入侵检测系统技术分析及改进
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入
侵 检
系 统 技 术 分 析 及 改 进
T e h i a A a y i a d m r v m n o I t u i n D t c i i S s e c n c l n l s S n I p o e e t f n r s o e e t Ol y t m
测 系
发现入侵翻 。
系统管理员的安全管理能力 ( 包括安全审计 、 监视 、
1 基于统计的检测技术规则 . 2
进攻识别和 响应)提高了信息安全基础结构的完整 ,
这种分析规则认为入侵行为应该符 合统计规
9
~
律 。例如, 系统 可以认为一次密码尝试失败并不算
是入侵行为, 因为的确可能是合法用户输入失误, 但 是如果在一分钟内有 8 次以上同样的操作就不可能 完全是输入 失误了, 而可以认定是入侵行为。因此, 组成分析策略的检测技术规则就是表示行为频度的 阀值 , 通过检测技术 出行 为并统计其数量和频度就
改 及 析
进
作系统等优点而受到重视 。然而, 当前基于 网络的
式, 极有可能造成数据包 的2槎 查, 禺 改进后 的系统模
I S中也普遍存在两大缺点:①当网络流量较大时 型如图二。 D
处理能力有限: 由于基于网络的 I S D 需要对 当前网 段 内的数据包进行实时处理, 当网络流量过大时就 显得力不从心, 因此 已有 的入侵检测系统往往对所 厂 、 —
取决于审计记录的完备性与实时l。特征入侵的特 生
征抽取与表达, 是入侵检测技术专 家系统的关键 。
将有关入侵的知识转化为 ite 结 构( fhn - 也可以是复
合结构)f , 部分为人侵特征, e 部分是系统防范措 i h tn
施 。
验值或一段时 间内的统计平均得到, 举例来说, 在短
术 系 统 能很好 的弥 补 防火 墙 的不足 ,从某 种 意义上
组作为特征代码, 将它定义为检测技术规则, 就可以 用来检测技术该类入侵行为 。 这样, 分析策略就 由若 干条检测技术规则构成,每条检测技术规则就是一
个特征 代码 ,通过 将数 据与 特征 代码 比较 的方 式 来
说是防火墙的补充, 帮助系统对付网络攻击, 扩展了
软件和硬件 的组合。D I S能够检测未授权对象 ( 人或
程 序 ) 对 系 统 的 入 侵企 图或 行 为 ( t s n, 时 针 I r i )同 nuo
这种分析规则认为入侵行为是可以用特征代码
来标识的。比如说, 对于尝试账号的入侵, 虽然合法
用户登录和入侵者尝试的操作过程是一样的,但返
y e ealdy p o o e n l a mpeit so au e em o e f u v yn . sdd ti l , rp s df al t t s l r inme s r s h d l r e i g e i yh a i nu t os
Ke wo d : t r e u i ;DS P o cieDee t n v r sNewokS c rt I : r a t tci y v o
征 的入侵 行为 。
为 了改进入侵检测系统的分析技术, 许多研究 人员从各个方向入手, 发展 了一些新的分析方法, 对 于提高入侵检 测技术系统的正确性 、 可适应性等起
到 了一定 的 推动 作用 嘲 。
所谓的规则, 即是知识。 不同的系统与设置具有 不同的规则, 且规则之间往往没有通用性。 专家系统 的建立依赖于知识库的完备性, 知识库的完备性 又
澳 统量 作 致 夺 按三 可分 系
类: 基于 主 机 的 I DS和 基于 网络 的 I 。 DS 基于 网络 的
… … … … … … … … 、 ’ 。 … … ’ ~ , ’… ’
图 人检 模 图 一 侵 测 型
- ’ , 1 、 I I r l H I 1 I J 、 ~ u 、 0 , 7 , 埋 一 甲 工 作 方 削 仃
挺
离
: 用 于纠 l专
。— 。 。 ●
警 拄
运行 的平台提 出了较高的要求; ②对入侵不能作出
一 [
、H L
巴1 n
. . .
息 匕
.
