通过离子溅射逐层剥离变成表面问 题,或在薄膜和界面形成过程中作为表面问题加以研究。 ③器件小型化带来的表面问题。 ④新型微波器件和集成光学器件中的超晶格技术的超晶格量 子现象及表面问题。 (1)纯表面科学 在10-8~10-11Torr真空度下研究单晶平滑晶面,单晶台阶面。主要是对Ge、Si、GaAs等半导体材料和Pt、W等金属材料的清洁表面进行研究。主要目的是发现清洁表面的特征,合适理论研究结果的正确程度。 (2)应用表面科学 在10-8~10-11Torr真空度范围内研究单晶、多晶、非晶材料的表面,其主要目的是分析怎样得到清洁表面或工业清洁表面,使产品的性能好,重复性好,成品率高,可靠性高。多精彩了得相界或晶粒间界的结构及特征以及纳米材料、梯度材料和各种复合材料等也属于这个领域。境界和相界同许多结构材料、敏感材料有关。两种材料的接触效应,吸附、氧化、外延、扩散、烧结、电迁移等也属于应用表面科学研究的范围。 (3)触媒实验 在10-0~10-2 Torr真空度下,用多晶、非晶和超微粒子来研究吸
. . .页脚第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
学年论文 题目:入侵检测技术现状分析与研究 学院专业级班 学生姓名学号 指导教师职称 完成日期
入侵检测技术现状分析与研究 【摘要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念 【关键词】IDS、协议、分析、网络安全
目录 第一章绪论 (1) 1.1入侵检测技术的背景 (1) 1.2入侵检测技术的应用与发展现状 (1) 第二章入侵检测技术 (1) 2.1入侵检测系统的分类 (1) 2.1.1基于主机的入侵检测系统 (2) 2.1.2基于网络的入侵检测系统 (2) 2.2入侵检测技术 (3) 2.2.1异常入侵检测技术 (3) 2.2.2误用入侵检测技术 (3) 第三章校园网中的分布式入侵检测分析 (4) 3.1 分布式入侵检测的设计思想 (4) 3.2 校园分布式入侵检测模式的分析 (4) 3.3 采用的入侵检测技术 (5) 第四章入侵检测系统的发展趋势 (7) 第五章总结 (8)
第一章绪论 1.1入侵检测技术的背景 随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来. 美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、 1.2入侵检测技术的应用与发展现状 在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的A TM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地"解释"协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算.所以说研究基于协议分析的入侵检测技术具有很强的现实意义. 第二章入侵检测技术 2.1入侵检测系统的分类 入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主
技术性分析概述 技术分析是以预测价格未来走势为目的,以图表形态、技术指标等为手段,对市场展开包括归纳、分析、排除、确认、比较、决策、验证等一系列的思维和研究。 技术分析的基本观点是:所有汇价的实际供需量及其背后起引导作用的种种因素,包括投资市场上每个人对未来的希望、担心、恐惧、猜测等,都集中反映在外汇的价格和交易量上,因而研究它们是最直接有效的。 技术分析是相对于基本面分析而言的。基本面分析法着重于对政局政策、经济情况、市场动态等因素进行分析,以此来研究外汇的价格是否合理;而技术分析则是透过图表或技术指标的记录,研究市场过去及现在的行为反应,以推测未来价格的变动趋势,其依据的技术指标是由汇价涨跌或成交量等数据计算而出的。技术分析只关心外汇市场本身的变化,而不考虑会对其产生某种影响的经济、政治等各种外部因素。 基本面分析的目的是为了判断汇价现行的价位是否合理并描绘出它长远的发展空间,而技术分析主要是预测短期内汇价涨跌的趋势。通过基本面分析我们可以了解应购买何种货币对,而技术分析则让我们把握具体购买的时机。在时间上,技术分析法注重短期分析,在预测旧趋势结束和新趋势开始方面优于基本面分析法,但在预测较长期趋势方面则不如基本面分析法。 技术分析和基本面分析都认为汇价是由供求关系所决定,但是基本面分析主要是根据对影响供需关系种种因素的分析来预测汇价走势,而技术分析则是根据汇价本身的变化来预测汇价走势;基本面分析研究市场运动的原因,而技术分析研究市场运动的效果。但是人们更关心的是如何预测汇价的未来趋势以及买卖汇价的适当时机,因而对技术分析情有独衷。 技术分析基于以下三个基本前提: 1、历史自我重复: 技术分析主体以及市场行为研究的大部分都与人类哲学研究有关。