入侵检测技术浅析

１ ． 信息收集 信 息收集包括收集 系统 、 网络 、 数据及用 户活动的状态和行 为 ， 而 且需要在计算机 网络 的若干关键节点 （ 如不 同网段和不 同主机 ） 收集信 息。这除 了要尽 可能扩大收集范 围以外 ， 还 要对来 自不 同源 的信 息进 行 综合分析 ， 比较 之后得出问题 的关键所在 。收集信息 的可靠性 和正 确性对入侵检测 系统非 常重要 。入侵检测利用的信息来 自系统和 网络 日志文件 、 非正常的 目录和文件改变 、 非正常 的程序执行等方面。 ２ ． 数据分析 数据分析是对收集 到的有关系统 、 网络 、 数据及用户活动的状态和 行为等信息 ， 通过 一定的技术手段进行分析 ， 如常用的模式 匹配 、 统计 分析和完整性分 析等 。其 中， 前两种方法常用于实时的入侵检测 ， 而完 整性检测 常用于事后分析。
３ ． 响应 处 理
响应处理指控制 台根据报警产生预定义 的响应 ， 采取相应措施 ， 可 以是重新 配置路 由器或 防火墙 、 终止进程 、 切断连接 、 改变文件属性 ， 也 可以只是简单 的报警 。响应处理可 以分为两步 ， 第一步是信息保存 ， 目 的是便 于系统 管理员 或其他人员对 系统 Ｅ ｌ 志或 网络 中的传输信息进行 查看和分析 ， 需要将 获取 的信息 和分析 的结果信息进行保存 ， 信息保存 的同时也可以为用户对发现 的攻击提供数字依据 ； 第二步是攻击响应 ， 统状态与数据库 中的签名进行匹配 。通过收集入侵攻击和系统缺陷的 对发出的攻击进行相应 的处理 ， 如发出警报 、 给系统管理员发邮件等利 相关知识构 成入侵 系统 中的知识库 ， 然后 利用这些知识 寻找那 些企图 用人为干预 的形 式抵 御攻击 ， 或 是直 接利用相应 的硬件设 计进行 自动 利用这些 系统缺陷 的攻击 行为 ， 来识别 系统中的入侵行 为。系统中任 处理 ， 如利用 防火墙来切断连接 、 过滤攻击者的Ｉ Ｐ 地址等方式迅速做 出 何不能 明确 地认为是攻击 的行为 ， 都 可以认 为是系统 的正 常行为。 因 反 应 。 此， 误用检测系统具有很好 的检测精确度 ， 至少在理论上具有非常低的 （ 三） 入侵检测系统 的分类 虚警率 ， 同时 因为检测结果有 明确 的参照 ， 也为管理员做 出相应措施提 １ ． 基 于主机 的入侵检测系统 供 了方便 。由于 误用检测方法原理简单 因而 已经成为入侵领域 中应用 基于 主机 的入 侵检 测系统 （ Ｈ ｏ ｓ ｔ — ｂ ａ ｓ ｅ ｄ Ｉ ｎ ｔ ｒ ｕ ｓ ｉ ｏ ｎ Ｄ ｅ ｔ ｅ ｃ ｔ ｉ ｏ ｎ Ｓ ｙ ｓ ｔ ｅ ｍ） 最为广 泛的检测手段 和机制之一 ， 大 部分 商用系统都采用 了基于误用 将检测模块驻 留在受保护系统上 ， 通 过提取被保护 系统 的运行数据并 检测的入侵检测技术。 进行入侵 分析来实现检测 功能 。ＨＩ Ｄ Ｓ的检测 目标 主要是 主机系统和 然而 ， 误用检 测也存在以下缺陷： 一是 于入侵 特征 库受已知知识 的 系统本地用户 ， 而不是监 测网络 上的情况 ， 主要 目的是检测特权滥用攻 局限 ， 只能检测 已知 的攻击模式 ， 对 于未知攻击和 已知攻击的变形则无 击 、 关建数据访问及修改 、 安全配置的变化 。基于 主机 的入侵检测产 品 能为 力 ； 二是 入侵模 式库 的维护工作 量大 ， 只有拥有完 备的入侵 模式 通常是安装在 被重点检测 的主机之 上 ， 主要是对该 主机的网络实时连 库， 入侵检测系统才能检测到大量 的攻击行为 ； 三是随着新 的攻击方法 接 以及系统审计 日志进行智能分析和判断。 不断出现 ， 入侵模式库也需要 不断更新 。 基于主机的入侵 检测系统 具有检测效率高 、 分析代价小 、 分析速度 （ 二） 异常检测技术 快的特点 ， 能够迅速并准确地定 位入侵 者 ， 并 可以结合操作 系统和应用 异常检测 （ Ａ ｎ ｏ ｍ ａ ｌ ｙ Ｄ ｅ ｔ ｅ ｃ ｔ ｉ ｏ ｎ ） 又称为基于行为的入侵检测 ， 根据使 程序的行为特征对入侵进行进一步分 析 、 响应 。比如 ， 一旦检测到有入 用者 的行 为或资源使用 状祝来判断是否 入侵 ， 任何与 已知正常行为不 侵活动 ， 我们可以立即使该用户的账号失效 ， 用户 的进程 中断。通常情 符合 的行为都是 入侵行 为。