浅谈网络入侵检测技术
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅谈网络入侵检测技术范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:传统的操作系统加固技术和防火墙等都是静态安全防御技术,对互联网中千变万化的攻击方式缺乏主动的防范措施;而网络入侵检测技术则是动态安全技术的核心技术之一,不仅可以修复防火墙的漏洞,提高系统防御级别,也可提高系统管理员的安全管理能力,完善信息安全检测技术的系统性。
关键词:网络入侵;入侵检测;动态安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)21-5735-02
On Network Intrusion Detection Technology
LI Hong-juan, GUO Xiang-yang
(Henna Business College, Zhengzhou 450044, China)
Abstract: Reinforcement of traditional operating system and firewall security and defense technology are all static, changing on the Internet attacks the lack of proactive preventive measures; and network intrusion detection technology is the core technology of dynamic security technology, one can not only repair the firewall vulnerabilities, improve system-level defense, but also improve the system administrator's security management capabilities, improve the detection of systematic information security.
Key words: network intrusion; intrusion detection; dynamic security
只要允许内部网络与Internet相连,攻击者入侵的危险就会存在。由于入侵的行为与正常的访问或多或少有些差别,通过收集和分析这种差别可以发现绝大部分的入侵行为,入侵检测系统(Intrusion Detection System,IDS)应运而生。
入侵检测系统是一个比较复杂和难度较大的研究领域。首先,入侵检测系统是网络安全技术和信息处理技术的结合,为了了解入侵检测系统,必须同时具备这两个方面的知识,入侵检测系统的检测效果依赖于对这些知识的掌握与融合,其次,入侵事件往往是人为地入侵,有黑客主动实现,黑客对网络安全以及入侵检测系统本身有一定的了解。最后,入侵检测系统是一个计算机网络安全产品或工具,一个实实在在的计算机程序,所以它的运行效率和检测效果也跟程序编写的技术有关。
入侵检测是对网络入侵行为的检测,通过观察和收集网络行为、安全日志、审计数据或其他网络系统中若干关键点信息来分析,从中检测出计算机网络或计算机系统中是否有违反安全策略的行为或被攻击的迹象,使安全管理员能够及时的处理入侵警报,尽可能的减少入侵对系统的损害,是主动保护自己免受攻击的一种网络安全技术。
入侵检测系统实际是一种是使检测和分析过程自动化的产品,可以是软件,也可以是硬件,最常见的是软件与硬件的结合,所以,通常把负责入侵检测的软硬件结合体称为入侵检测系统。
1 检验入侵检测技术成功的条件
一个成功的入侵检测系统至少要满足下面的5个要求:
1) 实时性要求:如果能尽早觉察或发现攻击的企图或攻击行为,就有可能追踪到入侵者的位置,阻止其进一步的破坏活动,就有可能最小限度的控制破坏程度,并实时记录下攻击过程,以此为依据来防御再次入侵。同时,实时入侵检测可以突破系统安全管理员只单一的通过分析和审计系统日志来追踪入侵者或入侵行为线索时的局限性。
2) 可扩展性要求:入侵手段千变万化,攻击活动的特点也各有迥异,所以必须建立一种长效防御机制,将入侵检测系统的基本结构体系与应用功能划分开。入侵检测系统必须能够在新的攻击种类出现时,可利用这种机制在无须改动入侵检测系统基本结构体系的情况下,能尽早检测到新的入侵行为。同时,还必须建立一种可拓展功能的结构体系,一方面可满足适应拓展的需求,另一方面可进一步完善入侵检测系统的功能体系。
3) 适应性要求:入侵检测系统必须能够适应各种不同的环境,比如大流量网络环境、高速运算的计算机物理环境等,而且当系统环境发生改变时,比如环境中主机数量增加或计算机体系类型发生改变,入侵检测系统依然能够正常工作。除此之外,入侵检测系统的适应性还应该包括跨平台工作的能力,适应不同软硬件配置的各种平台。