例如,在过去100多年里被辨识并加以分类的图表模式,反映了出现在价格图表上的某些标准图景。这些图景展现出市场牛市或熊市的心理状态。由于这些模式在过去运作良好,我们假定它们在将来也会继续如此。 表达这个前提的另一个方法是理解未来立基于对过去的研究这一关键,或者这个将来只是过去的重复。 2、价格活动是有趋向性的 趋向的概念对于技术分析来说至关重要。此处仍然如此:除非一个人接受市场实际上是存在趋向性的前提,否则就没有必要继续读下去了。将市场的价格行为制表的全部目的,就是为了辨识其发展早期的趋向,并以此趋向为依据。 此外,认识到处于运动中的趋向比颠倒的趋向更易持续是非常重要的。一个趋向在其改变方向之前会一直持续。这听起来是一个显而易见的概念,但这正是我们试图实现的。我们在寻找一个市场最
入侵检测技术综述 摘要:Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互 连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之 而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文从 专利文献的视角对入侵检测技术的发展进行了全面的分析与研究,总结了与入侵 检测技术相关的专利申请基本情况,介绍了入侵检测技术分支及其发展路线。 关键词:入侵检测,主机,网络,混合型。 1、概述 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对 安全解决方案的需求急剧增长。入侵检测是对防火墙及其有益的补充,入侵检测 系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系 统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵 攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增 强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第 二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部 攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通 过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中 是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组 合便是入侵检测系统(Intrusion Detection System,IDS)。一般而言,入侵检测通 过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前 及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵 检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 2、专利申请分析 2.1入侵检测技术专利申请年代分布 图2-1示出了入侵检测技术专利申请的年代分布情况,可见,入侵检测技术 在上个世纪九十年代已经出现了少量的专利申请,进入二十一世纪,入侵检测技 术专利申请逐年大幅递增,到了05、06年左右达到了一个极大值,从06年开始,往后的五年申请量逐渐减少,到了10年前后达到了一个极小值,随后又开始逐 年递增,并且在近三年达到了一个峰值,考虑到17年和18年存在部分专利尚未 公开的情况,该峰值或许还会增大。总体来说,近二十年入侵检测技术专利申请 量是逐年递增的,随着黑客技术的不断增强,入侵检测系统也在不断升级,这催 生了越来越多的专利申请。 2.2中国入侵检测专利年申请量分布 图2-2示出了入侵检测技术在中国专利申请年代的分布情况,从图中可知,2000年中国 才开始有关于入侵检测的专利申请,之后的十几年里,中国关于入侵检测技术的申请量逐年 递增且增幅明显,截止目前,尚有大量的专利申请未被公开,按照走向来看,2018年中国关 于入侵检测技术的专利申请量有望创造新的峰值。相比于欧美发达国家,中国的计算机技术 起步晚,因此在2000年前后才出现了关于入侵检测的专利申请,但是进入二十一世纪以后,
