1、5.5 入侵检测系统5、入侵检测系统5.1 入侵检测的发展历史5.2 入侵检测系统的分类5.3 发展趋势及主要研究方向5.4 IDS技术面临挑战 5.5.1 入侵检测的发展历史入侵检测的发展历史1980 年,James Anderson 最早提出入侵检测概念1987 年,DEDenning 首次给出了一个入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出。1988 年,Morris 蠕虫事件直接刺激了 IDS 的研究1988 年,创建了基于主机的系统,主要有:IDES,Haystack 等等1989 年,提出基于网络的 IDS 系统,主要有:NSM, NADIR,DIDS 等等入侵检
2、测的发展历史90 年代,不断有新的思想提出,如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入 IDS 系统;2000 年 2 月,对 Yahoo!、Amazon、CNN 等大型网站的 DDOS 攻击引发了对 IDS 系统的新一轮研究热潮;2001 年至今,RedCode、求职信等新型病毒的不断出现,进一步促进了 IDS 的发展。5.5.2 入侵检测系统的分类5.5.2.1 基于主机的入侵检测系统基于主机的入侵检测系统初期多以基于主机的入侵检测研究为主,即在每个要保护的主机上运行一个代理程序。它以计算机主机作为目标环境,只考虑系统局部范围的用户,因此大大简化了检测任务。由入侵检测工
3、具对主机的审计信息分析来进行检测,并报告安全可疑事件。基于主机的入侵检测系统检测内容:统调用、端口调用、系统日志、安全审记、应用日志基于主机的入侵检测系统具有以下优点:1.性能价格比高,适用在主机数量较少的情况下;2.更加细腻,可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取;3.视野集中,最有可能区分正常的活动和非法的活动;4.易于用户剪裁,每一个主机有其自己的代理;5.对网络流量不敏感,一般不会因为网络流量的增加而丢掉对网络行为的监视。6.随着 Internet 的发展,基于网络的攻击日益增多。基于主机的 IDS 已难以胜任入侵检测任务,入侵检测也发展为基于网络的入侵检测,主
4、要研究方向为分布式系统。?5.5.2.2 基于网络的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统,是通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击模式或将引起网络系统异常,以此来判别是否为入侵者。基于网络的入侵检测系统基于网络的检测有以下优点:1.侦测速度快,实时性好;2.隐蔽性好,网络上的监测器不易遭受攻击;3.视野更宽,可以在网络的边缘上制止攻击;4.使用较少的监测器进行保护;5.占用资源少。目前,开发特定的工具来侦听网络数据报文,分析负载,搜索可疑命令成为检测网络攻击的主要手段。管理员可以通过分布少量的工具检测到大多数攻击。5.5.3.1 发展趋势发展趋势随着
5、网络攻击手段向分布式方向发展(如目前出现的分布 DOS 攻击),并采用了各种数据处理技术,其破坏性和隐蔽性也越来越强。相应的,也要求入侵检测系统向分布式结构发展,采用分布收集信息、分布处理、多方协作的方式,将基于主机的 IDS 和基于网络的IDS 结合使用,构筑面向大型网络的 IDS。同时,在处理速度及各类相关性能上也有了更高的要求。5.5.3.2 主要研究方向主要研究方向l.IDS 体系结构研究2.具有多系统的互操作性,重用性的通用入侵检测框架,总体结构和各部件相互关系;3.系统安全策略;4.具有可伸缩性的统一的 IDS 系统结构;5.IDS 的管理等;6.研究 DARP 提出的通用入侵检测
6、框架The Common Intrusion Detection Framework (CIDF);设计具有可伸缩性、重用性的系统框架;制定安全、健壮、可扩展的安全策略。安全通信技术研究目前,分布式系统中的安全通讯机制也是研究领域的一个热点,而且,目前尚无明确有效的标准。其主要研究内容有:l.安全认证机制;2.建立高效的安全通道;3.远程控制等安全。5.5.3.3 入侵检测(ID)技术研究入侵检测(ID)技术研究目前已有的入侵检测技术包括基于知识的检测和基于行为的检测。基于知识的检测包括专家系统、模型推理、状态转换图、信号分析、Petri nets 图等;这种方法由于依据具体特征库进行判断,所
7、以准确度很高、方便响应。但与具体系统依赖性太强,移植性不好,维护工作量大,受已有知识的局限,难以检测出权力滥用。基于行为的检测包括概率统计方法、神经网络方法、专家系统、用户意图识别、计算机免疫系统等;这种方法与系统相对无关,通用性较强。可能检测出以前未出现过的攻击方法。它的主要缺陷在于误检率很高。鉴于两者存在的优点和不足,而且已证明依靠单一的入侵检测方法不可能检测出所有入侵,现在的研究主要集中在将已有的检测方法结合实用和对于新方法的探索中,期望找到效率和效果相一致的方法。5.5.3.4 响应策略与恢复研究响应策略与恢复研究IDS 在识别出入侵后所进行的响应是维护系统安全性、完整性的关键步骤。I
8、DS 的目标是实现实时响应和恢复。实现 IDS 的响应包括: 向管理员和其它实体发出警报;进行紧急处理的功能研究;对于攻击的追踪、诱导和反击;ID 部件的自学习和改进。实现 IDS 的恢复包括: 对于系统状态一致性的检测方法的研究;系统数据的备份;系统恢复策略和恢复时机的研究。5.5.3.5 协作式入侵检测技术研究协作式入侵检测技术研究随着黑客入侵手段的提高,尤其是分布式、协同式、复杂模式攻击的出现和发展,传统的单一的、缺乏协作的入侵检测技术已经不能满足需求,需要有充分的协作机制。协作的程度主要有以下层次:同一系统中不同入侵检测部件之间的协作,尤其是主机型和网络型入侵检测部件之间的协作,以及异
9、构平台部件的协作;不同安全工具之间的协作;不同厂家的安全产品之间的协作;不同组织之间预警能力和信息的协作。要实现协作,首先要考虑两个问题:l.信息表达的格式和信息交换的安全协议;2.协作的模型。信息表达的格式有两个发展中的标准:l.DARPA 的通用入侵检测框架中提出了 CISL(Common Intrusion Specification Language)语言;2.IETF 的入侵检测工作组(IDWG)中提出了在 IAP 中使用的另一套方案。5.5.3.6 建立黑客攻击模型以及主机和网络安全状态模型的研究建立黑客攻击模型以及主机和网络安全状态模型的研究对于黑客攻击的识别,现在实际应用的方法
10、基本都是在已经知道的攻击的基础上提取其特征,然后将其加入特征库。但是现有的攻击特征库太简单,没有扩展性和适应性,造成较高的误报率和漏报率,并缺乏对未知攻击的预警。研究现有黑客攻击方式,归纳出有扩展性和适应性的较通用的几种攻击模型,在实际的检测中首先应用黑客攻击模型排除绝大多数噪音后记录可疑信息,然后再聚焦检测具体的攻击形式,这样可大大提高效率,减少误报和漏报。 建立状态模型监测主机和网络当前的安全状态,一旦发现异常,很有可能是发生了未知的黑客攻击,则可采用应急措施。5.5.4 IDS技术面临挑战IDS 技术面临挑战如何提高入侵检测系统的检测速度,以适应网络通信的要求;如何减少入侵检测系统的漏报和误报,提高其安全性和准确度;提高入侵检测系统的互动性能,从而提高整个系统的安全性能。
