《网络入侵检测技术》由会员分享,可在线阅读,更多相关《网络入侵检测技术(19页珍藏版)》请在金锄头文库上搜索。
1、网络入侵检测技术一、入侵检测发展史1980 年 ,在 James P. Anderson 的文 章 “Computer Security Threat Monitoring and Surveillance ”中 1 , “入侵检测”的概念首次被提出 。为开 发基于主机的 IDS 提供了最初的理论基础。1985年,美国国防部计算机安全中心(NCSC正式颁布了可信任的计算 机系统评估标准 ( Trusted Computer System Evalution Criteria, TCSEC)。TCSE(为预防非法入侵定义了四类七个安全级别。由低到高分别是 D C1、C2 B1、B2、B3、A1,
2、规定C2以上级别的操作系统必须具备审计功能,并记录日志。 TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作 用,是信息安全发展史上的一个里程碑。1988 年,莫里斯( Morris )蠕虫感染了 Internet 上近万台计算机,造成 Internet 持续两天停机。美国空军、国家安全局、加州大学戴维斯分校等 开展 对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集 成到一起 1990年, 加州大学戴维斯分校的 L.T.Heberlein 等人提出了基于网络 的入侵检测概念 ,即将网络数据流作为审计数据来追踪可疑的行为。1992年,加州大学的 Ko
3、ral llgun 开发出实时入侵检测系统 USTA(Ta State Transition Analysis Tool for UNIX )。他们提出的状态转换分析法,使用系统 状态与状态转换的表达式描述和检测已知的入侵手段, 使用反映系统状态转换的 图表直观地记载渗透细节。1994年,普渡大学计算机系 COASTS验室的Mark Crosbie和GeneSpafford 研究了遗传算法在入侵检测中的应用。 使用遗传算法构建的智能代理 (Autonomous Agents )程序能够识别入侵行为,而且这些agents具有“学习”用户操作习惯的初步智能。1996 年,加州大学戴维斯分校的 St
4、aniford 等研究人员提出了基于图表的 入侵检测系统(Graph-based Intrusion Detection System, GrIDS)原理,并完成了原型的设计和实现。1996 年, Forrest 将免疫原理运用到分布式入侵检测领域。此后,在 IDS 中还出现了遗传算法、遗传编程的运用。1997 年 3 月,美国国防部高级研究计划局( DARP)A 开始着手 通用入侵检测 框架 CIDF( Common Intrusion Detection Framework ) 标准的制定 ,加州大学 戴维斯分校的安全实验室完成了 CIDF标准。1997 年 9 月, I 公司推出 基于主
5、机的 IDS(KSM,Kane Security Monitor ), agents 技术第一次出现在 IDS 的市场产品中。1998年1月,哥伦比亚大学的 Wenke Lee和Salvatore J.Stolfo 提出和实 现了在CIDF上实现多级IDS,并将数据挖掘技术应用到入侵检测中,利用数据 挖掘中的关联规则等算法提取程序和用户的行为特征, 并根据这些特征生成安全 事件的分类模型。1998 年 2 月, Cisco 通过收购 Wheel Group 公司成功挺进入侵检测市场。 NetRanger的入侵检测技术被集成到 Cisco的系列路由器中,NetRanger (后被 更名为 Sec
6、ure IDS )成为 Cisco 公司的招牌产品。1998年12月,Marty Roesch推出了 Snort第一版, 基于网络的IDS,采 用误用检测技术。目前已成为应用最广泛的 IDS 之一。2000 年 2 月, CA( Computer Associates International )公司发布了 抵御 黑客攻击的新工具 SessionWall-3 (后更名为 eTrust Intrusion Detection )。 eTrust 可以自动识别网络使用模式和网络使用具体细节,做到全面地监控网络 数据,可以对Web和公司内部网络访问策略实施监视和强制实施。eTrust是新一代网络保
7、护产品的代表。2000 年 7 月,Cisco 公司和 ClickNet (ClickNet Security Technologies ) 公司宣布联合开发用于电子商务的入侵检测系统。ClickNet公司的基于主机的 入侵检测产品 Entercept 技术先进, 同 Cisco 公司的安全入侵检测系统 ( Secure IDS)软件结合以后成为一套全方位的安全系列产品。2001 年 1 月, ClickNet 公司改名为 Entercept Security Technology 公司。 该公司的IDS产品Entercept的新版本检测水平进一步提高,并首先提出入侵防 御( IP, Intr
8、usion Prevention )概念。由于已有的入侵检测系统是被动的进行 系统安全防护, 当发现攻击而不能及时做出防护反应时, 攻击的成功率会随着时 间的增加而提高。 入侵防御系统 IPS( Intrusion Prevention System ) 在系统 请求被执行之前,即在网络系统受到攻击之前,将请求与防御数据库中的预定 义内容进行比较, 然后根据相应的安全级别采取不同的行动 ,如执行请求、 忽略 请求、终止请求或记入日志等。2001 年 5 月 , Dipankar Dasgupta 和 Fabio Gonzalez 研究了 入侵检测的智 能决策支撑系统 。2002 年 3 月 ,