厶 口 瑚
。 莆 愿 各I 练 生 “… 业 ^ 士 I + 田 铀 湘 歪 商
\/ :L
存更多的检测技术状态和上下关系而需要消耗更多
的 系统 处理 能力 和资 源 , 实现难 度相对 较 大【 2 ] 。
2 一些 新 的分 析技 术
测 技术系 统 。 3 基 于专家 系统的入 侵检 测技 术
基于专家系统的人侵检测技术方法与运用统计 方法与神经网络对人侵进行检测技术的方法不 同, 用专家系统对入侵进行检测技术, 经常是针对有特
时间内的多次失败的登录很可能是 口令尝试攻击 。
运用专家系统防范有特征入侵行为的有效性完 全取决于专家系统知识库的完备性, 建立一个完备
的知识库对 于一个大型网络系统往 往是不可 能的,
且如 何根 据审 计记 录 中的事 件 , 取状 态 行 为 与语 提
( 方差 : 2 ) 计算参数 的方差, 设定其置信 区间, 当
1
(告 息成 接警 并 日 】 侵 受 信 形 志 检
测
术
,
4 于络入检系模 基 网的侵测统型
..
实现 效的 检测 及其 御。 高 入侵 技术 防
—— 『 —1 一 l _
【 网数包 络据
1 f
警显 面 ] 统 信示 息界
蝴 流
技
系
分 术
统 技 术 分
彭 健
P n a eg i Jn
析
及 改
( 东 电网公 司韶 关供 电局 ,广东 韶 关 52 2) 广 06 1
(h o u nE etc o r u py ueu Gun d n o e r o p n , u n d n h o u n5 2 ) S a g a l r we p l ra , a g o gP w r i C m a y G ag o gS a g a 10 6 c iP S B G d 2
测量值超过置信区间的范围时表明有可能是异常 。
() 3多元模型: 操作模 型的扩展, 通过同时分析多 个参数实现检测技术。
言环境也是较困难 的。例如, S I 公司为了建立 比较 S 完备的专家系统, 一方面与地下组织建立 良好关系,
( 马尔柯夫过程模型: 4 ) 将每种类型的事件定义
进
摘 要 : 随着 网络 入侵 技术 的不断更 新 , 为 防范 网络入 侵 的最 常 见 的 防火墙 , 作 已经无 法 满足 保 障 安全
的需要, 这就需要新技术——入侵检测系统( ) ) I s 。本文详细介绍和分析 了入侵检测系统的原理 , 【 分类及功
能, 并最后提 出了一个简单的入侵检测探测改进模型。
,—一
——、
r
f 『
一
、
品 件 较 用 方 是 专 系 与用 计 软 。 适 的法 将 家统 采 软算
上 、山 上 L 上 上 . t , 上 人 ’ l 廿 -上 L h — 一 , , ^ ^ — + , 上 — — —
_ , 1
— 一 I ip p rte r c l. n t na d eh oo fDSw snrd cda da a- i t wa o u e .nt s a e, i i emef c o cn lg o I a t u e n l o ye p h h pnp , u i n t y i o n
0 引 言
性 。 1
入 侵检 测 技术 的定义 为 :对系统 的运 行状 态进
1 侵分析 按其 检测技 术规 则分 类 .入
行监视,发现各种攻击企 图、攻击行为或者攻击结
1 基于特征的检测技术规则 . 1
果 ,以保证系统资源的机密性 、完整性和可用性。
I S i rs n e co s m) D ( t i t t n yt 则是进行入侵检测的 nuo d ei s e
入
/二 , L ^ 、可扩展L , / J J \ I 的动态入侵事 H I uL - 6 个 1凡、/凡 l凡’—H L =l. 以已知 的入侵规则为基础,,』 .  ̄
件检测技术系统,自 适应地进行特征与异常检测技
f
告 警 1 f
数分 据析
关 键词 : 网络安 全 ; 入侵 检 测 系统 ; 主动 防御
中图分 类号 : P 9 T 33 文献标 识码 : A 文章编 号 :6 1 7 2(0 160 2 —4 1 7 — 9 . 1)—0 90 4 2
Ab t c : i h ewo k i tu i n e h i a p a ig Asm an p e e t g i v so f e n t r e h s r t W t t e n t r r so st c n c l d t , i r v n i a i n o ewo k t c — a h n u n n n h t