本文由♀皓月♂贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 入侵检测系统技术综述 自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果摘要:大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程.文章以历史和实践的观点$透视入侵和入侵检测技术相互制约,相互促进的演进过程. 关键词:关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1 、引言 自从计算机问世以来,安全问题就一直存在。特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。 2、概述 计算机网络技术的飞速发展极大地改变了人们的学习、工作以及生活方式。随着计算机及网络系统中存储的重要信息越来越多,系统的安全问题也显得E1益突出,我们需要尽可能找到更好的措施以保护系统免受入侵者的攻击,尽管已有许多防御技术,如防火墙,但它只是一种静态的被动的防护技术。要求事先设置规则。对于实时攻击或异常行为不能实时反应。无法自动调整策略设置以阻断正在进行的攻击。因而出现了入侵检测系统,它是一种动态的网络安全策略,能够有效地发现入侵行为和合法用户滥用特权的行为,它是P2DR(动态安全模型)的核心部分。 3、入侵检测系统产生及其发展 绝大多数入侵检测系统的处理效率低下,不能满足大规模和高带宽网络的安全防护要求。这就决定了当前的入侵检测系统在未来信息战中的作用是有限的。因为信息战中双方使用的网络进攻手段肯定是储备的、从未出现的新手段。即使检测到攻击,现有的入侵检测系统的响应能力和实时性也很有限,不能预防快速脚本攻击,对于此类恶意攻击只能发现和纪录,而不能实时阻止。国内只有少数的网络入侵检测软件,相关领域的系统研究也是刚刚起步,与外国尚有很大差距。目前,在入侵检测的技术发展上还是存在着以下主要缺陷:(1)网络安全设备的处理速度慢。(2)入侵检测系统的漏报率和误报率高。(3)入侵检测系统的互动性能差,整个系统的 安全性能低。 4、入侵检测系统的概论 4.1 入侵检测系统的概念 入侵检测系统(Intrusion Detection System,简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。 4.2 入侵检测系统的分类 入侵检测技术主要可以分成两类:异常入侵检测(Anomaly Detection)技术和误用人侵检测(Misuse Detec—tion)技术。 4.2.1 基于统计模型的异常入侵检测 1)基于阈值测量
入侵检测系统综述 对于任何一个国家、企业或者个人来说,随着计算机及网络的发展,网络安全问题是一个无法回避且重要的问题呈现在面前,很多非法分子或者合法用户的不当使用都会对网络系统造成破坏,针对这些行为要采用相应的技术进行制止或者预防,入侵检测技术成为解决该问题的最好方法之一。文章主要简综述了入侵检测系统的基本检测方法。 标签:入侵检测;入侵检测系统;误用检测;异常检测 1 入侵检测系统概述 随着计算机技术及网络技术的不断发展,计算机及数据的安全问题随之出现,传统的防火墙技术虽然可以进行有效的防御,但是由于其存在很多弊端,例如:很多外部访问不经过防火墙;来自计算机数据库内部的威胁等,防火墙就无能为力了,它并不能对已经进入计算机系统或者来自计算机数据库内部威胁进行检测;访问控制系统可以根据权限来防止越权行为,但是很难保证具有高级权限的用户对系统所做的破坏行为,也无法阻止低权限用户非法活动高级权限对系统所进行的破坏;漏洞扫描系统是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,然后根据扫描结果向用户提供系统的安全性分析报告,以便用户采取相应措施来提高网络安全。它虽然可以发现系统和网络漏洞,但无法对系统进行实时扫描,入侵检系统可以进行实时扫描。 发现入侵行为就是入侵检测。它通过从计算机网络或系统的核心点收集信息并对其进行分析,然后从其中看网络或系统中是否有违反安全策略的动作和被攻击的迹象。入侵检测目的是保证系统资源的可用性、机密性和完整性,要达到这个目的就要对系统的运行状态进行监视,以便发现各种攻击操作、攻击结果或者攻击动态。进行入侵检测的硬件与软件的组合构成了入侵检测系统,它能执行所有的入侵检测任务和功能,监视或阻止入侵或者企图控制系统或者网络资源的行为,它可以实时检测入侵者和入侵信息,并进行相应处理,最大化的保证系统安全。通过对系统各个环节来收集和分析信息,发现入侵活动的特征、对检测到的行为自动作出响应、记录并报告检测过程及结果是入侵检测系统的基本原理的四个部分。 入侵检测系统从系统结构看,至少包括信息源、分析引擎和响应三个功能模块。信息源的功能是分析引擎提供原始数据今夕入侵分析,信息源的正确性和可靠性直接影响入侵检测的效果,要使检测网络系统软件具有完整性,必须使IDS 软件自己有很强的坚固性;分析引擎的功能是执行入侵或者异常行为检测;分析引擎的结果提交给响应模块后,响应模块采取必要和适当的措施,阻止入侵行为或回复受损害的系统。分析引擎包括完整性分析、模式匹配和统计分析。响应可分为主动响应和被动响应。主动响应就是系统自动或者以用户设置的方式阻断攻击过程或以其他方式来阻断攻击过程;被动响应是系统只报告和记录发生的事件。响应包括简单报警、切断连接、封锁用户、改变文件属性,最大的反应就是
