提前确定系统是否存在已知漏洞,做到“防范于未然”,以建立前摄性的、而不仅仅是响应式的安全防御体系。
基于其它方法的入侵检测技术主要有:利用专家系统进行入侵检测,其主要是将有关的入侵知识组织成知识库,再利用推理引擎进行检测。但是这种技术主要缺点在于知识的组织困难。利用数据挖掘进行入侵检测,数据挖掘是数据库的一项技术,它的作用从大型数据库中抽取知识,这和分析日志的行为相近。通过数据挖掘程序搜集到审计数据,为各种入侵行为和正常操作建立精确的行为模式。
除专家系统、数据挖掘技术之外,还有神经网络,模糊系统,遗传算法等。但是这些方法都有一定的缺点。
入侵检测系统的由来及发展过程
在 IDS 尚未出现时,网络安全管理人员主要依靠人工阅读网络日志来分析是否有网络入侵事件的发生。随着网络的发展,FBI/CSI的统计数字表明入侵和攻击的模式发生了变化。在2003年,70%的攻击主要来自于外部网络,另30% 的攻击来自于内部。从而促使网络安全领域对网络入侵检测技术进行研究,并提出了IDS。由干硬件发展的飞速发展,使得IDS对网络通讯可以进行实时检测和实时报等,形成目前的IDS模式。
入侵检测系统的关键技术
1.基于行为的入侵检测技术
基于行为的入侵检测技术主要依靠统计的方法来实现对入侵行为的检测。它
通过统计网络的日常行为建立一个模型,该模型由各项表示正常行为的统计数字组成。例如:在某一段时间内登录某台主机失败次数。在很短时间内重复发生登录某台主机口令出错的次数等。符合这个模型的网络行为即视为正常,不符合的即视为入侵行为。
这种入侵检测检测技术的缺点主要在于模型的建立非常困难。建立模型需要花费一定的时间,而且该入侵检测技术会造成误报等。为解决误报警问题,需要根据网络的实际使用情况对各种设定的统计值进行不断的调节。
2. 基于知识的入侵检测技术
基于知识的入侵检测技术主要通过应用已有的知识对入侵行为的标志进行识别,从而判断网络中是否有入侵行为的发生川。这些标志主要包括:对一个敏感主机的登录失败次数;对一个数据的一些标志位的设置是否符合RFC标准:以及数据包的内容是否与某个已知攻击方法的特征代码相符合等。
11
基于知识的入侵检侧技术具有较高的准确度,但是它的缺点就是在于对系统的性能要求高,而且只能检测到目前已知的攻击方法,对于未知的攻击方法没有检测能力。
3. 基于其它方法的入侵检测技术
网络安全领域人员经过研究后发现,目前任一种安全技术都不可能实现真正
意义上的网络。据此他们提出了下一代入侵防御系统的发展方向:即基于时间线的入侵防御系统。
时间线是在时间次序上对网络入侵行为进行分析的工具。它分为三个部分:入侵前期、入侵时间零点和入侵后处理,各个部分又分成若干子部分。基于时间线的入侵防御研究是通过对各种网络安全技术分析,分析上它们在时间线上所处的位置,从而从宏观把握各项安全技术的作用范围及相互之间的关系。根据时间线的三个部分,对各项安全技术划分成三个部分:第一部分是针对入侵前期,这类技术主要分为三个类,一类是安全规章制度,安全策略的配置等,第二类是对网络进行当前已知的各项漏洞进行检测,第三类是通过专人对网络进行实际的入侵检测厂这部分的技术的主要目的是预先评估和增强网络的安全性,减少被入侵的可能性。第二部分是针对入侵时间零点,这部分的安全技术要针对的是正在进行的入侵活动,它又分成二类。第一类是诸如防火墙的访问控制技术和本文以上所介绍的IDS和IPS系统。它们是在当入侵活动发生时,及时检测和阻止入侵活动。第三部分即是入侵后处理技术,这一部分有安全事件管理系统和安全信息管理技术,以及对入侵造成的破坏的恢复技术。
通过对时间线分析,可以发现,当前的各项安全技术在时间线大都是离散的,也即它们在时间线上的作用范围有限。通过对IDS,IPS的系统性能的分析不难发现,入侵行为的检测的难点在于IDS/IPS系统可利用的信息太少,从而造成IDS,IPS对入侵行为的漏报和误报。针对这种情况,研究人员提出新一代的入侵防御技术:基于时间线的入侵防御技术。它主要的目的就是将目前在时间线上离散的各项安全技术综合起来,实现一种新的安全系统,该系统使用的安全技术在时间线上的作用范围是连续的,也即其中每项安全技术具有对其它安全技术的反馈作用。它主要具有以下特点:入侵前期的各项技术如安全策略配置等,可以利用它们的信息对入侵零点检测技术如IDS/IPS 系统进行配置,从而提高这类技术对入侵行为检测的准确度。而且该配置过程可以实现连续和自动化。
同样这类的安全评估信息也可以用子入侵后处理技术,如SIM/邻M,可以增加它们对事件关联性的分析能力。入侵后处理技术如SIM/SEM,它们产生的信息可以自动应用到IDS.IPS系统中,增强它们对新的入侵方法的反应能力。并可以实现对入侵前期技术如安全策略配置等技术中,实现对策略的更新。
12
第三章 入侵检测系统概述
3.1 入侵检测系统的发展
