现行IDS及其存在的问题
开篇:润墨网以专业的文秘视角,为您筛选了一篇现行IDS及其存在的问题范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:在分析入侵检测系统、技术以及其它正在研究的入侵检测方法的基础上,对现行入侵检测系统存在的问题进行了分析研究。
关键词:入侵检测系统,基于网络的入侵检测系统,基于主机的入侵检测系统,异常检测,误用检测
中图分类号:TP309文献标识码:A文章编号:1009-3044(2007)06-11564-01
1 引言
目前采用的入侵检测系统主要有基于网络的入侵检测系统,基于主机的入侵检测系统,常用的入侵检测技术主要有异常检测和误用检测两种,以及正在研究的目前尚未成熟的其它入侵检测技术,但就现行的入侵检测系统来说也存在着许多不容忽视的问题。
2 入侵检测及其分类
入侵检测的概念首先是由James Anderson[1]于1980年提出来的。入侵是指在信息系统中进行非授权的访问或活动。
2.1入侵检测定义
入侵检测可以被定义为识别出正在发生的入侵企图或已经发生的入侵活动的过程[2]。入侵检测包含两层意思:一是对外部入侵(非授权使用)行为的检测;二是对内部用户(合法用户)滥用自身权限的检测。
2.2入侵检测系统分类
根据信息的来源可将入侵检测系统分为基于网络的入侵检测系统(Nids)和(HIDS)两大类。
(1)基于网络的入侵检测系统
基于网络的入侵检测系统的信息来源为网络中的数据包。NIDS通常是在网络层监听并分析网络包来检测入侵,可以检测到非授权访问、盗用数据资源、盗取口令文件等入侵行为。它不需要改变服务器等主机的配置,不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,与路由器、防火墙等关键设备工作方式不同,它不会成为系统中的关键路径,它发生故障不会影响到正常的网络运行。
(2)基于主机的入侵检测系统
基于主机的入侵检测系统的信息来源为操作系统事件日志、管理工具审计记录和应用程序审计记录。它通过监视系统运行情况、审计系统日志文件和应用程序日志来检测入侵来检测入侵。HIDS可以检测到用户滥用权限、创建后门帐户、修改重要数据和改变安全配置等行为,同时还可以定期对系统关键文件进行检查,计算其校验值来确信其完整性。
3 入侵检测技术
入侵检测技术可以分为两大类:异常检测和误用检测[3]。异常检测则提取正常模式下审计数据的数学特征,检查是否存在与之相违背的异常模式;误用检测搜索审计事件数据,查看其中是否存在预先定义好的误用模式。
3.1异常检测
异常检测是基于入侵是系统中的异常行为,它没有各种入侵的相关知识,但是有被检测系统、用户乃至应用程序正常行为的知识。它为系统和用户建立正常的使用模式,这些模式通常使用一组系统的度量来定义,所谓度量,是指系统和用户行为在特定方面的衡量标准,每一个度量都对应于一个门限值或相关的变动范围,如果系统和用户的行为超出了正常范围,就认为发生了入侵。 异常检测常用的方法有:量化分析、统计分析和神经网络。
(1)量化分析
量化分析是使用数字来定义检测规则,包括从简单的计数到复杂的加密运算,计算的结果作为异常检测统计模型的基础。常用的量化分析方法有门限检测、启发式门限检测和目标完整性检查。
(2)统计分析
统计分析为每一个系统用户和系统主体建立统计行为模式,且定期更新,及时反映用户行为的变化。检测系统维护一个由行为模式组成的统计知识库,每个模式采用一系列系统度量来表示特定用户的正常行为,当用户的行为偏离其正常的行为模式时,就认为发生了入侵。
(3)神经网络
神经网络则是由大量并行的分布式处理单元组成,每个单元都能存储一定的“知识”,单元之间通过带有权值的连接进行交互。神经网络所包含的知识体现在网络结构当中,学习过程表现为权值的改变和连接的增加或删除。
3.2误用检测
误用检测首先对特定入侵的行为模式进行编码,建立误用模式库,然后对实际检测过程中的数据进行过滤,检查是否包含有入侵行为的标识。
误用检测中常用的方法有:简单的模式匹配、专家系统和状态转移法。
(1)简单的模式匹配
简单的模式匹配拥有一个攻击特征数据库,当被检测的数据与数据库中的某个模式相匹配,就认为发生了入侵。
(2)专家系统
专家系统则是首先使用If-Then的规则格式输入已有的攻击模式,然后输入检测数据,系统根据知识库中的内容对检测数据进行评估,判断是否存在入侵行为模式。
(3)状态转移法
状态转移法采用优化的模式匹配技术来处理误用检测的问题,这种方法采用系统状态和状态转移的表达式来描述已知的攻击模式。状态转移法主要有状态转移分析和着色Petri网两种。
3.3其它入侵检测方法
在网络入侵检测系统的发展过程中,出现了一些目前还不成熟,且不能简单地归结为误用监测或异常检测的技术,如:基于免疫系统的检测方法、遗传算法和基于内核的检测等。
(1)基于免疫系统的检测方法
