式 的的侵 劣 方
栅络二<溺 溺 应 应
割嘲型渤 捌 嗡 嗡
手予台脖 制 动 动 r; 基于Snort的入侵检洲系统的研究与戍用 通常,基于主机的IDS叮以监测系统、事件齐fiWindowNT下的安全记录以及UNIX 环境下的系统记录,从l|l发现可疑行为。当有文件发生变化时,IDS将新的记录 条目与攻tlJ.标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并 向别的目标报告,以采取措施。对关键系统文件和可执行文件的入侵检测的一个 常用方法,足通过定期检查校验和来进行的,以便发王见意外变化。反应的快慢与 轮询间隔的频率有直接的关系。此外,许多IDS还监听端口的活动,并在特定端 口被访问时向管理员报警。 尽管基于主机的入侵检测系统不如基于网络的入侵检测系统快捷,但它却具 有基于网络的入侵检测系统无法比拟的优点。这些优点n铂包括: 1、能够确定攻击是否成功。主机足攻击的最终目标所在,所以基于主机的 IDS使用含有已发生的事什信息,可以比基丁刚络的IDS更加准确地判断攻击是否 成功。 2、监控粒度更细。基于主机的IDS监控目标明确、视野集中,可以检测一些 基于网络的IDS不能柃测的攻击。它可以很容易地监测一些活动,包括对敏感文 件、目录、程序或端口的存取。例如,基于主机的IDS町以监督所有用户登录及 退出登录的情况,以及每位用户在联接到网络以后的行为。它还可以监视通常只 有管理员才能实施的非正常行为。针对系统的一些活动,有时并不通过网络传输 数据,有时虽然通过网络传输数据,但所传输的数据并不能提供足够多的信息, 从而使基于网络的IDS检测不到这些行为,或者很难检测到这个程度。 3、配置灵活。每一台主机都有其自身基于主机的IDS,用户可根据自己的实 际情况对其进行配置。 4、对网络流量不敏感。基于主机的IDS一般不会因为网络流量的增加而放弃 对网络行为的监视。 5、适用于加密的以及交换的环境。加密和交换设备加大了基于网络的IDS 收集信息的难度,但由于基于主机的IDS安装存耍监控的主机上,根本不会受这 些因素的影响。 6、一般由软件实现,不需要额外的硬件。基于主机的IDS存在的主要问题: 一是占用主机资源,在服务器上产生额外的负载:二是缺乏平台支持,可移植性 差,使刖范围受限。 笫二章入侵检测系统慨述 2.2.3基于网络的入侵检测 基于网络的入侵检测系统怕‘1。一纠引,通过在共享网段上对通信数据的脏听、 采集,分析可疑现象。其数据源是网络上的数据包,监听本例段内的数据包并进 行判断,分辨出攻击者。当前的大部分入侵检测系统产品是基于网络的入侵检测 系统。它们应用模式匹配技术,将采集到的网络数据包同规则库中的规则进行模 式匹配,根据分析结果采取相应的行动。系统结构图如下: 安全配置构造 网络安全数据库 分析引擎 传感器 传感器 传感器 图2—3基于网络的入侵检测系统 基于网络的IOS具有许多基于主机的ms无法提供的功能。基于网络的Ins有 以下优点u71: 1、检测速度快。基于网络的传感器通常能在微秒或秒级发现问题。而人多 数基于主机的产品则耍依靠对最近几分钟内审计记录的分析。 2、隐蔽性好。一个网络.卜的传感器不像一个主机那样显眼和易被存取,因 而也不那么容易遭受攻击。基于网络的传感器不运行其他的应用程序,不提供网 络服务,可以不响应其他计算机。因此可以做得比较安全。 3、视野更宽。基于网络的IDS可以检测一些主机检测不到的攻击,如基于网 络的SYN攻击、泪滴攻击等,还可以检测不成功的攻击和恶意企图。 4、较少的传感器。南于使用一个传感器就可以保护一个共享的网段,所以 不需要很多的传感器。相反,如果基于主机,则要在每台主机上配置一个代理, 这样的话,不但花费昂贵,而且难于管理。 8 基于Snort的入侵枪测系统的研究与席_l{】 5、攻击者不易转移证据。基于网络的IDS使用正在发生的网络通信进行实时 攻击的检测。所以攻击者无法转移证据。被捕获的数据不仪包括攻击的方法,.向 且还包括可以识别黑客身份和对其进行起诉的信息。许多黑客都熟知审记记录, 他们知道如何操纵这些文件掩盖他们的作案痕迹,如何阻止需要这些信息的基于 主机的系统去检测入侵。 6、操作系统无关性。基丁例络的IDS作为安全监测资源,与主机的操作系统 无关。