电脑编程技巧与维护 网络入侵检测技术综述 谭兵1。吴宗文2。黄伟 (1.重庆大学软件学院,重庆400044;2.成都军区78098部队装备部,崇州611237) 摘要:入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词:入侵检测;异常检测:误用检测 NetworkIntrtmionDetectionTechnology TANⅨn矿,WU历耐.HUANGWei (1.TheSchoolofSoftwareEngineering,ChongqingUniversity,Chongqing400044; 2.Chengdumilitaryregion78098armylogisticsdepartments,Chongzhou611237) Abstract:Theworkinthecomputernetworkintrusiondetectionsystem,akeynode.Thispaperintroducesthebasicconceptsofintrusiondetection,describedtwotypesofbasicdetectiontechnology,intrusiondetectionarediscussedindetail theprocessandtesttechnology challenges andtrends。 Keywords:Intrusiondetection;Anomalydetection;Misusedetection 入侵检测(IntrusionDetection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵一非法用户的违规行为;滥用—用户的违规行为。 对于入侵检测的使用,人们总会问这样一个问题。如果已经安装了防火墙,给操作系统打了补丁,并为安全设置了密码,为什么还要检测入侵呢?答案非常简单:因为入侵会不断发生。举个例子,就像人们有时候会忘记锁上窗户,人们有时也会忘记正确的升级防火墙规则设置。 即使在最高级别的保护措施下,计算机系统也不是百分之百的安全。实际上,大多数计算机安全专家认为,既定的用户要求属性,如网络连接,还未能达到成为百分之百安全系统的要求。因此,必须发展入侵检测技术及系统以便及时发现并对计算机攻击行为做出反应。 l入侵检测发展 起初,系统管理员们坐在控制台前监控用户的活动来进行人侵检测。他们通过观察,例如在本地登录的闲置用户或非正常激活的闲置打印机。尽管上述方法不是足够有效的,但这一早期入侵检测模式是临时的且不可升级。 入侵检测的下一步涉及到审计日志。审计日志即系统管理员所记录的非正常和恶意行为。 在上世纪70年代末和80年代初,管理员将审计日志打印在扇形折纸上,平均每周末都能累积四到五英尺高。很明显,要在这一堆纸里进行搜索是相当耗费时间的。由于这类 本文收稿日期:2009—11-12 —110~信息量过于丰富且只能手动分析,所以管理员主要用审计日志作为判据,以便在发生特别安全事件后,确定引起这一事件的原阂。基本上不可能靠它发现正在进行的攻击。 随着存储器价格的降低,审计日志转移到网上且开发出了分析相关数据的程序。然而,分析过程慢且需频繁而密集计算,因此,入侵检测程序往往是在系统用户登录量少的夜间进行。所以,大多数的入侵行为还是在发生后才被检测到。 90年代早期,研究人员开发出了实时入侵检测系统,即对审计数据进行实时评估。由于实现了实时反应,且在一些情况下,可以预测攻击,因此,这就使攻击和试图攻击发生时即可被检测到成为可能。 近年来,很多入侵检测方面的努力都集中在一些开发的产品上,这些产品将被用户有效配置在广大网络中。在计算机环境不断持续变化和无数新攻击技术不断产生的情况下,要使安全方面也不断升级是个非常困难任务[1l。 2分类 目前,入侵检测技术可基本分为3类:异常检测、误用检测和混合检测。异常检测是假定所有入侵行为都是与正常行为不同的;误用检测是根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中的各种攻击模式的比较确定是否有入侵发生;混合检测模型是对异常检测模型和误用检测模犁的综合。文中详细介绍异常检测和误用检测。2.1异常检测模型 异常检测利用用户和应用软件的预期行为。将对正常行为的背离作为问题进行解释。异常检测的一个基本假设就是攻击行为异于正常行为。例如,对特定用户的日常行为(打字和数量)进行非常准确的模拟,假定某用户习惯上午lO点左右登录,看邮件,运行数据库管理,中午到下午i点休息,有极少数文件的存取出现错误等等。如果系统发现相同的用 万方数据