免疫系统是保护生命机体不受病原体侵害的系统,它对病原体和非自身组织的检测是相当准确的,不但能够记忆曾经感染过的病原体的特征,还能够有效地检测未知的病原体。免疫系统具有分层保护、分布式检测、各部分相互独立和检测未知病原体的特性,这些都是计算机安全系统所缺乏和迫切需要的。免疫系统最重要就是识别自我(Self)和非自我(Nonself)。
(2)遗传算法
遗传算法是进化算法的一种,引入了达尔文在进化论里提出的自然选择概念对系统进行优化,它利用对“染色体”的编码和相应的变异和组合,形成新的个体。算法对需要进行优化的系统变量进行编码,作为构成个体的“染色体”,再利用相应的变异和组合,形成新的个体。在遗传算法中,入侵的检测过程可以抽象为:为审计记录定义一种向量表示形式,这种向量或者对应于攻击行为,或者表示正常行为。通过对所定义向量进行的测试,提出改进的向量表示形式,并不断重复这个过程,直到得到令人满意的结果。
4 基于内核的检测方法
基于内核的检测方法的核心是从操作系统的层次上看待安全漏洞,采取措施避免安全隐患,主要通过修改操作系统源码或向内核中加入安全模块来实现。
5 现行入侵检测系统存在的主要问题
有效检测至少包含两点:首先,能快速地检测到非授权行为,并对潜在可能的攻击采取应急措施;第二,及时检测并减少攻击行为。但不幸的是,检测攻击行为并发出报警并不总是件容易的事,现行的网络入侵检测系统(NIDS)也是如此。
基于规则的NIDS都有一个庞大的规则库,一旦某个试图进入网络的行为包含了规则库中的一个或者多个规则,那么NIDS就判断该网络连接是个可疑的或者未授权的行为而发出报警信息。不幸的是,NIDS会产生大量的误报和漏报信息,除此之外,还存在及时更新规则库的问题。一旦有新的攻击出现,就要定义相应的规则,而更新规则的过程永无止境,如同新攻击层出不穷一样。
基于异常的NIDS是通过学习正常的网络行为对不正常的网络行为发出报警信息,它的技术关键就是学习什么是正常的,然而,新的程序和技术不断的添加到网络中,如:网络交谈、视频流、动态IP等不断出现的新协议,使得要想建立一个基于某种正常行为的NIDS非常困难。
因此,现行入侵检测系统(NIDS)都会面临以下问题:
(1)数据过载:NIDS一般都会产生大量的报警信息,且既耗费资源又费时间,要分析这些海量的报警信息,取得有价值的信息需要专业人士进行分析。
(2)误报:NIDS最大的问题就是产生虚假的报警信息,许多NIDS在鉴别合法的行为和可疑的连接之间,都存在着困难,如:一个带有演示某个攻击实例的页面都会被NIDS误认为是一次攻击行为,因为实例代码匹配了某条规则。
(3)漏报:NIDS经常产生漏报,尤其是对新出现的攻击,攻击者开发出新的工具和方法绕过NIDS,或者这些攻击以前就从来没有被截获过,NIDS对这些攻击工具和方法就显得无能为力,从而产生漏报。
(4)资源:NIDS需要一定的硬件资源以匹配所在网络的带宽。网络带宽越大,流量越大,对NIDS的硬件要求就越高,另外,还需要大型数据库存储报警信息,当局域网的带宽从百兆到千兆时,这个问题会越突出。
(5)加密:NIDS往往假设攻击信息是通过明文传输的,对信息的稍加改变便可能骗过NIDS的检测。将网络连接进行加密,对提高网络的安全性以及用户数据的保密性都有好处,但是也会使网络入侵检测系统对网络上发生的一切一无所知。还有许多系统通过VPN(虚拟专用网)进行网络之间的互联,如果NIDS不了解其所用的隧道机制,就会出现大量的误报和漏报。
(6)对NIDS自身的攻击:和其他系统一样,NIDS本身也存在安全漏洞。若对NIDS攻击成功,则直接导致其报警失灵,入侵者的行为将无法被记录。
(7)安全问题正日渐突出:攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法,NIDS必须不断跟踪最新的安全技术。
6 结束语
在人类社会日益信息化和网络化的过程中,如何保障信息系统和计算机网络的安全正成为人们关注的焦点问题。入侵检测作为网络安全的重要手段之一,在保护信息系统安全中发挥着不可替代的作用,但随着网络规模的不断扩大和攻击手段的日益增多,入侵检测由于自身存在的问题也面临着许多挑战,需要不断用新的理论和方法来改进和增强入侵检测系统。
参考文献:
[1]puter Security Threat Monitoring and Surveillance[M].Technical Report,James P.Anderson Co., Fort Washington, PA,April,1980.
[2]P.E.Proctor.The Practical Intrusion Detection Handbook[M].New Jersey,Prentice Hall PTR,2001.
[3]戴英侠,连一峰,王航.系统安全与入侵检测[M].清华大学出版社,2002.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。