与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才 能正常工作,生成有用的结果。 7、占资源少。在被保护的设备上不用占用任何资源。 基于网络的IDS存在的问题:一是只能舱{!!l!本网段的活动,精确度不高o.二是 在交换环境下难以配置:三是防入侵欺骗能力较差:四是难以定位入侵者。 2.2.4一种混合的方法 混合入侵检测是将基于网络的入侵检测系统和基于主机的入侵检测系统结 合在一起的入侵检测系统。由于基于网络的入侵检测系统和基于主机的入侵检测 系统各有利弊,将二者的技术结合在一起,将会优势互补,极大地提高系统防范 入侵和防范误用的能力。这也是入侵检测系统发展的方向之一。 2.2.5误用入侵检测 误用检测?一H们又称为基于特征的检测,其基本思想是:根据已经发现的入侵 行为,定义相应的入侵模式,然后在实际的审计数据中检测是否出现这些入侵模 式来完成检测功能。误用检测的原理如图2—4所示。 惨改已有规刚 图2_4误用检测原理 9 第二章入侵检测系统{i}【述 该模型优点是町以根据具体的入侵模式特征库进行判断,检测准确牢很高。 缺点是检测范丽受到己有的入侵模式特征库知识的局限,只能检测己知的攻击模 式,而无法检测未知的攻讲模式。 常用的误用检测技术有: 1、模式匹配 SandeePKumar提出了基于模式匹配(Pattern Matching)的入侵检测方法 陋引。模式匹配是最为常用的误用检测技术,特点是原理简单、检测效率高、实时 性强。模式匹配虽然存在检测能力弱、漏报率较高的问题,但由于系统的实现、 配置、维护都非常方便,因此得到了广泛的应用。本文研究的网络入侵检测系统 Snort就是基于模式匹配实现的。 2、专家系统心司 基于专家系统的入侵检测技术是入侵检测的另外一个特别值得重视的研究 方向瞳一281,基于规蚍0的分析方法是最常用的方式,即根据安全专家对可疑行为的 分析经验来形成一套推理规则,然后再在此基础之上构成相应的专家系统。该方 法的优点是响应速度快,当规则比较准确时,入侵检测能力比较强。但因不断有 新的入侵方式出现,专家系统还是需要不断更新,专家系统需要自学习能力进行 规则的扩充和修正,而规则的修正和扩充受到专家知识的限制和系统学刊能力的 限制,当网络数据和预期的入侵模式相差很大时,即对新的入侵模式检测能力差, 容易发生漏报k引。 3、入侵签名分析 入侵签名分析采用与专家系统相同的知识获取方法,但在检测时对这些关于 入侵活动的知识的使用方式则不同。专家系统把知识表示成规则,检测时,对系 统审计数据记录进行抽象处理,然后再看是否符合规则,判断是否存在入侵活动。 而入侵签名分析则把获得的入侵攻击的知识翻译成可以在系统审计迹-I-直接发 现的信息。例如,一个入侵攻击事件可以用它所产生的一系列审计事件或在系统 审计迹中可以匹配处理的数据模式表示。这种技术简单有效,在现有的商用IDS 中应用广泛。 2.2.0异常入侵检测 异常入侵检测根据异常行为和使用计算机资源情况检测出来的入侵。其试图 10 基于Snort的入侵检测系统的研究与应用 用定量方式描述可以接受的行为特征,以区分非正常的、潜在的入侵性行为。异 常检测的原理如图2—5所示。 更氟轮廓 动态生成新的轮廓 图2-5异常入侵检测原理图 它的主要优点是可以检测出大部分的入侵行为,而且它的误报率相对较小; 它可以检测出己知的入侵和未知的入侵。但是如果不能枚举所有的正常使用规 则,那么会导致有些正常使用的行为会被误认为是入侵行为,即有误报产生。 另外,在近年来的研究中,出现了一些新的入侵检测技术。它们不能简单 地归类为异常检测或者误用检测,而是提供了一种有别于传统入侵检测视角的技 术。例如,基于数据挖掘、免疫系统、遗传算法的入侵检测技术【22】等。它们或者 提供了更具普遍意义的分析技术,或者提出了新的检测系统架构,无论对于误用 检测还是异常检测来说,都町以得到很好的应用。目前,这些新的检测技术大都 处于研究阶段,还不够成熟。 2.3入侵检测面临的挑战和发展趋势 2.3.1入侵检测面临的挑战‘删‘引1 1、误报、漏报率132J较高 当前的入侵检测系统通常采用了模式匹配、统计分析和协议分析等检测技 术,而这些检测技术都存在各种各样的缺陷。