基于网络入侵分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于网络入侵分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着网络的高速发展,网络信息安全问题不断暴露出来。本文主要对入侵检测系统中的网络入侵检测系统(NIDS)的进行分析,对网络入侵的各模块都进行了分析,并分析了系统的优缺点和发展趋势。
关键词:网络入侵; 入侵检测系统;信息安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)22-661-03
Based on the Analysis of Network Intrusion
ZHAO Yong-chi1,YANG Fu2
(work Center,Mianyang Normal University,Mianyang 621000,China;2.Department of Mathematics and Computer Science,Mianyang Normal University,Mianyang 621000,China)
Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.
Key words:Network Intrusion;intrusion detection systems;information security
1 引言
随着网络应用范围的不断扩大,对网络的各类攻击与破坏也与日俱增。无论政府、商务,还是金融、媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安全的重要组成部分,同时也是国家网络经济发展的关键。传统的安全技术虽然可以在一定程度上有效地防范外来攻击者的破坏行为,但它们对于授权用户滥用权限的行为却无能为力。虽然可以通过防火墙的包过滤、应用层网关以及虚拟网(VLAN)技术来防止诸如协议漏洞、源路由和地址假冒等多种攻击手段,但却不能防止层出不穷的应用系统设计上的缺陷和通过加密通道所进行的攻击。因此仅通过访问控制技术和防火墙技术是远远不够的,需要一种能及时发现并报告系统非授权访问或异常现象的技术,即入侵检测。
2 入侵检测简介
2.1 入侵检测概述
入侵检测技术是为确保计算机系统的安全性而设计一种能够及时发现自我检测并发现系统中存在的异常现象,是一种用于检测计算机网络中违反安全规则策略的技术。利用审计记录与专家分析,对入侵检测系统已经出现而不希望有的活动,从而进行及早发现与查漏补缺,达到限制这些活动,以保护计算机系统安全的行为。入侵检测系统的应用,能使在入侵攻击对系统发生危害前,检测到可能出现的入侵攻击或者系统缺陷,使用提醒机制与专家策略机制来保护系统的安全性。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。图1表示了一个简单的入侵检测系统得结构。
基于网络的入侵检测系统是使用原始网络数据包作为数据源,一般利用一个网络适配器来实时检测和分析所有通过网络进行传输的通信。一旦检测到攻击,入侵检测系统应答模块就采取通知、报警以及中断连接等方式来对攻击作出反应。下面仅对网络入侵检测系统总体结构模块进行设计分析。
3 网络入侵检测系统设计分析
3.1 系统设计原理
人们经常根据网络流量,网络包和协议分析来检测入侵。而在这个系统模块设计中,我们通过网络数据包捕获模块来收集数据,这个模块是通过按一定的规则从网络上获取与安全事件相关的数据包。然后将根据数据包并结合网络入侵规则库进行分析,把分析的结果传递给系统管理响应模块进行判断显示。
3.2 系统总体结构设计
一般而言,一个网络入侵检测系统要满足实时性、可扩展性、适应性、安全性和有效性这几个功能要求。系统体系结构如图2所示,从逻辑上可分为数据采集、数据分析和结果显示3部分。此系统主要由以下 5 个模块组成(如图2 所示),下面分别对它们进行介绍。
3.2.1 网络数据包的捕获模块
针对网络入侵检测系统的操作对象主要是网络数据包进行检测,故需有部分网络数据包捕获下来,该模块功能就是从以太网中捕获特定数据包。因此对这个模块的性能要求很高,又因为网络中的数据包很多,如果捕获不及时,就会有漏包的情况出现,因此要根据需要设置过滤网络上的一些数据包,如特定IP、特定 MAC地址、特定协议的数据包。
3.2.2 协议分析模块
