网络入侵监测系统的设想与实现
2013-08-06王威
王威
【摘要】计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性和可使用性受到保护。网络入侵监测系统的设想与实现,就是保证用户在网络环境下所有信息的安全。
【关键词】网络入侵检测;入侵检测系统
文章编号:ISSN1006—656X(2013)06 -00092-01
随着计算机的普及和计算机网络的快速发展,越来越多的政府、企业和个人通过INTENERT 网,实现了全社会的信息共享已经成为现实。网络应用的不断扩大,对网络的各种攻击与日俱增。尤其是相当数量的政府、银行、企事业单位都有自己的内联网,内联网的安全十分重要,内部系统被入侵、破坏与泄密都是严重的问题 。因此,对入侵攻击的监测防范等网络安全问题,已成为当今计算机安全方向的重要课题。
一、入侵检测技术
入侵检测技术是为保证计算机系统的安全而设计与配置的,一种能够及时发现并报告系统中未授权或异常现象的技术,利用审计纪录,入侵监测系统识别非法活动并限制和制止它,利用报警和防护系统,在入侵攻击发生危害前驱逐入侵攻击。或在被入侵后收集相应信息,添入知识库,增强防范能力。入侵检测系统实质是试图发现闯入你系统中的入侵者,或误用你资源的合法用户,对入侵者起到了震慑作用。随着黑客入侵手段的提高,尤其是巧借他人之手,实施联合攻击的方法出现,传统单一的、缺乏协作的入侵检测技术已经不能满足需求,分布协同的入侵检测技术,成为当今入侵检测技术领域的研究热点。
网络入侵检测系统能够检测那些来自网络的攻击,它能够检测到超过授权的非法访问。一个网络入侵检测系统,不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。
由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作,它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。布署一个网络入侵检测系统的风险,比主机入侵检测系统的风险少得多。但是,入侵监测系统仍存在很多缺点。一是网络入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络包。而在使用交换以太网的环境中,安装多台网络入侵检测系统的传感器,会使布署整个系统的成本大大增加;二是网络入侵检测系统,为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测;三是网络入侵检测系统,可能会将大量的数据传回分析系统中。对入侵判断的决策由传感器实现,而中央控制台成为状态显示与通信中心,不再作为入侵行为分析器。这样系统中的传感器协同工作能力较弱。
二、入侵检测系统的主要形式
入侵监测系统主要有两种方式:实时入侵检测系统和非实时入侵检测系统。
实时入侵检测系统实时监测目标系统或网络上各种情况,及时捕捉到非法入侵者或滥用资源的合法用户。方法通常有统计异常事务检查和模式匹配检查。单独使用异常检查和模式匹配都不够充分,目前大多数研究实时入侵检测系统的项目,使用这两种技术来捕获入侵。
非实时入侵检测系统是定期查看目标系统或网络的安全情况,对系统威胁进行定期评估。它寻找可能对系统造成威胁的潜在问题,和实时入侵检测系统相比,其优点是对资源的平均占用时间少。通常实时入侵检测和非实时入侵检测需要结合起来使用。对于威胁大、影响严重的破坏事件,使用实时入侵检测来监视入侵;对于风险小的事件,采用非实时入侵检测。当然,实际使用时,需要用户来判断什么事件应实时监测,什么事件应间断扫描。
扫描器属于非实时入侵检测系统。它一般通过检查对象的属性,如文件属主和允许权限,或是通过仿效黑客的行为。如运行大量各种脚本试图,发现目标节点上的弱点,来扫描缺陷。扫描器定期性地运行,所以不可能在破坏事件一出现时就能立刻发现。它的目的是通过提前警告用户系统缺陷的存在,从而实现防止攻击。它定期运行是系统和网络情况经常变化所致,新软件的使用、节点的增减、服务要求的变化等都可能引进新的安全隐患,定期运行扫描器,可以发现新环境中的安全问题。
扫描器又分远程扫描器和本地扫描器两类。远程扫描器,又称为互联网扫描器,运行在整个网络上,主要查询TCP/IP端口并记录目标的响应,通过对目标节点的检查找出薄弱之处。本地扫描器,也称为系统扫描器,运行于节点之上,主要针对本地漏洞,执行自我检查。这些漏洞大多是远程扫描器难以察觉的,它可以被内部的不法人员所利用。远程扫描器和本地扫描器是相辅相成的。远程扫描器侧重于网络协议检查,主要通过发送网络数据包来检测系统,发现特定弱点;本地扫描器研究文件的内容,查找配置问题,找出误用。由于本地扫描器实际上是运行于目标节点的进程,所以可检查出远程扫描器查不出的问题。在系统环境中,应综合运用这两种扫描器。有时它们是以不同的方式检测出同一问题,这正实现了安全的层次性。
三、自适应网络入侵检测系统
自适应网络入侵检测系统是利用扫描器确定网络状况,用户化定制入侵检测系统,实质是将非实时入侵检测和实时入侵检测有机结合,提高IDS的工作效率。
由于网络状况的不可知性,一般的IDS的知识库,在初始化设置时会考虑不同的网络环境,进行检测漏洞。如在一个IDS知识库中,既有对MIRCOSOFT的网络环境的检测,又有对 UNIX的网络环境的检测,但在实际状况中单一网络结构中是常见的,这时IDS的工作效率会减小一半。如何根据已知网络环境进行用户化的定制IDS ,是自适应网络入侵检测系统设计的关键。
网络系统管理员可能对它的网络整体状况有一定了解,如在网络中有多少服务器、工作站,使用哪些操作系统等,但对于网络内部结构,如网络服务的漏洞、操作系统有那些补丁就不一定十分了解。而且网络状况是不断变化,实时动态更新的,所以一个好的IDS必须适应网络变化。这些变化有网络状况的不同和同一网络不断变化。自适应网络入侵检测系统,就是利用扫描器的动态扫描来优化IDS。通过扫描器可以对服务器的版本、漏洞进行扫描,在打补丁前,用IDS相关规则去掉不出现的情况,提高效率;并通过定期扫描,审视网络当前状况,IDS根据网络变化适应改变规则,实现实时检测。
自适应入侵监测系统的关键在于以下几个方面:第一,检测速度:由于网络主机众多,就要求探查系统可在较短的时间内完成大规模的网络扫描;第二,判断精确度:把一个安全系统误认为有安全隐患将带来不必要的麻烦,而将一个不安全的系统看成安全系统而信赖更是危险的。第三,漏报率:由于IDS规则不全或由于网络流量大,有丢包现象的出现而没有检测到的漏洞。
在自适应网络入侵检测系统中,由于在IDS中规则使用减少,不仅检测时间缩短,且检测网络流量减小。因此漏报率降低,轻量检测也可提高IDS的执行速度,进行精确模式匹配方式使检测准确性提高。
参考文献:
[1]张俊安.网络入侵检测系统研究与实现[D].成都:西南交通大学,2003.
[2]谢怡宁.基于CVE入侵检测系统研究与实现[D].哈尔滨理工大学,2005.
[3]魏士靖.计算机网络取证分析系统[D].江南大学,2006.
[4]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].邮电设计技术,2002,(6).