统计模型常用于对异常行为的检测技术, 在统 计模型 中常用的测量参数包括审计事件的数量、 间
隔时间、 资源消耗情况等。 目前提出了可用于入侵
检测技术的 5 种统计模型包括 : ( 操作模型: 1 ) 该模型假设异常可通过测量结果
与一 些 固定 指 标相 比较 得 到,固定指 标 可 以根据 经
—
_L _
口
/嚣
一
广— — ] 收 ☆
应措施,一种是终止当前对话,另一种则是只做记
录 ( 可 能 同时 报警 ) 也 。第 一 种措 施 下 ,如 果入 侵
回结果 是不 同的 , 入侵者 返 回的是 尝试 失败 的 报文 ,
监控授权对象对系统资源的非法操作( ss 。 Mi e 入侵 u)
因此,只要提取尝试失败的报文 中的关键字段或位
检测技术作为一种积极主动的安全防护技术,提供 了对 内部攻击 、 外部攻击和误操作的实时保护, 在网 络 系统受到危害之前拦截和响应入侵。入侵检测技
可 以发 现人 侵 。
() 5时间序列分析: 将事件计数与资源耗用根据
时 间排 成 序列 ,如果一 个 新事件 在 该 时间 发 生 的概
率较低, 则该事件可能是入侵。
入侵检测系统的统计分析首先计算用户会话过 程的统计参数, 再进行与阈值比较处理与加权处理,
最终通过计算其“ 可疑” 概率分析其为入侵事件的可 能性 。统计方法的最大优点是它可以“ 学习” 用户的
这两种检测技术规则各有其适用范围, 同的 不 入侵行为可能适应于不 同的规则, 但就系统实现而
使用习惯, 从而具有较高检出率与可用性。 但是它的 “ 学习” 能力也给入侵者以机会通过逐步“ 训练” 使入
言, 由于基于统计检测技术规则的入侵分析需要保 侵事件符合正常操作的统计规律, 从而透过人侵检
—oc 组织 为系统状态, 用状态转移矩 阵来表示状态的变化, 若 并成立由许多工作人员与专家组成的 X Fre
对 应于发生事件的状态矩阵中转移概率较小, 则该 来进行这一工作。 事件可能是异常事件。 由于专家系统的不可移植性与规则的不完 备
3 Q
性。 不宜单 于 检测 术,单 成 现已 独用 入侵 技 或 独形 商
n lg rw U ta h s enu a l t a s escr yn e ,Oten w tcn lg , e D ( t s nd tc oo yf e a h t a e nbe ost f t eui ed S e h oo y t S i r i e — i b i yh t h e h I nu o e
侵 检
系 统 技 术 分 析 及 改 进
T e h i a A a y i a d m r v m n o I t u i n D t c i i S s e c n c l n l s S n I p o e e t f n r s o e e t Ol y t m
测 系
发现入侵翻 。
系统管理员的安全管理能力 ( 包括安全审计 、 监视 、
1 基于统计的检测技术规则 . 2
进攻识别和 响应)提高了信息安全基础结构的完整 ,
这种分析规则认为入侵行为应该符 合统计规
9
~
律 。例如, 系统 可以认为一次密码尝试失败并不算
是入侵行为, 因为的确可能是合法用户输入失误, 但 是如果在一分钟内有 8 次以上同样的操作就不可能 完全是输入 失误了, 而可以认定是入侵行为。因此, 组成分析策略的检测技术规则就是表示行为频度的 阀值 , 通过检测技术 出行 为并统计其数量和频度就
改 及 析
进
作系统等优点而受到重视 。然而, 当前基于 网络的
式, 极有可能造成数据包 的2槎 查, 禺 改进后 的系统模
I S中也普遍存在两大缺点:①当网络流量较大时 型如图二。 D
处理能力有限: 由于基于网络的 I S D 需要对 当前网 段 内的数据包进行实时处理, 当网络流量过大时就 显得力不从心, 因此 已有 的入侵检测系统往往对所 厂 、 —
取决于审计记录的完备性与实时l。特征入侵的特 生
征抽取与表达, 是入侵检测技术专 家系统的关键 。
将有关入侵的知识转化为 ite 结 构( fhn - 也可以是复
合结构)f , 部分为人侵特征, e 部分是系统防范措 i h tn
施 。
验值或一段时 间内的统计平均得到, 举例来说, 在短
术 系 统 能很好 的弥 补 防火 墙 的不足 ,从某 种 意义上
组作为特征代码, 将它定义为检测技术规则, 就可以 用来检测技术该类入侵行为 。 这样, 分析策略就 由若 干条检测技术规则构成,每条检测技术规则就是一