例如,模式匹配的可扩展性和适应 性较差,且不能检测未知攻击;统计分析方法中的阐值很难准确设定,太小会产 生大量的虚警,而太大则产生大量的漏报,并且入侵者还可以通过逐步“训练”, 使入侵事件符合正常操作的统计规律,从而透过入侵榆测系统:协议分析检测方 第二章入侵检测系统慨述 法中,~般的入侵柃测系统只简单地处理了常用的协议,如HTTP、FTP、SMTP 等,而其余大量的协议报文一I一存在的异常行为有可能被漏报,如果分析所有支持 的协议类型,则计算成本将无法承受,这就需要探索新的入侵检测技术以解决计 算成本问题。 2、缺乏有效的协同 现有的入侵检测系统大多只针对特定网段、特定主机的数据进行分析,还不 能将来自4i同源的信息进行协同分析,影响了对某些攻击的检测。另外,对.丁以 下方面的协同,现有的入侵检测系统还没有完全做到。例如:同一系统中不同入 侵检测部件之间的协作,特别是基于主机的IDS和基于网络的IDS之间的协作, 以及异构平台部件之间的协作;不同安伞工具之间的协作,如IDS和防火墙、IPS 的协作;不同厂家的安全产品之间的协作,等等。 3、有限的响应能力 传统的入侵检测系统将注意力集中在对攻击的检测上。虽然检测出了网络入 侵,但由于被动的IDS本身并不试图降低所造成的破坏,也不主动地对攻击者 采取反击行动,而管理员常常无法立即分析入侵柃测系统的报告,并采取相应的 行动,这就使攻击者在系统管理员采取行动前有机可乘。冈此,传统的被动的响 应方式,已不能适应入侵检测系统发展的需要。 4、性能有待提高 目前的入侵检测系统己不能适应交换技术和高速网络的发展,在人流量情况 下会造成入侵检测系统的丢包甚至瘫痪,因此需要探索新的入侵检测方法、技术 和模型。 2.3.2入侵检测面l临的发展趋势 在入侵检测技术发展的同时,入侵技术也在更新,一些黑客组织己经将如fll』 绕过IDS或攻击IDS系统作为研究重点。高速网络,尤其是交换技术的发展以及 通过加密信道的数据通信,使得通过共享网段侦听的网络数据采集方法显得不 足,而大量的通信量对数据分析也提出了新的要求。随着信息系统对一个国家的 社会生产与国民经济的影响越来越重要,信息战己逐步被各个国家重视,信息战 中的丰要攻m“武器”之一就是网络的入侵技术,信息战的防御.丰要包括“保护”、 “检测”与“响应”,入侵检测则是其“检测”与“响应”环节不可缺少的部分。 12 基于Snort的入侵检测系统的研究与虑J【}j 近年对入侵柃测技术有几个主要发展方向。州: 1、应用层入侵检测 许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测如wEB之类的 通用协议,而不能处理岔HLotus Notes、数据库系统等其他的应用系统。许多基 于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检 测保护。 2、智能的入侵检测 入侵方法越来越多样化与综合化,随着机器学习技术研究领域的发展,很多 新的方法也被应用到入侵检测领域中,包括关联规则、神经网络、决策树、遗传 算法、贝叶斯网络等口制,但是这只是一些尝试的研究工作,需要对智能化的IDS 加以进~步的研究以解决其自学习与自适应能力。 3、入侵检测的评测方法 用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占 用、IDS系统自身的可靠性。从而设计通用的入侵检测测试与评估方法与平台, 实现对多种IDS系统的检测已成为当前IDS的重要研究与发展领域。 4、体系结构由集中式向分布式发展 分布式入侵检测具有使用分布式的方法米检测分布式的攻击的能力,其中的 关键技术为检测信息的协I刊处理与入侵攻击的全局信息的提取。分布式的体系 结构具有可扩充性、高适应性和抗攻击性等优点,成为当前入侵检测系统发展的 方向。 5、响应方式由被动式向主动式发展 入侵检测响应分为主动响应和被动响应。多数IDS目前只能做到被动报警。 当榆测出网络攻击后,IDS只会发出告警,将发生的不正常情况报告给管理员, 本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动。只有被 动报警的IDS,需要专人对其进行维护、管理和事件分析,这是目前IDS不能被广 泛使用及其功用被怀疑的主要原因。为了得到进一步发展,实现IDS主动响应是 当务之急。主动响应,就是要在收集相关信息的基础上,通过调整被攻击系统的