协议分析模块必须对捕获到的数据包进行系统的分析,根据网络数据包的协议头和尾,了解信息和相关的数据包在产生和传输过程中的行为,部分分析数据包的内容,检测出每个数据包的类型和特征。仅仅对网络协议进行了系统分析,以及利用各种分析手段,例如统计分析,才能够检测出存在的入侵,并做出正确的决策。由于网络协议非常多,因此就必须分析很多的协议。在大多数系统中,都将分析网络中的大部分协议,包括:TCP,IP,HTTP, ICMP, UDP等。网络协议分析与模式匹配相结合使用能够有效的减少系统运算量,提高系统效率,并解决高速网络下的丢包问题。
3.2.3 存储模块
此模块主要是存储网络的信息,包括收集到的数据包,以及模式库、专家分析模式、系统日志等。由于网络数据包众多,因此必须及时地把它们存储起来,并且在可能情况先进行数据挖掘,发现可能存在的新型攻击模式,这最大的好处可及时发现新型入侵,迅速切断攻击行为,在此基础上可以发现网络的流量情况,例如分析IP协议的分布情况等。
3.2.4 入侵检测模块
该模块是入侵检测系统的重要模块。主要的思路就是根据入侵规则库进行协议分析,运用入侵事件描述语言,对规则库进行匹配看是否有入侵行为发生。基于网络的入侵检测系统首先要先定义好一些已经存在的入侵攻击规则库,并且要实时更新以及具备一定的学习能力,它的知识库丰富与否就决定了入侵检测系统的性能。然后就是转化为分析好的协议和规则库的匹配问题了,如果匹配成功,就说明有入侵事件发生。这就是我们所说的误用检测方法。
其流程如图3所示。
1)首先对模块进行初始化设置,导入设置内容或者定义规则模式;
2)开始网络数据包捕获,收集数据包;
3)协议分析模块参考协议规则对数据包进行解析;
根据解析结果与初始化设置中的规则模式依次分析,根据结果调用相应的响应策略。如此往返进行。
3.2.5 系统响应模块
系统响应根据入侵检测的行为进行处理的一个关键部分,因为当系统检测到入侵的时候,只有通过系统响应来处理相关的事情。系统响应可以分为主动响应和被动响应。在主动响应中,系统自动地或以用户设置的方式来阻断攻击或以其他方式影响攻击过程。目前蜜罐技术就是属于主动响应,它是在检测到入侵后,引诱起到诱骗服务器,然后记录下攻击者的行为,从而获得关于攻击者的详细信息。被动响应是指为用户提供信息,由用户决定下一步应该对攻击行为采取什么措施。以上便是基于网络入侵检测系统的几大主要模块的简要分析设计。
4 网络入侵检测系统的优缺点
4.1 网络入侵检测系统的优点
网络入侵检测系统能够检测那些来自网络的攻击,它能够检测到超过授权的非法访问。网络入侵检测系统不必要改变服务器等主机的配置,由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。
由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作,它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。布署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。
网络入侵检测系统近年内已经向专门的设备发展,安装这样的一个网络入侵检测系统非常方便,只需将定制的设备接上电源,做很少一些配置,将其连到网络上即可。
4.2 网络入侵检测系统的弱点
网络入侵检测系统仅仅检查它直接连接网段的通信,不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使布署整个系统的成本大大增加。
网络入侵检测系统为了提高性能,通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。
网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量,对入侵判断的决策由传感器实现,而中央控制台成为状态显示与通信中心,不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较弱。
网络入侵检测系统处理加密的会话过程较困难,目前通过加密通道的攻击尚不多,但随着IPv6的普及,这个问题会越来越突出。
5 基于网络入侵检测面临要解决问题及解决方案
5.1 高效率的检测算法
开发高效率的检测算法,以降低误报警和漏警率,提高检测的准确性。过多的报警往往导致安全管理员丧失警觉性,反而掩盖真正入侵行为。
5.1.1 计算量大
