二、 入侵检测技术提出及发展阶段
(一) 入侵检测技术的提出
1980年,在James P. Anderson 的文章“Computer Security Threat Monitoring and Surveillance”中[1],“入侵检测”的概念首次被提出。为开发基于主机的IDS提供了最初的理论基础。
1985年,美国国防部计算机安全中心(NCSC)正式颁布了《可信任的计算机系统评估标准》(Trusted Computer System Evalution Criteria, TCSEC)。TCSEC为预防非法入侵定义了四类七个安全级别。由低到高分别是D、C1、C2、B1、B2、B3、A1,规定C2以上级别的操作系统必须具备审计功能,并记录日志。TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用,是信息安全发展史上的一个里程碑。
1988年,莫里斯(Morris)蠕虫感染了Internet上近万台计算机,造成Internet持续两天停机。美国空军、国家安全局、加州大学戴维斯分校等开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起1990年,加州大学戴维斯分校的L.T.Heberlein等人提出了基于网络的入侵检测概念,即将网络数据流作为审计数据来追踪可疑的行为。
1992年,加州大学的Koral llgun开发出实时入侵检测系统USTAT(a State Transition Analysis Tool for UNIX)。他们提出的状态转换分析法,使用系统状态与状态转换的表达式描述和检测已知的入侵手段,使用反映系统状态转换的图表直观地记载渗透细节。
1994年,普渡大学计算机系COAST实验室的Mark Crosbie和Gene Spafford研究了遗传算法在入侵检测中的应用。使用遗传算法构建的智能代理(Autonomous Agents)程序能够识别入侵行为,而且这些agents具有“学习”用户操作习惯的初步智能。
1996年,加州大学戴维斯分校的Staniford等研究人员提出了基于图表的入侵检测系统(Graph-based Intrusion Detection System,GrIDS)原理,并完成了原型的设计和实现。
1996年,Forrest将免疫原理运用到分布式入侵检测领域。此后,在IDS中还出现了遗传算法、遗传编程的运用。
1997年3月,美国国防部高级研究计划局(DARPA)开始着手通用入侵检测框架CIDF(Common Intrusion Detection Framework)标准的制定,加州大学戴维斯分校的安全实验室完成了CIDF标准。
1997年9月,Intrusion.com公司推出基于主机的IDS (KSM,Kane Security Monitor),agents技术第一次出现在IDS的市场产品中。
1998年1月,哥伦比亚大学的Wenke Lee和Salvatore J.Stolfo提出和实现了在CIDF上实现多级IDS,并将数据挖掘技术应用到入侵检测中,利用数据挖掘中的关联规则等算法提取程序和用户的行为特征,并根据这些特征生成安全事件的分类模型。
1998年2月, Cisco通过收购Wheel Group公司成功挺进入侵检测市场。NetRanger的入侵检测技术被集成到Cisco的系列路由器中,NetRanger(后被更名为Secure IDS)成为Cisco公司的招牌产品。
1998年12月,Marty Roesch推出了Snort第一版, 基于网络的IDS,采用误用检测技术。目前已成为应用最广泛的IDS之一。
2000年2月,CA(Computer Associates International)公司发布了抵御黑客攻击的新工具SessionWall-3(后更名为eTrust Intrusion Detection)。eTrust可以自动识别网络使用模式和网络使用具体细节,做到全面地监控网络数据,可以对Web和公司内部网络访问策略实施监视和强制实施。eTrust是新一代网络保护产品的代表。
2000年7月,Cisco公司和ClickNet(ClickNet Security Technologies)公司宣
布联合开发用于电子商务的入侵检测系统。ClickNet公司的基于主机的入侵检测产品Entercept技术先进,同Cisco公司的安全入侵检测系统(Secure IDS)软件结合以后成为一套全方位的安全系列产品。
