摘 要:根据当前的网络现状,对入侵检测的概念,发展历史以及通用入侵检测模型进行了分析和研究。
关键词:入侵检测;滥用监测;异常检测;分布式检测
近年来,随着网络技术的发展和广泛应用,网络安全问题日益突出。而传统的基于防火墙、身份认证以及加密技术等的网络安全防御体系主要是采用禁止策略来进行防御,从网络安全的角度来讲,仅有防御是不够的,还应该采取主动策略,入侵检测技术应运而生,并成为当前网络安全方面研究的热点和重要方向。它改变了以往的被动防御的特点,能够主动实时地跟踪各种危害系统安全的行为,并做出及时的响应。尤其在抵御网络内部的攻击方面,更有独到的特点,成为防火墙之后的又一道安全防线,它主要是根据使用者或资源使用状况来判断是否存在入侵。异常检测首先建立一个对应“正常的系统轮廓”的特征原型,然后把与所建立的特征原型中差别“很大”的行为标志为异常行为。异常检测的模型如图2-1.
异常检测与系统相对无关,通用性较强。并且有可能检测出以前未出现过的新型攻击。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每一个用户的行为是经常变化的,所以它的主要缺陷在于误报率很高(False Positive Rate)。其次由于统计简表要不断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的行为。所以对于什么是“异常”的判断是异常检测中最大的问题。
B、特征检测(Signature-based Detection)
特征检测又称误用检测(Misuse Detection),是指将已知的攻击方式以某种形式存储在知识库中,通过判断知识库中的入侵模式是否出现来检测,如果出现,说明发生了入侵。这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。可以检测已有的攻击,对未知的攻击无法检测。
滥用检测依据具体特征库进行判断,所以检测率(detection rate)很高,能够准确有效的识别出大部分网络攻击,是目前发展比较成熟且普遍使用的入侵检测技术。但缺陷在于:模式匹配算法的计算代价非常大;只能检测出一些攻击特征明显且唯一的攻击,如果攻击特征字符串稍稍发生改变,就可能发生漏检;即只能对己知攻击进行检测,对那些变种的和新的攻击却无能为力;所以漏警率(false negative rate)也较高。
(3)异常检测和滥用检测的比较
比较而言,异常检测试图发现一些未知的入侵行为,而滥用监测则是标识一些已知的入侵行为。异常检测的主要缺陷是误报率太高,例如:将一些正常的行为误报为异常;而滥用监测正好相反,它检测不出新型的攻击类型,必须不断地更新规则库。滥用监测比异常检测具备更好的确定解释能力,开发规则库和特征集合相对于建立系统正常模型而言,也更方便,更容易。
所以滥用检测和异常检测各有长处,而从实际商用系统来看,大多数都是采用滥用入侵检测技术,但在许多优秀的入侵检测系统中,也采用了不同形式的异常入侵检测模块。如早期的IDES和NIDES系统同时采用统计分析的异常检测和基于专家系统规则的滥用入侵检测技术。从最终的需求来看,联合使用两种技术势在必行。多种检测技术的结合使用,可以有效提高入侵检测系统的性能,更有效的实现入侵检测功能。
三、目前入侵检测系统存在的问题
入侵检测经过近几十年来的发展,仍有许多地方需要提高。根据国外权威机构近来发布的入侵检测产品评测报告,目前主流的入侵检测系统存在的问题表现在以下几个方面:
(1)高速交换网络环境下的检测问题。
(2)恶意数据采用加密方式传输。网络上传输的数据进行了加密之后会大大影响特征检测的规则匹配能力,从而极大影响到网络入侵检测的正常工作。
(3)存在过多的误报和漏报信息。缺乏检测高水平新型攻击的有效手段。
(4)入侵检测系统自身的抗强力攻击能力差。
分析以上问题,不具备检测新攻击类型的能力,是因为以往的检测方法常常使用滥用检测技术,滥用检测的本质决定了它检测不到新型攻击类型。而异常检测就可以很好地解决这个问题,但是异常检测会导致第二个问题,就是误报率比较高。降低误报率同时具备检测新类型攻击的能力对异常检测系统来说是一个很大的挑战。
参考文献:
张新宇,卿斯汉,马恒太,张楠等.特洛伊木马隐藏技术研究,通信学报,.7. 2004
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。