您好, 访客   登录/注册

分布式入侵检测系统相关技术的研究

来源:用户上传      作者: 李洪波

  【摘 要】本文从网络安全技术角度出发研究入侵检测系统的相关入侵技术和防御手段,总结了目前分布式入侵检测系统存在的问题并分析出以后入侵检测系统的研究方向。
  【关键词】入侵检测;网络安全;漏洞评估;分布式计算
  在计算机网络技术飞速发展的当下,信息与网络安全形势也日趋严峻和复杂化。各国计算机技术人员的共同目标是从技术、管理、法律等多方面采取综合措施保障信息与网络安全。但是计算机网络在协议、服务和管理等方面都存在缺陷,网络黑客利用这些漏洞进行非法活动,因此研究高效的安全检测技术和开发实用的安全检测系统具有重大的理论和实践意义。
  1 Internet的本身就存在着安全性问题
  Internet的不安全因素主要集中在以下几个方面:TCP/IP协议和服务本身的弱点,网络配置中缺乏统一策略,弱用户认证机制,易受到冒充和探测,社会和人为因素等。计算机网络中活跃着的黑客们寻找系统的漏洞进行攻击,通过上述一些缺陷就可以进行攻击,造成网络的不安全性。
  2 网络安全技术分析
  为了保护Internet上信息、服务和访问的安全性,人们开发了多种安全协议和技术,主要有以下几种:
  (1)存取控制:存取控制规定操作权限的分配,它一般与身份验证技术一起使用,根据不同身份的用户给予不同的操作权限,以实现不同安全级别的信息分级管理。
  (2)数据完整性:保证数据完整性至关重要,以免在传输过程中被篡改,因此需要验证收到的数据和原来数据之间保持一致。
  (3)加密技术:加密是一种最基本的安全技术,主要用在数据存储、数据传输和口令技术中。现在金融系统和商界普遍使用的算法是美国商界加密标准DE3。
  (4)用户身份认证:它是互联网上信息安全的第一道屏障。用户身份认证即校验用户访问系统和使用信息的资格,它是网络安全的关键技术。
  (5)安全协议:目前在TCP/IP下一版本(IPv6)中就增加TAH和ESP机制及其它安全措施。
  (6)防火墙技术:防火墙技术可通过与加密技术、用户身份认证技术相结合,能够保证对安全协议的保护,是一种比较有效的保护网络安全的方法。
  (7)入侵检测技术:入侵检测和漏洞检测技术是网络安全技术的重要组成部分,它们不但可以实现复杂的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,发出警告或实时对攻击做出反应。
  3 网络入侵技术分析
  IDS的研究始于20世纪80年代,安德逊于1980年引入入侵检测概念时,将入侵企图或威胁定义为故意非授权的企图进行以下活动的潜在可能性,这些活动包括:访问信息、修改信息、致使系统不可靠或不可用。因此入侵可以定义为任何企图破坏信息或资源的机密性、完整性、以及可用性的行为。
  美国IDG InfoWorld测试中心小组开发了一种可以称之为Benchmarking类型的测试基准:IWSS16。通过收集上千种典型且可以公开得到的攻击方法并对其进行组合,形成了IWSS16。IWSS16主要由四种主要类型的攻击手段组成:
  (1)收集信息:网络攻击者经常在攻击之前,先进行试探性的攻击,以便获得系统有用的信息,主要手段有捕包(sniffing),PING扫描,端口扫描,帐户扫描,DNS转换等操作。
  (2)获取访问权限以各种手段获取对网络和系统的特权访问,目的是获取有价值的信息。
  (3)拒绝服务(Denial of Service)DoS是最不容易捕获的攻击,因为它不易留下痕迹,安全管理人员不易确定攻击来源。这种攻击通过大量不间断的申请使得系统处于繁忙状态直至系统瘫痪;拒绝服务供给还可以利用操作系统的漏洞进行针对性的攻击。
  (4)逃避检测:入侵者往往在攻击之后,使用各种逃避检测的手段,使其攻击的行为不留痕迹。典型的特点是修改系统的安全审计记录。
  4 安全检测技术