个特征 代码 ,通过 将数 据与 特征 代码 比较 的方 式 来
说是防火墙的补充, 帮助系统对付网络攻击, 扩展了
软件和硬件 的组合。D I S能够检测未授权对象 ( 人或
程 序 ) 对 系 统 的 入 侵企 图或 行 为 ( t s n, 时 针 I r i )同 nuo
这种分析规则认为入侵行为是可以用特征代码
来标识的。比如说, 对于尝试账号的入侵, 虽然合法
用户登录和入侵者尝试的操作过程是一样的,但返
y e ealdy p o o e n l a mpeit so au e em o e f u v yn . sdd ti l , rp s df al t t s l r inme s r s h d l r e i g e i yh a i nu t os
Ke wo d : t r e u i ;DS P o cieDee t n v r sNewokS c rt I : r a t tci y v o
征 的入侵 行为 。
为 了改进入侵检测系统的分析技术, 许多研究 人员从各个方向入手, 发展 了一些新的分析方法, 对 于提高入侵检 测技术系统的正确性 、 可适应性等起
到 了一定 的 推动 作用 嘲 。
所谓的规则, 即是知识。 不同的系统与设置具有 不同的规则, 且规则之间往往没有通用性。 专家系统 的建立依赖于知识库的完备性, 知识库的完备性 又
澳 统量 作 致 夺 按三 可分 系
类: 基于 主 机 的 I DS和 基于 网络 的 I 。 DS 基于 网络 的
… … … … … … … … 、 ’ 。 … … ’ ~ , ’… ’
图 人检 模 图 一 侵 测 型
- ’ , 1 、 I I r l H I 1 I J 、 ~ u 、 0 , 7 , 埋 一 甲 工 作 方 削 仃
挺
离
: 用 于纠 l专
。— 。 。 ●
警 拄
运行 的平台提 出了较高的要求; ②对入侵不能作出
一 [
、H L
巴1 n
. . .
息 匕
.
厶 口 瑚
。 莆 愿 各I 练 生 “… 业 ^ 士 I + 田 铀 湘 歪 商
\/ :L
存更多的检测技术状态和上下关系而需要消耗更多
的 系统 处理 能力 和资 源 , 实现难 度相对 较 大【 2 ] 。
2 一些 新 的分 析技 术
测 技术系 统 。 3 基 于专家 系统的入 侵检 测技 术
基于专家系统的人侵检测技术方法与运用统计 方法与神经网络对人侵进行检测技术的方法不 同, 用专家系统对入侵进行检测技术, 经常是针对有特
时间内的多次失败的登录很可能是 口令尝试攻击 。
运用专家系统防范有特征入侵行为的有效性完 全取决于专家系统知识库的完备性, 建立一个完备
的知识库对 于一个大型网络系统往 往是不可 能的,
且如 何根 据审 计记 录 中的事 件 , 取状 态 行 为 与语 提
( 方差 : 2 ) 计算参数 的方差, 设定其置信 区间, 当
1
(告 息成 接警 并 日 】 侵 受 信 形 志 检
测
术
,
4 于络入检系模 基 网的侵测统型
..
实现 效的 检测 及其 御。 高 入侵 技术 防
—— 『 —1 一 l _
【 网数包 络据
1 f
警显 面 ] 统 信示 息界
蝴 流
技
系
分 术
统 技 术 分
彭 健
P n a eg i Jn
析
及 改
( 东 电网公 司韶 关供 电局 ,广东 韶 关 52 2) 广 06 1
(h o u nE etc o r u py ueu Gun d n o e r o p n , u n d n h o u n5 2 ) S a g a l r we p l ra , a g o gP w r i C m a y G ag o gS a g a 10 6 c iP S B G d 2
测量值超过置信区间的范围时表明有可能是异常 。
() 3多元模型: 操作模 型的扩展, 通过同时分析多 个参数实现检测技术。
言环境也是较困难 的。例如, S I 公司为了建立 比较 S 完备的专家系统, 一方面与地下组织建立 良好关系,
( 马尔柯夫过程模型: 4 ) 将每种类型的事件定义
进
摘 要 : 随着 网络 入侵 技术 的不断更 新 , 为 防范 网络入 侵 的最 常 见 的 防火墙 , 作 已经无 法 满足 保 障 安全
的需要, 这就需要新技术——入侵检测系统( ) ) I s 。本文详细介绍和分析 了入侵检测系统的原理 , 【 分类及功
能, 并最后提 出了一个简单的入侵检测探测改进模型。
,—一
——、
r
f 『
一
、
