学文网摘要:该文在阐释入侵检测系统与网络入侵检测系统概念、原理的基础上,分析了现有网络入侵检测系统在攻击检测方面存在的不足与问题,并针对存在的问题提出了具体的改进策略与建议。以期对新型网络入侵检测系统的研究与应用有所启迪。
关键词:网络入侵检测系统;NIDS;改进
中***分类号:TP393文献标识码:A 文章编号:1009-3044(2011)08-1778-02
随着计算机和因特网的普及与应用,大量的个人、企业与***府机构信息开始保存在于计算机和网络服务器中,这就对信息安全提出了更高要求,对安全解决方案的需求与日俱增。现有的网络、信息安全解决方案中最常用的就是防火墙。传统意义上依靠防火墙建立网络组织结构,常常是“外紧内松”,能够有效阻止外部人员的入侵,但对内部人员所做的攻击却无能为力。而入侵检测系统的成功研发与应用,是对防火墙缺陷的有益补充。入侵检测系统能够在入侵攻击发生时或者对系统造成危害前,检测到入侵攻击,并驱逐入侵攻击,有效减少因为入侵造成的损失。入侵检测系统因此也被称为继防火墙之后的第二道安全保护锁。本文欲在阐释入侵检测系统概念、分类的基础上,分析现有网络入侵检测系统在攻击检测方面存在的问题,并针对存在的问题提出具体的改进策略与建议。
1 IDS与NIDS概述
1.1入侵检测系统(IDS)
入侵的含义,从广义上讲,包括攻击发起者通过非正常手段取得合法的计算机系统控制权,也包括攻击者利用收集到的漏洞信息,恶意的对计算机及网络系统造成拒绝访问、使用等危害的行为。而入侵检测,便是发觉、发现入侵行为的过程。它通常是通过对计算机或网络系统中若干个关键点进行信息收集,以此来判断、分析、发现计算机或网络系统中存在的违反安全规定、安全策略的行为或者曾被攻击过的迹象。能够实现上述功能的件、硬件或得它们的组合,即是所谓的入侵检测系统(IDS)。与其他计算机、网络安全产品不同,入侵检测系统更多的具有智能特点,它可以对收集的数据进行分析、判断,进而得出有用的结果。有效的入侵检测系统能够简化、降低计算机和网络管理人员的工作程序和工作量,
1.2 网络入侵检测系统(NIDS)
网络入侵检测系统的最大特点之一,就是检测数据来源于网络,而非传统的主机。在以太环境下,它主要利用网卡的混杂模式来获取监测网段中的数据包,其保护着整个网段信息安全的任务。而在交换环境下,网络入侵检测系统为了获取到有用的数据需要对其进行精心的设计。网络入侵检测系统功能的实现,是通过对所收集数据三类特征的对比来发现可能存在的入侵行为的。这三类特征分别是:串、端口和数据包头三者的特征。串特征表现为在数据正文中出现代表某种攻击意义的字符串;端口特征则是通过对特定数据连接端口查看来发现可能存在的入侵,如:木马程序大多都是通过指向特定的端口来接收控制信息。数据包头特征是指所检测到的数据包头中存在码位上的非法的组合,最为典型的例子就是Winnuke。
2 网络入侵检测系统检测方面存在的不足
网络入侵检测系统常用的检测方法有异常检测、特征检测、协议分析和状态检测等。在实际中的应用中入侵检测系统通常都是多种检测方法的组合。但这同样不能保证入侵检测系统的有效性,其中一个重要原因就是自身存在的设计缺陷。具体主要表现为以下几点:
2.1 异常检测方面
异常检测通常使用统计的方法来实现。它是以大量的原始审计记录为基础的,如果单纯的使用统计来实现入侵检测功能,则对不会或很少影响统计规律的入侵审计记录予以忽略,即使已经有了明显的入侵特征。并且采用统计方法实现的入侵检测系统在大量的入侵行为发生情况下,被训练成适应模式。在入侵者发现入侵活动被监视时,可以对统计人侵检测系统中统计方法进行研究,有意识的在该系统可以接受的范围内制造审计事件,逐步使入侵检测系统将入侵事件当作正常事件来对待。
2.2 特征检测方面