  入侵检测已经被视为防火墙的合理补充,它从安全审计,安全监控,攻击识别,以及对攻击的反应这几方面加强了系统管理员的安全管理能力。通过入侵检测系统可以使计算机系统对攻击有所准备并能及时做出反应。入侵检测系统从计算机系统的大量数据中搜集信息并分析这些信息以查找出有安全问题的症状。入侵检测系统通过收集和分析信息能够完成诸多功能,如检测和分析用户的活动、审核系统配置和漏洞、对系统和数据文件的完整性进行评估、识别反映己知攻击模式的行为、统计分析异常行为模式、操作系统日志管理,并支持对违反策略的用户行为的识别。
  漏洞评估工具对系统执行严格的检查以定位可导致安全侵害的弱点。漏洞评估工具使用两种策略来执行这些检查。
  第一种是被动的,从主机本身出发进行检查,通过系统配置文件的设置问题到系统口令的复杂和保密程度,并从中找出一些违反安全策略的内容。第二种是主动的,它通过模拟已知的入侵脚本来对系统进行“攻击”,然后根据系统做出的反映来进行漏洞评估分析。
  尽管这些系统不能可靠地检测正在进行的攻击,但是它们可以确定攻击是否可能发生,此外,有时它们也能确定攻击是否已经发生。由于它们提供的功能与入侵检测系统相似,我们也将它们包括到入侵检测技术与工具范围内来.漏洞评估技术发展的比较成熟,己有不少成形的工具包。
  5 现存入侵检测的问题和展望
  入侵检测在网络安全方面的作用是不可小觑的,它已经成为网络安全体系结构和完整的安全解决方案的重要组成部分。可以说它也是网络安全的最后一道防线,同时它还保护着其他安全子系统。国外很多机构和研究人员对网络安全的研究起步较早,有一些入侵检测的产品,一开始主要是检测一些漏洞的工具包还有扫描端口的工具,逐渐发展成现在的一些成型的入侵检测产品,而且应用效果也很突出。国内在这方面的研究起步比较晚,还没有什么具体的成果出现。对于入侵检测系统的研究瓶颈在于数据的处理方面,通过分布式计算能够很大程度的解决该问题,目前研究的主要方向都在分布式计算的上。在处理网络中的入侵检测系统中大量的数据时发现,如果处理的数据不够快,不能够有效的进行处理出现丢包或者检测系统中出现单点失效,那么入侵检测系统就是去了意义。随着网络的飞速发展,中间件技术的成熟,推动了分布式系统的发展,处理数据不再使用大型机而是逐步被分布式系统渐渐取代。因此研究分布式计算在入侵检测领域的应用是非常有价值的。
  同时为了弥补入侵检测系统的智能方面的不足,研究人员引入了基于专家系统的、基于模型推理的和基于神经网络的分析方法,这样入侵检测系统在检测已知系统攻击的同时还能够检测到未知的入侵和更为复杂的入侵,例如通过系统的自学习系统能够实现检测,能够根据实际检测到的信息有效的加以处理并做出入侵可能性的判断。但该方法还不成熟,时常会出现误报、漏报的现象,对于用户正常行为突发改变会不适应,而且还没有出现较为完善的产品。目前的入侵检测主要根据网络中主要的节点进行检测,根据端口的流量监听,并将数据进行统计和分析,从主要容易被攻击的目标主机上进行日志和系统参数的提取和分析,从中找出入侵特征并对其进行预警,或自动处理。但是目前的入侵检测系统受到多方面的制约,如检测的速度、设备的可扩展性以及被攻击后失效等因素。当网络中的主要节点被攻击,有没能及时的采取措施造成了节点主机瘫痪,那么整个系统将陷入困境。那么如何处理以上问题成为目前的主要研究方向,提高系统的可扩展性,提高计算速度和分析能力而采取分布式计算系统的入侵检测系统正在摸索阶段。如能将分布式计算和多种入侵检测技术完美的结合将很好地解决现有入侵检测系统的瓶颈问题。
  【参考文献】
  [1]耿麦香.网络入侵检测技术研究综述[J].网络安全技术与应用,2004(06).
  [2]赵振辉.基于Agent和聚类的网分析络入侵检测研究[J].微电子学与计算机.2013(03).
  [责任编辑:许丽]
转载注明来源:https://www.xzbu.com/8/view-6239906.htm