这类检测 方法 的基本 思想是： 通过 对系统 况下 ， 它的误报率 比基于网络入侵检测 系统 的要低 ， 能够提供更详尽 的 审计资料 的分析建立起系统 主体 的正常行为 的特征轮廓 ， 检测时 ， 如果 相关信 息。但基于 主机的 Ｉ Ｄ Ｓ 也有 其不足之处 ： 首先它在一 定程度上 系统 中的审计资料 与已建立的主体正 常行为特征有较大 出入 ， 就认为 依赖于 系统 的可靠性 ， 它要求 系统本 身应该具备基本 的安全功能并具 系统遭到入侵 。 有合理 的设置 ， 然后才能提取入侵信 息 ； 即使进行 了正 确的设置 ， 对操 异常检测 首先要建立 系统或用户 的正常行为的特征轮廓 ， 这就要 作系统熟悉的攻击者仍然有可能在入侵行 为完成后及时地将 系统 日 志 在建立 正常行为模 型时 ， 选取 的特征量要 能准确地体现 系统 或用户 的 抹去 ， 从而不被发觉 。另外 ， ＨＩ Ｄ Ｓ 通常安装在我们需要保护 的设备上 ， 行为特征 ， 同时还要是模 型的最优化 ， 即以最少 的特征量涵盖 系统或用 这会降低应用 系统的效率 。 户的所有正常行为特征 。在早期 的异常入侵检测 系统 中通常用统计模 ２ ． 基于网络 的入侵检测系统 型来做 ， 比如将用户 登录时间 、 登 录失 败次数 、 资源访 问频度等一些特 基于 网络 的入 侵检测 系统 （ Ｎ ｅ ｔ ｗ ｏ ｒ ｋ — ｂ ａ ｓ ｅ ｄ Ｉ ｎ ｔ ｕｓ ｒ ｉ ｏ ｎ Ｄ ｅ ｔ ｅ ｃ ｔ ｉ ｏ ｎ Ｓ ｙ ｓ — 征量作 为随机变量 ， 通过统计模型计 算出这些随机变量 的新 观察值落 ｔ ｅ ｎ） 利 用 网络侦 听技 术在网络 的某一点 监听网络上 的传 输流 ， 收集 网 在一定 区间内的概率 ， 并 根据经验规定一个 阀值 ， 超过 阀值则认 为发生 络上传输 的分组数据包 ， 并对这 此数据包的 内容 、 源地 址 、 目的地址等 了入侵 。后来有很 多人丁智能技术应 用于异常检测 ， 如神经元 网络技 进行分析 ， 提取特征模式 ， 再与 已知攻击特征相匹配或与正常网络行 为 术和资料挖掘技术等等 。 原型相 比较来识别攻击事件 ， 从 中发现人侵行为。 异 常检测最 大 的优 点是有 可能检 测 出以前 从未 出现过 的攻击方 基于 网络的入侵检测系统有如下优点 ： 实时监测 速度快 ， 在 恶意及 法 。但由于不可 能对��
科 技信 窟
兀 侵 植 测技 术 浅 析
国防信 息学 院信 息安Biblioteka Baidu全教研 室 郭连城
［ 摘 要］ 入侵检 测技 术是一种重要 的网络 安全技 术。本文介绍 了入侵检 测的基本概念及其关键技 术， 同时对其发展现状及未 来趋 势做 了分析 和探 讨 。 ［ 关键词 ］ 入侵检测 误用检测 异常检 测 入侵检测 系统
入 侵 检 测 概 述 （ 一） 入 侵 检 测 的概 念 入侵检测 （ Ｉ ｎ ｔ ｒ ｕ ｓ ｉ ｏ ｎ Ｄ ｅ ｔ ｅ ｃ ｔ ｉ ｏ ｎ ） 是对入侵 行为的检测 。入侵检测 通
一
、
入侵检测 系统的入侵检测过程分为 三个步骤： 信息 收集 、 数据分析
和 响应 处 理 。
过收集和分析网络行为 、 安全 １ ３ 志、 审计数据和其它网络上可以获得的 信息以及计算 机系统 中若 干关键 点的信息 ， 检查 网络或系统 中是否 存 在违 反安全策 略的行 为和被攻击 的迹象 。 （ 二） 入侵 检测 的作用 入侵检 测作为一种主动的安全防护技术 ， 提供了对内部攻击 、 外部 攻击和用户误 操作 的实 时保护 ， 在 网络或 系统受 到危害之前拦截 和响 应入侵。因此入侵检测被认为是防火墙之后的第二道安全闸门。入侵 检测 的实现一般通过执行以下任务 ： 监视并分析用户及系统活动 ； 系统 构造和弱点的审计 ； 识别 已知进攻的活动模式并向相关人士及时报警 ； 异常行为模 式的统计分析 ； 评估重要系统和重要数据文件的完整性 ； 操 作系统 的审计 及跟踪管理 。入侵检测是 防火墙 的合理补充 ， 帮助操 作 系统应对网络攻击 ， 增强操作系统管理员的安全管理能力（ 包括安全审 计、 监视 、 进 攻识别 和响应 ） ， 提高 了信息安全基础结构的完整性 。
二、 入 侵 检 测 的 主 要 技 术 （ 一） 误 用检测技术 误用检 测 （ Ｍｉ ｓ ｕ ｓ ｅ Ｄ ｅ ｔ ｅ ｃ ｔ ｉ ｏ ｎ ） 又称基 于知识 的入侵检测 ， 这类检 测 方法 的原 则是 ， 任何 与己知入侵模型符合 的行为都是入侵行 为。它要 求首先对 己知的各种入侵 行为建立签名 ， 然后将 当前 的用户 行为和系