現在位置：范文先生網>商務管理論文>電子商務論文>入侵檢測概念、過程分析和布署

入侵檢測概念、過程分析和布署

時間：2023-02-20 08:37:13 電子商務論文我要投稿

相關推薦

入侵檢測概念、過程分析和布署

1、入侵檢測的基本概念

入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”（參見國標GB/T18336）。入侵檢測是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異�，F象的技術，是一種用于檢測計算機網絡中違反安全策略行?募際�。�?腥肭旨觳獾娜砑?胗布?淖楹媳閌僑肭旨觳庀低常↖ntrusion Detection System，簡稱IDS）。

2、入侵檢測系統的發展歷史

1980年JamesP.Anderson在給一個保密客戶寫的一份題為《計算機安全威脅監控與監視》的技術報告中指出，審計記錄可以用于識別計算機誤用，他給威脅進行了分類，第一次詳細闡述了入侵檢測的概念。1984年到1986年喬治敦大學的DorothyDenning和SRI公司計算機科學實驗室的PeterNeumann研究出了一個實時入侵檢測系統模型- IDES（Intrusion Detection Expert Systems入侵檢測專家系統），是第一個在一個應用中運用了統計和基于規則兩種技術的系統，是入侵檢測研究中最有影響的一個系統。1989年，加州大學戴維斯分校的Todd Heberlein寫了一篇論文《A Network SecurityMonitor》，該監控器用于捕獲TCP/IP分組，第一次直接將網絡流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異種主機，網絡入侵檢測從此誕生。

3、系統模型

為解決入侵檢測系統之間的互操作性，國際上的一些研究組織開展了標準化工作，目前對IDS進行標準化工作的有兩個組織：IETF的Intrusion Detection Working Group（IDWG）和Common Intrusion Detection Framework（CIDF）。CIDF早期由美國國防部高級研究計劃局贊助研究，現在由CIDF工作組負責，是一個開放組織。

CIDF闡述了一個入侵檢測系統（IDS）的通用模型。它將一個入侵檢測系統分為以下組件：事件產生器（Event generators），用E盒表示；事件分析器（Event analyzers），用A盒表示；響應單元（Responseunits），用R盒表示；事件數據庫（Event databases），用D盒表示。

圖1 CIDF模型結構圖

CIDF模型的結構如下：E盒通過傳感器收集事件數據，并將信息傳送給A盒，A盒檢測誤用模式；D盒存儲來自A、E盒的數據，并為額外的分析提供信息；R盒從A、E盒中提取數據，D盒啟動適當的響應。A、E、D及R盒之間的通信都基于GIDO（generalized Intrusion detection objects，通用入侵檢測對象）和CISL（common intrusion specification language，通用入侵規范語言）。如果想在不同種類的A、E、D及R盒之間實現互操作，需要對GIDO實現標準化并使用CISL。

4、分類4.1 按照檢測類型劃分

從技術上劃分，入侵檢測有兩種檢測模型：

（1）異常檢測模型（Anomaly Detection）：檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為，那么每項不可接受的行為就應該是入侵。首先總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。這種檢測模型漏報率低，誤報率高。因為不需要對每種入侵行為進行定義，所以能有效檢測未知的入侵。

（2）誤用檢測模型（Misuse Detection）：檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會引起告警。收集非正常操作的行為特征，建立相關的特征庫，當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。這種檢測模型誤報率低、漏報率高。對于已知的攻擊，它可以詳細、準確地報告出攻擊類型，但是對未知攻擊卻效果有限，而且特征庫必須不斷更新。

4.2 按照檢測對象劃分

基于主機：系統分析的數據是計算機操作系統的事件日志、應用程序的事件日志、系統調用、端口調用和安全審計記錄。主機型入侵檢測系統保護的一般是所在的主機系統。是由代理（agent）來實現的，代理是運行在目標主機上的小的可執行程序，它們與命令控制臺（console）通信。