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
第四章 入侵检测技术
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统
4.1 异常入侵检测技术
异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
4.2 误用入侵检测技术
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,代写留学生论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的
13
攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。 误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
第五章 入侵防御技术
5.1 入侵防御协同技术
入侵检测技术的演进。
入侵检测系统(IDS, Intrusion Detection System)是近十多年发展起来的新一代安全防范技术,它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。IDS产品被认为是在防火墙之后的第二道安全防线在攻击检测、安全审计和监控等方面都发挥了重要的作用。
但在入侵检测产品的使用过程中,暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出,并且严重影响了产品发挥实际的作用。Gartner在2003年一份研究报告中称入侵检测系统已经“死”了。Gartner认为IDS不能给网络带来附加的安全,反而会增加管理员的困扰,建议用户使用入侵防御系统(IPS, Intrusion Prevention System)来代替IDS。Gartner公司认为只有在线的或基于主机的攻击阻止(实时拦截)才是最有效的入侵防御系统。
14
从功能上来看,IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限,一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉
或采取措施将攻击源阻断。因此,从实用效果上来看,和IDS相比入侵防御系统IPS向前发展了一步,能够对网络起到较好的实时防护作用。
近年来,网络攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析,目前对网络的攻击有70%以上是集中在应用层,并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果,比如用户帐号丢失和公司机密泄漏等。因此,对具体应用的有效保护就显得越发重要。从检测方法上看,IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等技术。这些检测技术的特点是主要针对已知的攻击类型,进行基于攻击特征串的匹配。但对于应用层的攻击,通常是利用特定的应用程序的漏洞,无论是IDS还是IPS都无法通过现有的检测技术进行防范。
为了解决日益突出的应用层防护问题,继入侵防御系统IPS之后,应用入侵防护系统(AIP,Application Intrusion Prevention)逐渐成为一个新的热点,并且正得到日益广泛的应用。
5.2入侵防御协议设计
对应用层的防范通常比内网防范难度要更大,因为这些应用要允许外部的访
问。防火墙的访问控制策略中必须开放应用服务对应的端口,如web的80端口。这样,黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计,所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足,对特定应用进行有效保护。
所谓应用入侵防护系统AIP,是用来保护特定应用服务(如web和数据库等应用)的网络设备,通常部署在应用服务器之前,通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。
在对应用层的攻击中,大部分时通过HTTP协议(80端口)进行。在国外权威机构的一次网络安全评估过程中发现,97%的web站点存在一定应用协议问题。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范,但其应用层的漏洞仍可被利用进而受到入侵和攻击。因此对于web等应用协议,应用入侵防护系统AIP应用比较广泛。通过制订合理的安全策略,AIP能够对以下类型的web攻击进行有效防范: 恶意脚本 Cookie投毒 隐藏域修改 缓存溢出 参
15