APP下载

探讨计算机入侵检测系统发展活动模式分析

2013-04-29张志强

中华少年·研究青少年教育 2013年9期
关键词:入侵检测技术研究计算机

张志强

摘要:近年来对电子商务教学的热切需求,更加激化了这种入侵事件的增长趋向。由于防火墙只防外不防内,并且很轻易被绕过,所以仅仅依靠防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。

关键词;计算机 入侵检测 技术研究 活动模式

1、入侵检测系统(IDS)概念

1980年,James P.Anderson 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部渗透、内部渗透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1。即其之后,1986年Dorothy E.Denning提出实时异常检测的概念[2并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor)。自此之后,入侵检测系统才真正发展起来。

Anderson将入侵尝试或威胁定义为摘要:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4摘要:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为摘要:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。

入侵检测系统执行的主要任务包括[3摘要:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反平安策略的行为。入侵检测一般分为三个步骤摘要:信息收集、数据分析、响应。

入侵检测的目的摘要:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;

2、入侵检测系统模型

美国斯坦福国际探究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2,该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,假如有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件摘要:

事件产生器(Event Generators)

事件分析器(Event analyzers)

响应单元(Response units)

事件数据库(Event databases)

它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。

3、入侵检测系统的分类摘要

现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性探究方面的新问题,在这里采用五类标准摘要:控制策略、同步技术、信息源、分析方法、响应方式。

按照控制策略分类

控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中心节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“代理”的方法,代理进行分析并做出响应决策。

按照同步技术分类

同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且马上得到处理和反映。实时IDS是基于网络IDS首选的方案。

按照信息源分类

按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕捉并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。

按照分析方法分类

按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息和库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。

按照响应方式分类

按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应摘要:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。

4、IDS的评价标准

目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的優劣主要有这样几个方面[5摘要:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。

5、IDS的发展趋

随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网平安系统公司)公司的RealSecure。目前较为闻名的商用入侵检测产品还有摘要:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。

6、结束语

在目前的计算机平安状态下,基于防火墙、加密技术的平安防护固然重要,但是,要根本改善系统的平安目前状况,必须要发展入侵检测技术,它已经成为计算机平安策略中的核心技术之一。IDS作为一种主动的平安防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术平安性的要求越来越高,入侵检测技术必将受到人们的高度重视。

猜你喜欢

入侵检测技术研究计算机
计算机操作系统
基于计算机自然语言处理的机器翻译技术应用与简介
信息系统审计中计算机审计的应用
基于入侵检测的数据流挖掘和识别技术应用
艺术类院校高效存储系统的设计
关于公共广播系统的研究与应用
大数据挖掘中的数据分类算法技术研究
基于关联规则的计算机入侵检测方法
浅谈暖通空调系统节能设计思考
Fresnel衍射的计算机模拟演示