提要 本文介紹入侵及入侵檢測的概念,分析各種入侵檢測技術與特點。
關鍵詞:入侵;異常數據;入侵檢測
中圖分類號:F49 文獻標識碼:A
近年來,計算機網絡的高速發展和應用,使網絡安全的重要性也日益增加。如何識別和發現入侵行為或意圖,並及時給予通知,以采取有效的防護措施,保證係統或網絡安全,這是入侵檢測係統的主要任務。
一、入侵及入侵檢測
入侵是指任何企圖危及計算機係統資源的完整性、機密性和可用性或試圖越過計算機或網絡安全機製的行為。入侵不僅包括發起攻擊的人取得超出合法範圍的係統控製權,也包括收集漏洞信息,造成拒絕服務等對計算機係統造成危害的行為。入侵檢測顧名思義,是對入侵行為的發覺,它是為保證計算機係統的安全而設計與配置的一種能夠及時發現並報告係統中未授權或異常現象的技術,是一種用於檢測計算機網絡中違反安全策略行為的技術。
二、入侵檢測係統的分類
入侵檢測係統的任務是在所提取到的大量檢測數據中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測規則進行比較,以判斷是否發生入侵行為。一方麵IDS需要盡可能多地提取數據以獲得足夠的入侵證據;另一方麵由於入侵行為的多變性和複雜性而導致判定入侵的規則越來越複雜。
對於入侵檢測係統,可以根據所采用的審計數據源、檢測策略、檢測的實時性、對抗措施、體係結構等方麵進行不同的分類。(1)依據審計數據源的不同可將IDS分為基於網絡的IDS與基於主機的IDS;(2)從入侵檢測的策略來看,可以分為濫用檢測與異常檢測;(3)按IDS處理數據的實時性,可以分為實時檢測與事後檢測;(4)從入侵檢測係統的對抗措施來看,可以分為主動係統與被動係統;(5)從入侵檢測係統的體係結構來看,可以分為集中式係統與分布式係統。
三、入侵檢測主要研究技術
目前,在IDS研究領域的主要研究方向包括IDS的性能評價、IDS集成中通用的通訊格式、麵向大規模分布式網絡的IDS框架以及采用一些最新的智能技術來識別新型未知攻擊。IDS檢測技術主要包括:專家係統技術、統計分析、狀態轉換分析、神經網絡、生物免疫學、智能代理檢測技術、模糊技術、數據挖掘、模式匹配技術等。
1、專家係統技術。它是最早的濫用檢測方法之一,主要針對濫用檢測,也有用於異常入侵檢測的。基於專家係統技術的入侵檢測係統,其優點是將係統的推理過程和知識庫分離,用戶隻需要解決對問題的描述,不需理解係統的求解過程而達到求解的目的;但也存在著缺點,如係統自適應能力差、對未知攻擊無能為力、執行效率低等。
2、統計分析。它是在異常檢測中使用最早和最普遍的技術。它的優點是可以“學習”用戶或係統的使用習慣,具有較高的檢測率和可用性,它不需維護攻擊模式庫,隻需挑選特定的統計量建立模型。缺點是檢測的實時性不好,不能反映事件在時間順序上的前後相關性,統計量和閾值選擇上也存在一定困難。