4) 安全性与可用性要求:入侵检测系统必须应当尽最大可能的完善与强壮,不能给跨平台计算机系统以及其所属的网络环境引入新的安全隐患和安全问题。同时,针对入侵检测系统类型与工作原理,必须要考虑其预见性,对系统所有可能的攻击威胁能觉察以及处理,确保该类型的入侵检测系统的安全性与可用性。
5) 有效性要求:能够证明根据某一设计所建立的入侵检测系统是切实有效的。即针对攻击事件的错报与漏报能够控制在一定的范围内;同时,入侵检测系统在发现入侵后,能够及时作出响应,有些响应是自动的,如通过实时检测数据、网络日志、E―mail、系统控制平台等方式通知系统安全管理员,终止攻击进程、断开网络连接、关闭系统,执行相应抵御措施的命令等。
除此之外,入侵检测系统还应该能够让网络管理员实时了解网络系统的任何变更情况;为管理员提供制定系统网络安全策略的指南;其应该管理便捷、配置简单,非专业人员容易操作;其规模应该依据网络系统的结构、安全需求的等级和攻击威胁的变化而改变。
2 入侵检测系统的组成
一个简单的入侵检测系统可以分为数据采集、入侵分析引擎、管理配置、相应处理和相关的辅助模块等。
1) 数据采集模块:为入侵分析引擎模块提供分析用的数据。一般有操作系统的审计日志、应用程序日志、系统生成的校验和数据,以及网络数据包等。
2) 入侵分析引擎模块:依据辅助模块提供的信息(如攻击模式),按照一定的算法对收集到的数据进行分析,从中判断是否有入侵行为出现并产生入侵报警。该模块是入侵检测系统的核心模块。
3) 管理配置模块:它的功能是为其他模块提供配置服务,是入侵检测系统中模块与用户的接口。
4) 响应处理模块:当发生入侵后,预先为系统提供紧急的措施,如关闭网络服务、中断网络连接及启动备份系统等。
5) 辅助模块:协助入侵分析引擎模块工作,为它提供相应的信息,如攻击模式库、系统配置库和安全控制策略等。
3 入侵检测系统的特点
1) 动态的安全防御技术。传统的安全防御技术都是静态的,比如防火墙隔离技术、操作系统加固技术等,对各式各样的攻击手段缺少主动的响应,而入侵检测系统则可以通过分析和研究攻击行为的特征和过程,对攻击活动能够做出实时的响应。所以,入侵检测系统是动态的安全防御技术的最核心技术之一。
2) 入侵检测系统是防火墙的合理补充。防火墙是计算机网络安全策略中的一个很重要的方面,能够在内外网之间提供安全的网络保护,可以限制一些地址(例如攻击者的地址)不能访问用户的计算机或者限制攻击者不能访问用户计算机的某些服务,这样尽管用户的计算机上存在安全漏洞,攻击者也不能进行攻击,提高了网络安全系数。但是,对于网络安全来说,仅依赖防火墙是远远不够的,其存在一定的安全风险;攻击者可查找和追踪防火墙的漏洞,也有可能入侵者就存在于防火墙的内部,使其不在控制范围之内;由于防火墙性能限制,不能提供实时的入侵检测功能。
因此,入侵检测系统是防火墙的升级版,是计算机系统安全的第二道闸门,不仅能够帮助系统抵御网络威胁,也能提供对内外部攻击和错误操作的实时保护,这样一方面提高了网络管理员的安全管理能力(包括记录、监视、入侵识别和响应、安全数据审计),另一方面也提高了安全基础结构体系的完整性。这些都通过完成以下操作来实现:
① 监视和分析不同用户及系统活动,实时查找合法用户和非法用户的越权行为。
② 查找和审计系统结构和缺陷,提示安全管理员修补系统漏洞。
③ 识别和检测已攻击行为的活动模式并向安全管理员报警,并且能够实时对检测到的攻击行为进行主动响应。
④ 统计和分析异常行为模式,找出攻击行为的规律。
⑤ 评估和检验系统各个关键点、数据信息、重要文件的完整性。
⑥ 跟踪和审计计算机系统,识别用户的违规操作。
3) 入侵检测系统是黑客的克星。入侵检测和安全防护有根本性的区别:安全防护和黑客的关系是“防护在明,黑客在暗”,入侵检测和黑客的关系是“黑客在明,检测在暗”。安全防护主要修补系统和网络的缺陷,增加系统的安全性能,从而消除攻击和入侵的条件;入侵检测并不是根据网络和系统的缺陷,而是根据入侵事件的特征去检测的(入侵检测的特征一般与系统缺陷有逻辑关系),所以入侵检测系统是黑客的克星。
4 结束语
随着科学技术日新月异的发展,计算机网络存在着更多地安全隐患,安全抵御技术研究就显得尤为重要。对于传统静态的安全技术已经不能完全抵御现有的网络威胁和入侵行为,因此动态的入侵检测系统应运而生。入侵检测系统具有预见可能的网络威胁功能;可通过监视控制平台等方式识别入侵行为;记录分析入侵活动的全过程,发现攻击行为的活动规律并做出及时反应;可实时保护系统避免破坏环境的网络攻击。所以入侵检测系统能够提高系统管理员的安全管理能力,是防火墙的合理补充,是网络安全抵御技术中最核心技术之一。
参考文献:
[1] 周苏.信息安全技术[M].北京:中国铁道出版社,2009:110-112.
[2] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2007:106-117.
[3] 尹才荣.基于混合入侵检测技术的网络入侵检测方法[J].合肥工业大学学报(自然科学版),2009(2):45-46.
[4] 鲁鹏等.浅析网络入侵检测技术在校园网络中的应用[J].中国科技信息,2009(8):5-7.