2001年1月,ClickNet公司改名为Entercept Security Technology公司。该公司的IDS产品Entercept的新版本检测水平进一步提高,并首先提出入侵防御(IP,Intrusion Prevention)概念。由于已有的入侵检测系统是被动的进行系统安全防护,当发现攻击而不能及时做出防护反应时,攻击的成功率会随着时间的增加而提高。入侵防御系统IPS(Intrusion Prevention System)在系统请求被执行之前,即在网络系统受到攻击之前,将请求与防御数据库中的预定义内容进行比较,然后根据相应的安全级别采取不同的行动,如执行请求、忽略请求、终止请求或记入日志等。
2001年5月,Dipankar Dasgupta和Fabio Gonzalez研究了入侵检测的智能决策支撑系统。
2002年3月,ISS公司发布集成了Network ICE公司BlackICE技术的网络安全产品:RealSecure Network Sensor 7.0,具备更详细的协议分析功能和更出色的碎片重组能力。如果配合ISS公司同时发布的RealSecure Guard来实现与防火墙的联动,则可以利用协议分析技术来实时分析是否存在对网络的非法入侵。当检测到非法入侵时做到彻底切断这种网络攻击。
2002年6月,Entercept公司开始提供更先进的入侵防御软件,能够在黑客的攻击造成伤害之前采取行动来阻止其发生,增加了名为Vault Mode的先进封锁功能,能够锁住重要的操作系统文件和设置,防止主机被攻击。
2003年以来,全球众多安全研究机构都在开展入侵检测的研究,许多新的入侵检测技术被应用到IDS产品中。如对入侵防御系统IPS的讨论[2-5];对于入侵检测中的误报问题,Cheung、Steven等人提出入侵容忍(Intrusion tolerance)的概念,在IDS中引入了容错技术;
2006年,Morton Swimmer针对现代数据网络的分布式防御提出一个危险模型的免
疫系统等[6]。
2.2入侵检测技术的发展阶段
第一阶段(20世纪80年代):主要是主机日志分析和模式匹配技术研究,推出的IDES(Intrusion Detection Expert System,入侵检测专家系统)、DIDS(Distributed Intrusion Detection System,分布式入侵检测系统)、NSM(Network Security Monitor,网络安全监控系统)等基本上都是实验室系统 。
第二阶段(20世纪90年代):主要研究网络数据包截获、主机系统的审计数据分析,以及基于网络的IDS(NIDS)和基于主机的IDS(HIDS)的明确分工和合作技术。代表性产品有早期的ISS RealSecure(v6.0之前)、Cisco(1998年收购Wheel Group获得)、Snort(2000年开发代码并免费)等。目前国内绝大多数厂家沿用的是Snort核心。
第三阶段(20世纪90年代后期):主要涉及协议分析、行为异常分析技术。协议分析技术的误报率是传统模式匹配的1/4左右。行为异常分析技术的出现则赋予了第三代IDS系统识别未知攻击的能力。代表性产品有NetworkICE(2001年并入ISS)、安氏LinkTrustNetworkDefender(v6.6)、NFR(第二版)等。
入侵检测技术从出现到现在已有20多年,IDS系统已从有线IDS发展到无线IDS,并出现了IPS(Intrusion Prevention System,入侵防御系统)。
2.2.1早期技术以Denning模型为基础
1987年Denning提出了一种抽象的通用入侵检测的模型,如图1所示.该模型主要由
主体、对象、审计记录、活动简档、异常记录、活动规则6部分组成。继Denning提出上述通用入侵检测 模型后,IDES和它的后续版本NIDES都完全基于Denning模型。
2.2.2以统计学理论与专家系统相结合的中期技术
统计方法:是一种比较成熟的入侵检测方法,使得入侵检测系统能够学习主体机构
的日常行为,那些正常的活动之间的偏差大的活动的统计显着异常活动。在统计方法,先选择有效的数据点,能反映学科特点,生成会话向量,并采用统计方法来分析数据,判断当前活动的历史行为特征;继续操作系统,其他主题的行为特征,更新历史记录,能够自适应学习用户的行为。
专家系统:专家系统的入侵行为,被编码成专家系统的规则,这些规则确定的单一审计事件或一系列事件。专家系统可以解释系统确实是审计记录及鉴别它们能否满足描述规则。缺点:使用专家系统说的一系列规则不直观,只有专家才能更新规则。
此两者相结合,统计方法来统计和记录所有的入侵行为,并把这种行为存储起来,而专家系统则把相应的入侵行为编码成系统所认知的内部规则。如果在遇到入侵行为后,在统计方法和专家系统的共同作用下,就能够有效的防止和识别入侵行为。