9、 ISS 公司发布集成了 Network ICE 公司 BlackICE 技术的网络 安全产品: RealSecure Network Sensor 7.0 ,具备更详细的协议分析功能和更 出色的碎片重组能力。如果配合 ISS 公司同时发布的 RealSecure Guard 来实现 与防火墙的联动 ,则可以利用协议分析技术来实时分析是否存在对网络的非法入 侵。当检测到非法入侵时做到彻底切断这种网络攻击。2002年 6月, Entercept 公司开始提供更先进的入侵防御软件, 能够在黑客 的攻击造成伤害之前采取行动来阻止其发生,增加了名为 Vault Mode 的先进封 锁功能,能够锁住重要
10、的操作系统文件和设置,防止主机被攻击 。2003 年以来 ,全球众多安全研究机构都在开展入侵检测的研究,许多新的入侵检测技术被应用到IDS产品中。如对入侵防御系统IPS的讨论2-5;对于入 侵检测中的误报问题, Cheung、Steven 等人提出 入侵容忍( Intrusion tolerance )的概念,在IDS中引入了容错技术;2006 年, Morton Swimmer 针对现代数据网络的分布式防御提出一个危险模 型的免疫系统等6 。入侵检测技术的发展阶段第一阶段(20世纪 80年代):主要是 主机日志分析和模式匹配技术研究 , 推出的 IDES(Intrusion Detectio
11、n Expert System,入侵检测专家系统)、DIDS ( Distributed Intrusion Detection System,分布式入侵检测系统) 、 NSM( Network Security Monitor ,网络安全监控系统)等基本上都是实验室系统78。第二阶段(20世纪 90年代):主要研究网络数据包截获、主机系统的审计数据分析,以及基于网络的IDS ( NIDS和基于主机的IDS (HIDS)的明确分工 和合作技术。 代表性产品有早期的 ISS RealSecure (v6.0 之前)、 Cisco (1998 年收购 Wheel Group 获得)、 Snort
12、( 2000 年开发代码并免费)等。目前国内绝 大多数厂家沿用的是 Snort 核心。第三阶段(20世纪 90 年代后期):主要涉及协议分析、行为异常分析技术 。 协议分析技术的误报率是传统模式匹配的 1/4 左右。行为异常分析技术的出现则 赋予了第三代 IDS 系统识别未知攻击的能力。代表性产品有 NetworkICE(2001 年并入 ISS)、安氏 LinkTrustNetworkDefender (v6.6 )、NFR(第二版)等。入侵检测技术从出现到现在已有 20多年,IDS系统已从有线IDS发展到无 线 IDS,并出现了 IPS (Intrusion Prevention Syst
13、em,入侵防御系统)。二、入侵检测系统定义与功能入侵检测 :对入侵行为的发觉, 它通过对计算机网络或计算机系统中的若干 关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统 :进行入侵检测的软件与硬件的组合。入侵检测系统功能:(1)监控并分析系统及用户活动;(2)检查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;( 4)识别已知的攻击行为以及统计分析异常行为;(5)对操作系统进行日志管理,并识别违反安全策略的用户活动; (6)针对已发现的攻击行为做出适当的反应,如警告、终止进程等。三、入侵检测系统分类A、根据信息源分类1、基于网络
14、的入侵检测系统 (NIDS,Network Intrusion Detection System) NIDS能够截获网络中的数据包,提取其特征并与知识库中已知的攻击签名相 比较,从而达到检测的目的。优点:(1)监测速度快 。基于网络的监测器通常能在微秒或秒级发现问题。而大 多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。(2)隐蔽性好 。一个网络上的监测器不像一个主机那样显眼和易被存取, 因而也不那么容易遭受攻击。 此外监视器不运行其他的应用程序, 不提供网络服 务,可以不响应其他计算机,因此可以做得比较安全。(3)视野更宽 。可以检测一些主机检测不到的攻击,如泪滴( tear dro
15、p ) 攻击,基于网络的SYN洪水等。还可以检测不成功的攻击和恶意企图。(4)较少的监测器 。使用一个监测器就可以保护一个共享的网段。(5)攻击者不易转移证据 。基于网络的 IDS 使用正在发生的网络通信进行 实时攻击的检测。所以攻击者无法转移证据。(6)操作系统无关性 。基于网络的 IDS 作为安全监测资源,与主机的操作 系统无关。(7)不占用被保护的设备上的任何资源 。可以配置在专门的机器上。主要缺点 :(1)只能监视本网段的活动,精确度不高。(2)在交换环境下难以配置。(3)防入侵欺骗的能力较差。(4)难以定位入侵者。2、基于主机的入侵检测系统 ( HIDS, Host Intrusio
16、n Detection System)数据来源于主机系统,通常是系统日志和审计记录。优点:(1)能确定攻击是否成功 。主机是攻击的目的所在,所以基于主机的 IDS 使用含有已发生的事件信息, 可以比基于网络的 IDS 更加准确地判断攻击是否成 功。(2)监控粒度更细。基于主机的IDS,监控的目标明确,视野集中,它可 以检测一些基于网络的IDS不能检测的攻击。它可以很容易地监控系统的一些活 动,如对敏感文件、目录程序或端口的存取。(3)配置灵活。每一个主机有其自己的基于主机的 IDS,用户可根据自己 的实际情况对其进行配置。(4)可用于加密的以及交换的环境 。加密和交换设备加大了基于网络 IDS 收集信息的难度,但由于基于主机的IDS安装在