品 件 较 用 方 是 专 系 与用 计 软 。 适 的法 将 家统 采 软算
上 、山 上 L 上 上 . t , 上 人 ’ l 廿 -上 L h — 一 , , ^ ^ — + , 上 — — —
_ , 1
— 一 I ip p rte r c l. n t na d eh oo fDSw snrd cda da a- i t wa o u e .nt s a e, i i emef c o cn lg o I a t u e n l o ye p h h pnp , u i n t y i o n
0 引 言
性 。 1
入 侵检 测 技术 的定义 为 :对系统 的运 行状 态进
1 侵分析 按其 检测技 术规 则分 类 .入
行监视,发现各种攻击企 图、攻击行为或者攻击结
1 基于特征的检测技术规则 . 1
果 ,以保证系统资源的机密性 、完整性和可用性。
I S i rs n e co s m) D ( t i t t n yt 则是进行入侵检测的 nuo d ei s e
入
/二 , L ^ 、可扩展L , / J J \ I 的动态入侵事 H I uL - 6 个 1凡、/凡 l凡’—H L =l. 以已知 的入侵规则为基础,,』 .  ̄
件检测技术系统,自 适应地进行特征与异常检测技
f
告 警 1 f
数分 据析
关 键词 : 网络安 全 ; 入侵 检 测 系统 ; 主动 防御
中图分 类号 : P 9 T 33 文献标 识码 : A 文章编 号 :6 1 7 2(0 160 2 —4 1 7 — 9 . 1)—0 90 4 2
Ab t c : i h ewo k i tu i n e h i a p a ig Asm an p e e t g i v so f e n t r e h s r t W t t e n t r r so st c n c l d t , i r v n i a i n o ewo k t c — a h n u n n n h t
统计模型常用于对异常行为的检测技术, 在统 计模型 中常用的测量参数包括审计事件的数量、 间
隔时间、 资源消耗情况等。 目前提出了可用于入侵
检测技术的 5 种统计模型包括 : ( 操作模型: 1 ) 该模型假设异常可通过测量结果
与一 些 固定 指 标相 比较 得 到,固定指 标 可 以根据 经
—
_L _
口
/嚣
一
广— — ] 收 ☆
应措施,一种是终止当前对话,另一种则是只做记
录 ( 可 能 同时 报警 ) 也 。第 一 种措 施 下 ,如 果入 侵
回结果 是不 同的 , 入侵者 返 回的是 尝试 失败 的 报文 ,
监控授权对象对系统资源的非法操作( ss 。 Mi e 入侵 u)
因此,只要提取尝试失败的报文 中的关键字段或位
检测技术作为一种积极主动的安全防护技术,提供 了对 内部攻击 、 外部攻击和误操作的实时保护, 在网 络 系统受到危害之前拦截和响应入侵。入侵检测技
可 以发 现人 侵 。
() 5时间序列分析: 将事件计数与资源耗用根据
时 间排 成 序列 ,如果一 个 新事件 在 该 时间 发 生 的概
率较低, 则该事件可能是入侵。
入侵检测系统的统计分析首先计算用户会话过 程的统计参数, 再进行与阈值比较处理与加权处理,
最终通过计算其“ 可疑” 概率分析其为入侵事件的可 能性 。统计方法的最大优点是它可以“ 学习” 用户的
这两种检测技术规则各有其适用范围, 同的 不 入侵行为可能适应于不 同的规则, 但就系统实现而
使用习惯, 从而具有较高检出率与可用性。 但是它的 “ 学习” 能力也给入侵者以机会通过逐步“ 训练” 使入
言, 由于基于统计检测技术规则的入侵分析需要保 侵事件符合正常操作的统计规律, 从而透过人侵检
—oc 组织 为系统状态, 用状态转移矩 阵来表示状态的变化, 若 并成立由许多工作人员与专家组成的 X Fre
对 应于发生事件的状态矩阵中转移概率较小, 则该 来进行这一工作。 事件可能是异常事件。 由于专家系统的不可移植性与规则的不完 备
3 Q
性。 不宜单 于 检测 术,单 成 现已 独用 入侵 技 或 独形 商
n lg rw U ta h s enu a l t a s escr yn e ,Oten w tcn lg , e D ( t s nd tc oo yf e a h t a e nbe ost f t eui ed S e h oo y t S i r i e — i b i yh t h e h I nu o e