【電腦網路】回顧入侵檢測技術及其發展歷史

自1980年產生IDS概念以來，已經出現了基於主機和基於網路的入侵檢測系統，出現了基於知識的模型識別、異常識別和協議分析等入侵檢測技術，並能夠對百兆、千兆甚至更高流量的網路系統執行入侵檢測。入侵檢測是一門綜合性技術，既包括實時檢測技術，也有事後分析技術。儘管用戶希望通過部署IDS來增強網路安全，但不同的用戶需求也不同。由於攻擊的不確定性，單一的IDS產品可能無法做到面面俱到。因此，IDS的未來發展必然是多元化的，只有通過不斷改進和完善才能更好地協助網路進行安全防禦。入侵檢測技術的發展已經歷了四個主要階段：第一階段是以基於協議解碼和模式匹配為主的技術，其優點是對於已知的攻擊行為非常有效，各種已知的攻擊行為可以對號入座，誤報率低；缺點是高超的黑客採用變形手法或者新技術可以輕易躲避檢測，漏報率高。第二階段是以基於模式匹配+簡單協議分析+異常統計為主的技術，其優點是能夠分析處理一部分協議，可以進行重組；缺點是匹配效率較低，管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。第三階段是以基於完全協議分析+模式匹配+異常統計為主的技術，其優點是誤報率、漏報率和濫報率較低，效率高，可管理性強，並在此基礎上實現了多級分散式的檢測管理；缺點是可視化程度不夠，防範及管理功能較弱。第四階段是以基於安全管理+協議分析+模式匹配+異常統計為主的技術，其優點是入侵管理和多項技術協同工作，建立全局的主動保障體系，具有良好的可視化、可控性和可管理性。以該技術為核心，可構造一個積極的動態防禦體系，即IMS——入侵管理系統。新一代的入侵檢測系統應該是具有集成HIDS和NIDS的優點、部署方便、應用靈活、功能強大、並提供攻擊簽名、檢測、報告和事件關聯等配套服務功能的智能化系統。1．入侵檢測技術分類從技術上講，入侵檢測技術大致分為基於知識的模式識別、基於知識的異常識別和協議分析三類。而主要的入侵檢測方法有特徵檢測法、概率統計分析法和專家知識庫系統。（1）基於知識的模式識別這種技術是通過事先定義好的模式資料庫實現的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，並建立模式資料庫，然後監視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規則時，根據模式匹配原則判別是否發生了攻擊行為。模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區分入侵行為和正常行為。這種檢測技術僅限於檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。（2）基於知識的異常識別這種技術是通過事先建立正常行為檔案庫實現的，其基本思想是：首先把主體的各種正常活動用某種形式描述出來，並建立「正常活動檔案」，當某種活動與所描述的正常活動存在差異時，就認為是「入侵」行為，進而被檢測識別。異常識別的關鍵是描述正常活動和構建正常活動檔案庫。利用行為進行識別時，存在四種可能：一是入侵且行為正常；二是入侵且行為異常；三是非入侵且行為正常；四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為「入侵」行為。這種檢測技術可以檢測出未知行為，並具有簡單的學習功能。以下是幾種基於知識的異常識別的檢測方法：1）基於審計的攻擊檢測技術這種檢測方法是通過對審計信息的綜合分析實現的，其基本思想是：根據用戶的歷史行為、先前的證據或模型，使用統計分析方法對用戶當前的行為進行檢測和判別，當發現可疑行為時，保持跟蹤並監視其行為，同時向系統安全員提交安全審計報告。2）基於神經網路的攻擊檢測技術由於用戶的行為十分複雜，要準確匹配一個用戶的歷史行為和當前的行為是相當困難的，這也是基於審計攻擊檢測的主要弱點。而基於神經網路的攻擊檢測技術則是一個對基於傳統統計技術的攻擊檢測方法的改進方向，它能夠解決傳統的統計分析技術所面臨的若干問題，例如，建立確切的統計分布、實現方法的普遍性、降低演算法實現的成本和系統優化等問題。3）基於專家系統的攻擊檢測技術所謂專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的，它根據專家經驗進行推理判斷得出結論。例如，當用戶連續三次登錄失敗時，可以把該用戶的第四次登錄視為攻擊行為。4）基於模型推理的攻擊檢測技術攻擊者在入侵一個系統時往往採用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特徵的模型，根據這種模型所代表的攻擊意圖的行為特徵，可以實時地檢測出惡意的攻擊企圖，儘管攻擊者不一定都是惡意的。用基於模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監視具有特定行為特徵的某些活動。根據假設的攻擊腳本，這種系統就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的系統建立特定的攻擊腳本。使用基於知識的模式識別和基於知識的異常識別所得出的結論差異較大，甚至得出相反結論。這是因為基於知識的模式識別的核心是維護一個入侵模式庫，它對已知攻擊可以詳細、準確地報告出攻擊類型，但對未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基於知識的異常識別則是通過對入侵活動的檢測得出結論的，它雖無法準確判斷出攻擊的手段，但可以發現更廣泛的、甚至未知的攻擊行為。（3）協議分析這種檢測方法是根據針對協議的攻擊行為實現的，其基本思想是：首先把各種可能針對協議的攻擊行為描述出來，其次建立用於分析的規則庫，最後利用感測器檢查協議中的有效荷載，並詳細解析，從而實現入侵檢測。這種檢測技術能檢測出更為廣泛的攻擊，包括已知的和未知的攻擊行為。2．入侵檢測技術的發展趨勢隨著交換技術、加密信道技術和入侵技術的不斷發展，對入侵檢測技術的要求也越來越高，檢測的方法手段也越來越複雜。（1）入侵技術發展的特點現代入侵技術具有以下一些特點：1）綜合化和複雜化；2）間接化；3）規模化；4）分散式；5）範圍廣。（2）入侵檢測存在的問題IDS的檢測模型始終落後於攻擊者的新知識和技術手段。主要表現在以下幾個方面：1）利用加密技術欺騙IDS；2）躲避IDS的安全策略；3）快速發動進攻，使IDS無法反應；4）發動大規模攻擊，使IDS判斷出錯；5）直接破壞IDS；6）智能攻擊技術，邊攻擊邊學習，變IDS為攻擊者的工具。（3）入侵檢測技術發展趨勢1）分散式入侵檢測，擴大檢測範圍和類別；2）智能化入侵檢測，自學習、自適應；3）應用層入侵檢測；4）高速入侵檢測；5）標準化和系統化入侵檢測。目前，IDS發展的新趨勢主要表現在兩個方向上，一個是趨向構建入侵防禦系統（IPS）。IPS是在IDS中增加主動響應功能實現的，並以串聯方式接入網路（IDS是以並聯方式接入網路的），一旦發現有攻擊行為，則立即響應，主動切斷與攻擊者的連接。IPS不僅具有入侵檢測功能，還具有安全防護功能；二是趨向構建入侵管理系統（IMS）。IMS是IDS發展的另一個方向，IMS的目標是將入侵檢測、脆弱性分析，以及入侵防禦等多種功能集成到一個平台上進行統一管理。IMS技術是一個管理過程，在未發生攻擊時，IMS主要考慮網路中的漏洞信息，評估和判斷可能形成的攻擊和將面臨的威脅；在發生攻擊或即將發生攻擊時，不僅要檢測出入侵行為，還要主動響應和防禦入侵行為；在受到攻擊後，還要深入分析入侵行為，並通過關聯分析來判斷可能出現的下一個攻擊行為。
推薦閱讀：