误用模式数据库进行比较,从而发现违背安全策略的行为。统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。
3.3.2 入侵检测分类
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。根据不同的检测方法,将入侵检测分为异常入侵检测和误用人侵检测。 (一)异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面: (1) 特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。 (2) 参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。 (二)误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和
15
表示。首先,对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析、误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和 应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。
3.3.3入侵检测系统
入侵检测就是通过对系统数据的分析、发现非授权的网络访问和攻击行为, 然后采取报警、切断入侵线路等对抗措施。为此目的而设计的系统称为入侵检测 系统。一个简单的入侵检测系统,如图3-4所示。
图3-4简单的入侵检测系统
图3-7所示入侵检测系统的基本任务:通过实时检测网络系统状态,判断入侵行为发生,并产生报警。从功能实现的角度可以把这个系统划分为三大模块:信息收集模
16
块、信息处理与通讯模块、入侵判断与反应模块。其中信息收集模块与特定的环境,监视的对象有比较密切的关系:信息处理与通讯模块,是对所收集到的数据进行预处理和分类,然后把处理的结果按照一定的格式传输给检测判断模块。最后由检测判断模块根据一定的安全策略判断入侵行为的发生并采取相应的反击。随着网络系统结构的复杂化和大型化,系统的弱点或漏洞将趋向于分布式。另外,入侵行为不再是单一的行为,而是表现出相互协作入侵的特点。入侵检测系统要求可适应性、可训练性、高效性、容错性、可扩展性等要求。不同的IDS之间也需要共享信息,协同检测。
3.3.4代理(Agent)技术
代理(Ageni)是指能在特定的环境下无须人工干预和监督完成某项工作的实体。它具有自适应性、智能性和协作性。代理既能独立地完成自己的工作,又能与其它代理协作共同完成某项任务,且代理能够接受控制并能感知环境的变化而影响环境。代理分布于系统中的关键点及关键服务器,包括防火墙、对外提供各项服务的服务器、内部网关和服务器,完成绝大多数的入侵检测和响应任务。代理可以针对特定的应用环境进行配置和编程,使得代理占用负载最小。同时,代理可以与其它代理和中心服务器进行有限的交互,交换数据和控制信息。由于代理是独立的功能实体,在一个多代理系统中,单个的功能代理能够增加到系统中去或从系统中删除,并且能够对某个代理进行重配置,而不会影响到系统的其它部分。可以看到,在一个由多代理组成的入侵检测系统中,单个代理的失效只会影响到该代理和与之协作的部分代理,系统的其它部分仍能正常工作。如果能将入侵检测系统的功能合理地分配给各个代理,就能大大减少系统失效的风险。多代理系统所具有的这些优点使之能较好地解决常规入侵检测系统的缺陷。
3.3.5 入侵检测与防火墙实现联动
防火墙与入侵检测这两种技术具有较强的互补性。目前,实现入侵检测和防火墙之间的联动有两种方式可以实现,一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据来源不再来源于抓包,而是流经防火墙的数据流。所有通过的包不仅要接受防火墙检测规则的验证,还需要经过入侵检测,判断是否具有攻击性,以达到真正的实时阻断,这实际上是把两个产品合成一体。但是,由于入侵检测系统本身也是一个很庞大的系统,所以无论从实施难度、合成后的性能等方面都会因此受到很大影响。所以,目前还没有厂商做到这一步,仍处于理论研究阶段。但是不容否认,各个安全产品的紧密结合是一种趋势。第二种方式是通过开放接口来实现联动,即防火墙或者入侵检测系统开放一个接口供对方调用,按照一定的协议进行通讯、警报和传输。
17
目前开放协议的常见形式有:安全厂家提供IDS的开放接口,供各个防火墙厂商使用,以实现互动。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
3.4 数据加密技术
数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性,这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护。
3.4.1 数据加密原理
数据加密是通过某种函数进行变换,把正常数据包文(称为明文或明码)转换为密
文(密码)。解密是指把密文还原成明文的过程。密码体制是指一个系统所采用基本工作方式以及它的两个基本构成要素,即加密/解密算法和密钥。密钥是一个数值,它和加密算法一起生成特别的密文。传统密码体制所用的加密密钥和解密密钥相同,称为对称密码体制。如果加密密钥和解密密钥不相同,则称为非对称密码体制,密钥可以看作是密码算法中的可变参数。从数学的角度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系。密码算法是相对稳定的,在这种意义上,可以把密码算法视为常量,而密钥则是一个变量。在设计加密系统中,加密算法是可以公开的,真正需要保密的是密钥,密钥本质是非常大的数,密钥大小用位表示。在公开密钥加密方法中,密钥越大密文就越安全。利用密码技术,在信源和通信信道之间对报文进行加密,经过信道传输,到信宿接收时进行解密,以实现网络通信保密,加密与解密过程如图3-5所示。
明文 密文 密文 明文 加密过程 解密过程
图3-5 加密与解密过程
通常加密算法为:C=Ek(M)。其中,K为密钥,M为明文,C为密文;E为加密算法,密文C是明文M使用密钥K经过加密算法计算后的结果。加密算法可以公开,而密钥只能由通信双方来掌握。
3.4.2 对称密钥体系
在对称型密钥体系中,加密和解密采用同一密钥,故将这种体系称为秘密密钥密码体制或私钥密码体制,如图3-6所示
18
图3-6 对称密钥体制的加密与解密
64位数据明文 第一轮加密 加密处理 56位密钥 48位每轮密钥 64位数据块密文 64位数据块密文 加密处理 第十六轮加密
48位每轮密钥 64位数据块密文 图3-7 DES加密过程 另一个成功的分组加密算法,它的核心是一个乘法/加法非线性构件,通过8轮迭代,能使明码数据更好地扩散和混淆
[16]
。
3.4.3 非对称密钥体系
非对称加密技术将加密和解密分开并采用一对不同的密钥进行。其工作原理如图3-8所示。
19