维普资讯 http://www.cqvip.com ・网络通讯与安全・・・・・・ 电脑知识与技术 入侵检测系统与技术研究 罗峰 (济宁师专计算机科学系,山东济宁273100) 摘要:随着网络技术的发展,传统的安全技术已经不能满足需要。入侵检测作为主动防御技术不但能检测外来的攻击还能检测来自 内部的入侵。本文介绍了入侵检测技术以及它的来源和发展方向。 关键词:网络安全;入侵检测 中图分类号:TP393 文献标识码:A 文章编号:1009—3044(2006)17—0061—03 The Study for Distributed Intrusion Detection System and Technology -LUO Feng (Department of Computer Science ofJining Normal Co ̄ege,Ji ̄ng 273100,Cmn ̄) Abstract:raditional security technology can not satisfy the need of hte systems as the network develops SO fast.Intrusion dececdon——一a sort of iniuatve security technology can detecte the intrusion not only m out but also fi-om in.This paper introduces intrusion detection technolo- gy,its origin and ist future development. Key WOrds:Network safety;Intrusion detection 1引言 入侵检测实际上是一种信息识别与检测技术.因此.传统的 随着计算机技术的发展.在计算机上处理的业务也由基于单 信息识别技术也应用到入侵检测中来.但入侵检测比一般的信息 机的数算、文件处理,基于简单连接的内部网络业务处理、办 识别有更强的上下文和环境相关性。入侵分析是入侵检测的核 公自动化等发展到基于企业复杂的内部网(Intranet)、企业外部网 心.入侵检测技术主要研究的就是对入侵行为的分析和判定.即 (Extranet)、全球互联网(Intemet)的企业级计算机处理系统和全世 入侵分析技术。目前主要的入侵检测技术有: 界范围内的信息共享和业务处理。在系统处理能力、系统的连接 (11基于统计方法的入侵检测技术; 能力不断提高的同时.基于网络连接的系统安全问题也日益突 f2)基于神经网络的入侵检测技术; 出。 (31基于专家系统的入侵检测技术; 为信息的安全实施的防护技术中有防火墙技术、加密型安全 f4)基于模型推理的入侵检测技术。 技术、漏洞扫描技术等。其中防火墙是近年发展起来的一种重要 上述的检测技术各有优缺点.并不能彻底的解决入侵检测问 的安全技术.其特征是通过在网络边界上建立相应的网络通信监 题.所以最好是综合利用各种检测技术以强化系统的安全程度。 控系统,尽可能的对外部网络屏蔽有关被保护网络的信息、结构, 4入侵检测方法的分类 达到保障网络安全的目的。加密型安全技术是利用现代的数据加 入侵检测的方法主要有两种:误用检测(Misuse Detection)和 密技术来保护网络系统中包括用户数据在内的所有数据流.这类 异常检测(Anomaly Detection)。 方法在数据传输过程中不对所经过的网络路径的安全程度作要 f1)误用检测:是指运用已知的攻击方法,根据已定义好的入 求.从而真正实现网络通信过程的端到端的安全保障。漏洞扫描 侵模式,通过判断这些入侵模式是否出现来检测。因为很大一部 是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端 分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条 口,并记录目标的响应,收集关于某些特定项目的有用信息。这项 件、排列以及事件间关系能具体描述入侵行为的迹象。这种方法 技术的实现就是安全扫描程序。 由于依据具体特征库进行判断,所以检测准确度很高,并且因为 但是这些安全技术都是被动的.绝大多数情况需要人为的参 检测结果有明确的参照.