一个困扰着网络入侵检测系统的问题就是,现有检测规则的更新永远落后于攻击手段。现实情况是,一个新的系统漏洞的公布,可能就会立即出现利用该漏洞攻击的方法或手段,但与之相适应的检测、防护规则却可能需要很长时间才能研发出来,弥补该漏洞。现实中存在着一个发现新入侵方法到用户升级安全规则库和知识库的时间差,对于恶意的入侵者,这个时间差就已足够入侵者发动入侵攻击行为。并且,既使公布了可以防范攻击的检测规则,也可能存在误报率过高问题,而对真正的攻击却起不到防护作用。现在有越来越多的恶意入侵者,或者所谓的黑客有不公布他们发现的漏洞的倾向,这就为攻击特征的总结带来无形中的困难。
2.3 系统实现方面
由于受网络入侵检测系统保护的网络、主机及其内部五花八门程序影响,既使是对同一个协议分析,实现的方法也不尽相同。入侵者很有可能利用不同系统中不同的实现方法的差异来进行目标系统信息的收集或者进行选择性的攻击。由于网络入侵检测系统不可能智能化到通晓这些不同系统的不同实现方法,故而也就可能被入侵者成功绕过。同时,在外在检测方法方面也存在着入侵变体、协议、及TCP/IP协议等方面局限的限制。
3 网络入侵检测系统的改进
网络入侵检测系统结构改进的原则是:“网络入侵检测系统知道得越多、越智能,其效果就更好”。首先引入网络环境信息的概念,它表示网络入侵检测系统所处网络的各种相关的信息,体现了网络入侵检测系对所网络情况的认知与把握。网络环境信息,主要“主机特征信息”、“主机评估价值”以及“网络拓扑信息”等和当前网络相关的所有信息。改进的网络入侵检测系统主要就围绕网络环境信息展开,通过对网络环境信息的获取、利用与维护,达到对当前网络入侵检测系统的改进目的。
3.1 网络环境信息的获取
1)主机特征信息的被动发现
一般情况下网络接口设备都在“混杂模式”下工作,通过与目标网络的并联,来侦听通信数据,抓取数据包。数据包获取后,再进行协议分析。抓取的数据包在协议分析后,被送到“入侵数据分析器”中进行入侵分析,主要是对这个包的副本进行分析,以此来判断是否可能含有主机特征信息,如果可能,则被送至“网络环境信息分析器”中进行主机特征信息分析。该过程主要采用被动发现技术。但网络情况的不断变化的,所以应该采用“发现”的动态的、长期的过程来实现,可以考虑与主动发现技术结合起来,取长补短。
2)主机评估价值的产生
对于主机评估价值,管理员可以有意识的予以把握,而不是被动的应用。可以采用以下两种设置方式:1)自动生成。管理员可以通过预先设置自动主机评估价值的生成规则,由系统自动动态生成。2)手动生成。对于有特别重要的、有特殊用途或意义的,或者对配置要求可能长期不变的设备,进行手动设定主机评估价值。
3.2 网络环境信息的维护
这里我们主要讨论,建立、维护带有“针对信息”的入侵规则库的改进。改进的网络入侵检测系统的入侵规则最好还是以snort规则为基础,加入“针对信息”,即通常所说的本入侵可能针对的群体范围。
3.3 网络环境信息的利用
当前的网络环境信息的利用可以说是很不明确的,随着对网络环境信息的发现和分析研究的深入,应该会更高效地利用。如:利用网络环境信息数据库对入侵信息进行必要的过滤和分拣,生成针对特定“主机评估价值”的分类安全信息,过滤掉不会对目标主机产生威胁的信息;而按主机对安全日志信息进行分类及必要的排序后,可以更加的直观与突出,有助于管理员采取不同的应对策略或方案。
4 结束语
在未来的工作与研究中,我们希望再实现一个较完整的“网络入侵检测系统”原型,将文中提到改进方法予以进一步验证和改进。同时,随着被动网络发现研究的深入,网络环境信息的利用方式可能会越来越多样化、越来越明确。本文通过对现有的网络入侵检测系统的分析,发现了其中存在的问题,即“无效告警情况多,对所处的环境一无所知”,以此提出一些改进方法,以期能够开阔思路开展进一步的深入研究。
参考文献:
[1] 马艳春,肖创柏.基于入侵预防的网络入侵检测技术的研究[J].华北科技学院学报,2007(2).
[2] 魏宇欣.网络入侵检测系统关键技术研究[D].北京:北京邮电大学,2008.
[3] 高朝勤,陈元琰,李梅.入侵检测中的自适应模式匹配技术[J].计算机工程,2009(6).
转载请注明出处学文网 » 网络入侵检测系统NIDS的新技术研究