基于網絡：系統分析的數據是網絡上的數據包。網絡型入侵檢測系統擔負著保護整個網段的任務，基于網絡的入侵檢測系統由遍及網絡的傳感器（sensor）組成，傳感器是一臺將以太網卡置于混雜模式的計算機，用于嗅探網絡上的數據包。

混合型：基于網絡和基于主機的入侵檢測系統都有不足之處，會造成防御體系的不全面，綜合了基于網絡和基于主機的混合型入侵檢測系統既可以發現網絡中的攻擊信息，也可以從系統日志中發現異常情況。

5、入侵檢測過程分析

過程分為三部分：信息收集、信息分析和結果處理。

（1）信息收集：入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態和行為。由放置在不同網段的傳感器或不同主機的代理來收集信息，包括系統和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行。

（2）信息分析：收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時，產生一個告警并發送給控制臺。

（3）結果處理：控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。

6、IDS部署實例

圖2 RealSecure的部署圖

圖2

為ISS（Internet　Security　Systems）RealSecure的部署圖，RealSecure是一種混合型的入侵檢測系統，提供基于網絡和基于主機的實時入侵檢測。其控制臺運行在Windows　2000上。RealSecure的傳感器是自治的，能被許多控制臺控制。各部分的功能如下：

（1）ReaISecure控制臺：對多臺網絡傳感器和服務器代理進行管理；對被管理傳感器進行遠程的配置和控制；各個監控器發現的安全事件實時地報告控制臺。

（2）Network　Sensor（網絡引擎）：對網絡進行監聽并自動對可疑行為進行響應，最大程度保護網絡安全；運行在特定的主機上，監聽并解析所有的網絡信息，及時發現具有攻擊特征的信息包；檢測本地網段，查找每一數據包內隱藏的惡意入侵，對發現的入侵做出及時的響應。當檢測到攻擊時，網絡引擎能即刻做出響應，進行告警/通知（向控制臺告警、向安全管理員發E-mail、SNMP trap、查看實時會話和通報其他控制臺），記錄現場（記錄事件日志及整個會話），采取安全響應行動（終止入侵連接、調整網絡設備配置，如防火墻、執行特定的用戶響應程序）。

（3）Server　Sensor（服務器代理，安裝在各個服務器上）：對主機的核心級事件、系統日志以及網絡活動實現實時入侵檢測；具有包攔截、智能報警以及阻塞通信的能力，能夠在入侵到達操作系統或應用之前主動阻止入侵；自動重新配置網絡引擎和選擇防火墻阻止黑客的進一步攻擊。

7、發展趨勢

對分析技術加以改進：采用當前的分析技術和模型，會產生大量的誤報和漏報，難以確定真正的入侵行為。采用協議分析和行為分析等新的分析技術后，可極大地提高檢測效率和準確性，從而對真正的攻擊做出反應。協議分析是目前最先進的檢測技術，通過對數據包進行結構化協議分析來識別入侵企圖和行為，這種技術比模式匹配檢測效率更高，并能對一些未知的攻擊特征進行識別，具有一定的免疫功能；行為分析技術不僅簡單分析單次攻擊事件，還根據前后發生的事件確認是否確有攻擊發生、攻擊行為是否生效，是入侵檢測技術發展的趨勢。

增進對大流量網絡的處理能力：隨著網絡流量的不斷增長，對獲得的數據進行實時分析的難度加大，這導致對所在入侵檢測系統的要求越來越高。入侵檢測產品能否高效處理網絡中的數據是衡量入侵檢測產品的重要依據。

向高度可集成性發展：集成網絡監控和網絡管理的相關功能。入侵檢測可以檢測網絡中的數據包，當發現某臺設備出現問題時，可立即對該設備進行相應的管理。未來的入侵檢測系統將會結合其它網絡管理軟件，形成入侵檢測、網絡管理、網絡監控三位一體的工具。

【入侵檢測概念、過程分析和布署】相關文章：

無線局域網入侵檢測現狀和要點08-05

權力概念分析08-17

企業概念與地位的法律分析08-18

光纖擾動入侵檢測系統的設計與實現08-06