也为系统管理员作出相应措施提供了方 与才能发现未知的安全问题.这就使得它们对新出现的安全问题 便。主要缺陷在于与具体系统依赖性太强,不但系统移植性不好, 总是反映太慢。而且,这些安全措施多是针对外来安全威胁。对于 维护工作量大.而且将具体入侵手段抽象成知识也很困难。并且 系统内部的攻击却束手无策。一个更为有效的解决途径就是入侵 检测范围受已知知识的局限.尤其是难以检测出内部人员的入侵 检测。 行为。 2入侵检测的概念 误用检测主要有三种模型:专家系统、模型推理、状态转换分 入侵(Intrusion)定义为:任何尝试破坏资源的完整性、机密性 析模型。 和可行性的行为。 f21异常检测:是指根据使用者的行为或资源使用情况来判断 入侵检测(Intrusion Detection):是指发现非授权使用计算机 是否入侵.而不依赖于具体行为是否出现来检测。异常检测与系 的个体或计算机系统的合法用户滥用其访问系统的权利以及企 统相对无关.通用性较强。它甚至可以检测出未出现过的攻击方 图实施上述行为的个体。也可以更具体的定义为:发现、跟踪并记 法,不像误用检测受已知脆弱性的。但因为不可能对整个系 录计算机系统或计算机网络中的非授权行为.或发现并调查系统 统内的所有用户行为进行全面的描述.况且每个用户的行为不是 中可能为试图入侵或病毒感染所带来的异常活动。 固定不变的,所以它的主要缺陷在于误报率较高。尤其在用户数 3入侵检测技术的分类 目众多.或工作目的经常改变的环境中。其次由于统计简表要不 收稿日期:2006—03-24 作者简介:罗峰(1978-),男,山东济宁市人。 61 维普资讯 http://www.cqvip.com 电脑知识与技术 断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢 慢地训练检测系统以至于最初认为是异常的行为,经一段时间训 练后也认为是正常的了。 一・・・・・・网络通讯与安全・ 的趋势,那么,现有IDS如何适应和利用未来的新网络协议将是 个全新的问题。 6.2大规模分布式的检测技术 异常检测的方法主要有两种:概率统计方法和神经网络方 法。 传统的集中式IDS的基本模型是在网络的不同网段放置多 个探测器收集当前网络状态的信息,然后将这些信息传送到 5入侵检测系统的分类 入侵检测系统根据其检测数据来源分为两大类:基于主机的 入侵检测系统(Host—based IDS)和基于网络的入侵检测系统(Net. work—based IDS)。 控制台进行处理分析。这种方式存在明显的缺陷。首先,对于大规 模的分布式攻击,控制台的负荷将会超过其处理极限,这种 情况会造成大量信息处理的遗漏,导致漏警率的增高。其次,多个 探测器收集到的数据在网络上的传输会在一定程度上增加网络 负担,导致网络系统性能的降低。再者,由于网络传输的时延问 题.控制台处理的网络数据包中所包含的信息只反映了探测 器接收到它时网络的状态,不能实时反映当前网络状态。 fl1基于主机地入侵检测系统的检测目标是主机系统和系统 本地用户.原理是根据主机的审计数据和系统日志发现可疑事 件。该系统通常运行在被检测的主机或者服务器上,实时检测主 机安全性方面诸如操作系统日志文件、审核日志文件、应用程序 日志文件等的情况.其效果依赖于数据的准确性以及安全事件的 定义。可见这种类型的IDS是利用主机操作系统及应用程序的审 核踪迹作为输入的主要数据源来检测入侵。基于主机的入侵检测 系统被设计成检测IDS代理所驻留的宿主机。 基于主机的入侵检测系统具有检测率高,分析代价小,分 析速度快的特点.能够迅速并准确地定位入侵者,并可以结合操 作系统和应用程序的行为特征对入侵进行进一步分析、响应。但 也有其不足之处:首先它一定程度上依赖于系统的可靠性,它要 求系统本身应该具备基本的安全功能并具有合理的设置,然后才 能提取入侵信息:即使进行了正确地设置,对操作系统熟悉的攻 击者仍然有可能在入侵行为完成后及时地将系统日志抹去.从而 不被发觉;并且主机的日志能够提供的信息有限.有的入侵手段 和途径不会在日志中有所反映,日志系统对网络层的入侵行为无 能为力。在数据提取的实时性、充分性、可靠性方面基于主机日志 的入侵检测系统不如基于网络的入侵检测系统。 (2)基于网络的入侵检测系统搜集来自网络层的信息。