入侵检测系统新技术介绍
2012-12-29苏家洪
苏家洪
(北京信息职业技术学院,北京 100018)
引言
随着计算机和因特网的普及与应用,大量的个人、企业与政府机构信息开始保存在计算机和网络服务器中,这就对信息安全提出了更高要求,对安全解决方案的需求与日俱增。现有的网络、信息安全解决方案中最常用的就是防火墙。传统意义上依靠防火墙建立网络组织结构,常常是“外紧内松”,能够有效阻止外部人员的入侵,但对内部人员所做的攻击却无能为力。而入侵检测系统的成功研发与应用,是对防火墙缺陷的有益补充。
1 入侵检测系统(IDS)
入侵的含义,从广义上讲,包括攻击发起者通过非正常手段取得合法的计算机系统控制权,也包括攻击者利用收集到的漏洞信息,恶意的对计算机及网络系统造成拒绝访问、使用等危害的行为。而入侵检测,便是发觉、发现入侵行为的过程。它通常是通过对计算机或网络系统中若干个关键点进行信息收集,以此来判断、分析、发现计算机或网络系统中存在的违反安全规定、安全策略的行为或者曾被攻击过的迹象。能够实现上述功能的软件、硬件或者它们的组合,即是所谓的入侵检测系统(IDS)。与其他计算机、网络安全产品不同,入侵检测系统更多的具有智能特点,它可以对收集的数据进行分析、判断,进而得出有用的结果。有效的入侵检测系统能够简化、降低计算机和网络管理人员的工作程序和工作量,
2 IDS新技术介绍
2.1 数据分析协同
入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据,以发现一些简单的入侵行为,还需要在此基础上利用数据挖掘技术,分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。
理论上讲,任何网络入侵行为都能够被发现,因为网络流量和主机日志记录了入侵的活动。数据分析协同需要在两个层面上进行,一是对一个检测引擎采集的数据进行协同分析,综合使用检测技术,以发现较为常见的、典型的攻击行为;二是对来自多个检测引擎的审计数据,利用数据挖掘技术进行分析,以发现较为复杂的攻击行为。考核IDS数据分析能力可以从准确、效率和可用性三方面进行。基于这一点,可以认为,检测引擎是完成第一种数据分析协同的最佳地点,中心管理控制平台则是完成第二种数据分析协同的最佳地点。
当检测引擎面对并非单一的数据时,综合使用各种检测技术就显得十分重要。从攻击的特征来看,有的攻击方法使用异常检测来检测会很容易,而有的攻击方法使用模式匹配来检测则很简单。因此,对检测引擎的设计来说,首先需要确定检测策略,明确哪些攻击行为属于异常检测的范畴,哪些攻击属于模式匹配的范畴。中心管理控制平台执行的是更为高级的、复杂的入侵检测,它面对的是来自多个检测引擎的审计数据。它可就各个区域内的网络活动情况进行“相关性”分析,其结果为下一时间段及检测引擎的检测活动提供支持。例如黑客在正式攻击网络之前,往往利用各种探测器分析网络中最脆弱的主机及主机上最容易被攻击的漏洞,在正式攻击之时,因为黑客的“攻击准备”活动记录早已被系统记录,所以IDS就能及时地对此攻击活动做出判断。目前,在这一层面上讨论比较多的方法是数据挖掘技术,它通过审计数据的相关性发现入侵,能够检测到新的进攻方法。
传统数据挖掘技术的检测模型是离线产生的,就像完整性检测技术一样,这是因为传统数据挖掘技术的学习算法必须要处理大量的审计数据,十分耗时。但是,有效的IDS必须是实时的。而且,基于数据挖掘的IDS仅仅在检测率方面高于传统方法的检测率是不够的,只有误报率也在一个可接受的范围内时,才是可用的。
美国哥伦比亚大学提出了一种基于数据挖掘的实时入侵检测技术,证明了数据挖掘技术能够用于实时的IDS。其基本框架是:首先从审计数据中提取特征,以帮助区分正常数据和攻击行为;然后将这些特征用于模式匹配或异常检测模型;接着描述一种人工异常产生方法,来降低异常检测算法的误报率;最后提供一种结合模式匹配和异常检测模型的方法。实验表明,上述方法能够提高系统的检测率,而不会降低任何一种检测模型的效能。在此技术基础上,实现了数据挖掘的实时IDS则是由引擎、检测器、数据仓库和模型产生四部分构成。其中,引擎观察原始数据并计算用于模型评估的特征;检测器获取引擎的数据并利用检测模型来评估它是否是一个攻击;数据仓库被用作数据和模型的中心存储地;模型产生的主要目的是为了加快开发以及分发新的入侵检测模型的速度。
2.2 响应协同
前面已经论述,由于IDS在网络中的位置决定了其本身的响应能力相当有限,响应协同就是IDS与有充分响应能力的网络设备或网络安全设备集成在一起,构成响应和预警互补的综合安全系统。响应协同主要包含下面的几个方面。
1)IDS与防火墙的协同:
防火墙与IDS可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是IDS可以通过了解防火墙的策略,对网络上的安全事件进行更有效的分析,从而实现准确的报警,减少误报;动态的方面是当IDS发现攻击行为时,可以通知防火墙对已经建立的连接进行有效的阻断,同时通知防火墙修改策略,防止潜在的进一步攻击的可能性。
2)IDS与路由器、交换机的协同
由于交换机和路由器防火墙一样,一般串接在网络上。同时都有预定的策略,可以决定网络上的数据流,所以IDS与交换机、路由器的协同和与IDS同防火墙的协同非常相似,都有动态和静态两个方面,过程也大致相同,这里不作详细的论述。
结束语
入侵的行为千变万化;入侵检测的手段也要随机应变。为了发现入侵;我们要有机地把数据分析协同、响应协同、IDS与交换机、路由器的协同及IDS同防火墙的协同等等入侵检测技术结合在一起,以有效地抵御入侵。
[1]肖海明.基于数据降维和支持向量机的入侵检测方法研究[D].河北:华北电力大学2010.
[2]谭伟.防火墙与入侵检测系统联动架构的研究[D].武汉:武汉理工大学,2010年.
[3]高朝勤,陈元琰,李梅.入侵检测中的自适应模式匹配技术[J].计算机工程,2009年06期.