对于给定网络,每秒需要比较的最大次数为:攻击特征字节数×网络数据包字节数×每秒数据包数量×攻击特征数量。如果所有攻击特征长度为15 个字节,网络数据包平均长度为200字节,每秒15000数据包,供给特征库中有4500 条特征,那么,每秒比较次数为:
15×200×15000×4500=202500000000
5.1.2检测准确性
传统的模式匹配只能检测给定类型的攻击,对稍微变形的攻击特征就束手无策。传统的模式匹配检测方法的问题是它把网络数据包看作是无序的随意的字节流,它对网络数据包的内部结构完全不了解,可是网络通信协议是一个高度格式化的、具有明确含义和取值的数据流。如果将协议分析和模式匹配方法结合起来,可以获得更好的效率、更精确的结果。协议分析技术就是有效利用了网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在。该技术包括协议解码、命令解析和协议校验等技术,简单来说就是让IDS能够读懂协议,知道在数据包的什么位置能够得到什么内容,并且判断出这些内容的真实含义。利用协议分析技术,可以极大地减小运算量。
5.2 攻击特征模式库的智能学习
要解决的问题有通用的入侵描述语言、审计数据标准化以及攻击样本搜集等。若能设计一种可扩充攻击模式,使得模式库随攻击演化,进而适应入侵的行为的变化。允许用户根据环境能够自定义入侵模式特征。
5.3 高速交换网络中的入侵检测
网络信息采集获取。为了解决高速网络环境下的网络入侵检测问题,我们可以设计一个新型的具有灵活伸缩性的网络入侵检测系统,该系统主要从以下3个方面进行了改进:① 利用负载均衡技术,把在前端捕获的高速数据流进行分化,以利于后端的 IDS 进行处理;② 采用基于的分布式体系结构,各分析主机将分析结果传送给相关控制器,中心控制器收集从各子控制器发来的警告信息; ③采用协议分析与模式匹配相结合的检测技术。图4显示了在简单网络入侵检测系统上发展起来的基于均衡负载的多分布式入侵检测系统。
分布式入侵检测系统具有针对高速网络进行快速检测的优点,具有灵活的扩展性,结合网络检测与主机检测的优点,可同时对多点进行检测,避免了单机IDS的不足;同时通过将大量监视任务分配到许多不同的检测结点上,其中每一个分析主机负责检测某几种或某种攻击,同时又通过对分析技术的改进,采用能有效提高检测的效率的协议分析技术与模式匹配技术的有机结合,对检测的速度和效率有了极大的提高。
5.4 IDS评估测试
评测标准、测试数据、评测环境和评测工具等。随着高速网络的发展以及IPV6的逐步推广、操作系统的不断更新和发展,各种新的攻击手段的出现,国际和业内的标准不断的更新和提高,IDS面临着许多新的评测标准和环境。
5.5 IDS与其它系统的协作
各种系统之间的相互协调操作的一致性。防火墙系统与访问控制技术之间的相互配合协调,以发挥出整套安全系统的最大功效。
6 结论
当前,入侵检测系统的应用主要面向网络,尤其是面向广域网,并要求网络能提供有效的入侵反应措施。目前,除了基于统计方法和基于规则和检测方法以外,一些和人工智能相结合的基于知识的检测技术也在日益完善,目的是使入侵检测系统拥有自学习的能力。另外,要完善和发展入侵检测系统,就须对操作系统及网络的漏洞和弱点有深入了解,并对现有检测入侵的具体方法和类型进行研究,如此才能设计出更加有效的入侵检测系统。
参考文献:
[1] 戴云,范平志,入侵检测系统研究综述[J].计算机工程与应用,2002,38(4):17-19,75.
[2] 陈科,李之棠.网络入侵检测系统和防火墙集成的框架模型[J].计算机工程与科学,2001,23(2):26-28.
[3] 罗守山.入侵检测[M].北京:北京邮电大学出版社,2004.
[4] 张晓芬,陈明奇,杨义先.入侵检测系统(IDS)的发展[J].信息安全与通信保密,2002(03).
[5] 蒋建春,冯登国.网络入侵检测原理与技术[M].北京:国防工业出版社,2001.
[6] 王晓程,刘恩德,谢小权. 网络入侵检测系统的研究[J].计算机工程与科学,2004,(04):32-35.
[7] 王晓程,刘恩德,谢小权. 攻击分类研究与分布式网络入侵检测系统[J].计算机研究与发展,2001(06):88-95.
[8] 褚永刚,杨义先.入侵检测系统的技术发展趋势[J].世界电信,2003(05):34-36.
[9] 马恒太,蒋建春,陈伟峰,等.基于 Agent 的分布式入侵检测系统模型[J].软件学报,2000,11(10):1312-1319.