这些信 息通常通过嗅包技术,使用在混杂模式的网络接口来获得。理论 上网络监视可以获得所有的网络信息数据,它在没有特定的审计 或日志机制的情况下也可以获得数据;只要事件允许,可以在庞 大的数据堆中提取和分析需要的数据;可以对一个子网进行检 测,一个监视模块可以监视同一网段的多台主机的网络行为:可 以通过增加代理来监视网络,不会影响现存的数据源,不改变系 统和网络的工作模式,也不影响主机性能和网络性能;处于被动 接受方式,很难被入侵者发现,隐蔽性好;可以从底层开始分析, 对基于协议攻击的入侵手段有较强的分析能力。 基于网络的入侵检测系统的主要问题是监视数据量过于庞 大,并且它不能结合操作系统特征来对网络行为进行准确的判 断;如果网络数据被加密,IDS就不能扫描协议或内容。 6入侵检测的主要发展方向 随着网络技术和网络规模的不断发展,人们对于计算机网络 的依赖也不断增强。与此同时.针对网络系统的攻击越来越普遍, 攻击手法日趋复杂。IDS也随着网络技术和相关学科的发展而日 趋成熟,其未来发展的趋势主要表现在以下方面。 6.1宽带高速实时的检测技术 大量高速网络技术如ATM、千兆以太网等近年里相继出现. 在此背景下的各种宽带接人手段层出不穷。如何实现高速网络下 的实时入侵检测已经成为现实面临的问题。目前的千兆IDS产品 其性能指标与实际要求相差很远。要提高其性能主要需考虑以下 两个方面:首先,IDS的软件结构和算法需要重新设计.以期适应 高速网的环境,提高运行速度和效率;其次,随着高速网络技术的 不断发展与成熟.新的高速网络协议的设计也必将成为未来发展 面对以上问题,新的解决方法也随之产生,例如普渡大学开 发的AAFID系统,该系统是Purdue大学设计的一种采用树形分 层构造的代理群体,最根部的是监视器代理,提供全局的控制、管 理以及分析由上一层节点提供的信息.在树叶部分的代理专门用 来收集信息。处在中间层的代理被称为收发器,这些收发器一方 面实现对底层代理的控制,一方面可以起到信息的预处理过程, 把精练的信息反馈给上层的监视器。这种结构采用了本地代理处 理本地事件,代理负责整体分析的模式。与集中式不同,它强 调通过全体智能代理的协同工作来分析入侵策略。这种方法明显 优于前者,但同时带来一些新的问题,如代理间的协作、代理间的 通信等。这些问题仍在进~步研究之中。 6.3数据挖掘技术 操作系统的日益复杂和网络数据流量的急剧增加,导致了审 计数据以惊人速度剧增,如何在海量的审计数据中提取出具有代 表性的系统特征模式,以对程序和用户行为作出更精确的描述, 是实现入侵检测的关键。 数据挖掘技术是一项通用的知识发现技术.其目的是要从海 量数据中提取对用户有用的数据。将该技术用于入侵检测领域, 利用数据挖掘中的关联分析、序列模式分析等算法提取相关的用 户行为特征,并根据这些特征生成安全事件的分类模型,应用于 安全事件的自动鉴别。一个完整的基于数据挖掘的入侵检测模型 要包括对审计数据的采集,数据预处理、特征变量选取、算法比 较、挖掘结果处理等一系列过程。这项技术难点在于如何根据具 体应用的要求,从用于安全的先验知识出发.提取出可以有效反 映系统特性的特征属性,应用适合的算法进行数据挖掘。另一技 术难点在于如何将挖掘结果自动地应用到实际的IDS中。目前, 国际上在这个方向上的研究很活跃,这些研究多数得到了美国国 防部高级计划署、国家自然科学基金的支持。但我们也应看到,数 据挖掘技术用于入侵检测的研究总体上来说还处于理论探讨阶 段,离实际应用还有相当距离。 6.4更先进的检测算法 在入侵检测技术的发展过程中,新算法的出现可以有效提高 检测的效率。以下三种机器学习算法为当前检测算法的改进注入 新的活力。它们分别是计算机免疫技术、神经网络技术和遗传算 法。 计算机免疫技术是直接受到生物免疫机制的启发而提出的。 生物系统中的脆弱性因素都是由免疫系统来妥善处理的,而这种 免疫机制在处理外来异体时呈现了分布的、多样性的、自治的以 及自修复的特征.免疫系统通过识别异常或以前未出现的特征来 确定入侵。计算机免疫技术为入侵检测提供了一下思路.即通过 正常行为的学习来识别不符合常态的行为序列。在这方面已经作 了若干研究工作,仍有待于进一步深入。 维普资讯 http://www.cqvip.com ・网络通讯与安全・・・・・・ 参考文献: 电脑知识与技术 【1]Denning D E.An Intrusion Detection Model[J].IEEE Trans- action on Software Engineering 1987.SE一13:222—232. 神经网络技术在入侵检测中研究的时间较长,并在不断发 展。早期的研究通过训练向后传播神经网络来识别已知的网络入 侵,进一步研究识别未知的网络入侵行为。今天的神经网络技术 已经具备相当强的攻击模式分析能力,它能够较好地处理带噪声 的数据.而且分析速度很快,可以用于实时分析。现在提出了各种 【2]Chen SS,Cheung S,Dilger M,eta1.GRIDS-A Gragh-based Intrusion Detection System for Large Network【R].Baltimore,MD:The 19th National Information systems Security Conference,1996. 【3】蒋建春,冯登国著.网络入侵检测原理与技术,2001:35—36. f4】H.S.Javi ̄and A.Vaides.The nnides statisticla componet:de. 其他的神经网络架构诸如自组织特征映射网络等,以期克服后向 传播网络的若干性缺陷。 遗传算法在入侵内检测中的应用时间不长,在一些研究试验 中.利用若干字符串序列来定义用于分析检测的指令组。用以识 别正常或者异常行为的这些指令在初始训练阶段中不断进化,提 scription and justiifcation[R].In Technical Repo ̄,Computer Science Laboratory,SRI International,1993. 高分析能力。该算法的应用还有待于进一步的研究。 6.5入侵响应技术 当IDS分析出入侵行为或可疑现象后,系统需要采取相应手 【51E.Eskin. Anomaly detection orve noisy data using learned probability distributions[R].Proceedings of the International Confer- ence on Machine Learning,2000. [6】R.nojs.aNeurla Networks—A systematic introduction【R]. Springer,Berlin,1 996. 段。将入侵造成的损失降到最小程度。一般可以通过生成事件告 警、E—mail或短信息来通知管理员。随着网络的13益复杂和安全要 [7]Alexander Hinneburg and Daniel A.Keim.Clustering methods ofr large databases:From the past to the future【R】.In Alex Delis, Christos Faloutsos,nd Shahram Ghandeharaizadeh,editors, SIGMOD 1999,Proceedings ACM SIGMOD International Conference on Man- 求的提高,更加实时的和系统自动入侵响应方法正逐渐被研究和 应用。这类入侵响应大致分为三类:系统保护、动态策略和攻击对 抗。这三方面都属于网络对抗的范畴,系统保护以减少入侵损失为 目的,动态策略以提高系统安全性为职责.而入侵对抗则不仅可以 实时保护系统,还可实现入侵跟踪和反入侵的主动防御策略。 agement of Data, June l-3,1999,Philadephia,Pennsylvania,USA. ACM Press.1999. 总之,入侵检测技术作为当前网络安全研究的热点,它的快 速发展和极具潜力的应用前景需要更多的研究人员参与。IDS只 有在基础理论研究和工程项目开发多个层面上同时发展。才能全 【8]K.Fukunaga.Introduction to Statistical Patten Recognirtion, econd SEdition[R1.Academic Press。Boston,MA,1990. 【9]Lee,W.,&Stolfo,S…J Data mining Approaches for intrusion detection.【R].In Proceedings of the Seventh USENIX Security Sym・ posium,1998. 面提高整体检测效率。 f上接第57页1 在Windows NT,2 一P系统下有两种方法: PE(Portblae Executblae)格式的。所有向其他操作系统组件提供接 口的驱动程序都有Export le.因此只要修改NDIS.SYS的Ex. port 1ralble就可以实现对关键NDIS API的挂接;(2)向系统注册假 协议(fake protoco1)。在Windows内核中。所有已注册的协议是通 过一个单向的协议链表来维护的。这个单向链表保存了所有已注 册协议的NDIS—PROTOCOL BLOCK结构的地址,在这个结构中 保存了协议驱动所指定的相应的派发函数的地址如RE. CEIVEHANDLER等。并且,每个协议驱动还对应一个 —种是和Vxd技术非常类似的技术.在Windows NT/2000 下,同样有着系统设备驱动程序,和Windows 9x不一样的是,NT/ 2000下的设备驱动程序结构很规范。文件系统的设备驱动程序和 其他设备的设备驱动程序是非常类似的。所以编写实时监视的驱 动程序时只要编写一个普通的输入输出系统设备即可。 另外一种方法是一种变通的技术。已知对文件系统的访问最 后都是要通过Vxd进行的,但是在进行Vxd调用之前.会通过 DLL的函数CreateFile等进行调用。如果修改CreateFile函数的地 ..NDISOPEN——BLOCK的单向链表来维护其所绑定的网卡信息。当 址为杀毒软件内部的某个地址,这样所有的文件系统调用都会首 先通过杀毒软件的监视。 4.3 Netware下的病毒防火墙 协议驱动调用NdisRegisterProtocol之后。NDIS总是会把新注册的 协议放在协议链表的表头并返回这张表。所以只要注册一个新的 协议通过新协议注册返回的链表头就可以轻而易举的遍历系统 中所有协议表。 Netware操作系统下同样可以实现病毒防火墙。在Netware操 作系统下面,应用程序是以Netware可加载模块(NLM)的形式存 在的。NLM可以使用Watcom C++语言开发。开发Netware环境下 的病毒防火墙最大的问题是:Netware环境下开发工具简陋.特别 是调试环境非常难以建立;Netware环境是以性能为第一设计考 虑的,所以基本上没有采取内存保护措施,这样的环境下,设计的 4不同操作系统下的防火墙应用 4.1 Windows 9x下的病毒防火墙 最初基于VxD的防火墙技术的应用就是Windows 9x系统平 台下。VxD即用作Windows 9x系统和物理设备之间的接口 在该 种系统平台下,普通应用程序对系统资源进行直接访问的许多操 作是受到的。应用程序通过使用动态加载的VxD,间接获得 了对Windows 9x系统的控制权。 Windows 9x系统下有众多的VxD.每个VxD可提供4种服 NLM程序稍有不慎就会造成整个操作系统的崩溃。 参考文献: 【l】朱传靖.知者无畏:一个真实的病毒世界【M】.北京:金城出版 社.2002. 务,即PM(保护模式)API、V86(虚拟86)API、Win32服务和VxD服 务,前3种分别供应用程序在l6位保护模式、V86模式以及32 位保护模式下调用,VxD服务则只供其他VxD使用用户开发的 『21戚文静,刘学.网络安全原理与应用『M1.北京:中国水利水电 出版社.2005. 【3】中国软件网.VxD技术及其在实时反病毒中的应用.http:// WWW.soft6.com/know/detail.asp?id=BAAEEJ,20o3一l0一l9. VxD可提供任意上述服务。除此之外,应用程序还可通过调用API 函数DeviceloControl与支持IOCTL接口的VxD进行通信.执行 f4】林涛.网络安全与管理『M】.北京:电子工业出版社,2005. f51V.V.Pree ̄am.Internet安全与防火墙fM1.北京:清华大学出 版社.20o4. ・ Win32API不支持的系统低级操作。 4.2 Windows NT,2 P下的病毒防火墙
