在传统的计算机网络安全体系中,主要是根据安全策略建立支持该策略的安全模型,然后通过用户认证和授权、访问控制机制、数据加解密、防火墙等传统静态防御技术来保护系统。但是,近年来入侵手段的多样化使得防火墙等网络安全机制在这些攻击面前显得极为脆弱,采用上述传统静态防御技术所构成的被动防御体系显现出了很多弊端。
针对日益严重的网络安全问题和越来越突出的安全需求,动态自适应安全模型P2DR (Policy,Protection,Detection,Response)被提了出来,并已成为指导网络安全研究的一个重要标准。P2DR模型主要包括以下四个部分:Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。P2DR 模型在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,进一步利用检测工具来了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。在P2DR模型中,防护、检测和响应组成了一个完整的、动态的安全循环,可在安全策略的指导下有效保证信息系统的安全。入侵检测(Intrusion Detection)作为其中执行安全策略的工具及动态响应的依据,是P2DR的核心。
入侵检测技术是继数据加密、防火墙等传统安全保护措施之后的新一代安全保障技术,主要通过采集并分析大量数据信息来判断网络或主机系统中是否存在违反安全策略的行为。作为一种积极主动的安全防护技术,入侵检测可对来自外部与内部的攻击和误操作及时做出响应,包括记录事件、告警、阻断非法的网络活动等。入侵检测系统IDS(Intrusion Detection Systems)在一定程度上弥补了防火墙的不足,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性,现已成为网络安全深层次防御体系结构中的重要环节之一。
入侵检测技术最初由James P.Anderson等在20世纪80年代初提出,当时他在一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告中首次详细阐述了入侵检测的概念。在该报告中,他还将入侵行为分为外部渗透、内部渗透以及不法行为三种,提出了利用审计记录来监视与跟踪入侵活动的思想,并给出了入侵威胁、入侵检测以及入侵检测系统的具体定义。其中入侵威胁的定义为:潜在的、有预谋的、未经授权的访问信息、操作信息,致使系统不可靠或无法使用的企图;入侵检测的定义为:发现非授权使用计算机系统(网络)的个体(例如:黑客)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体;入侵检测系统的定义为:检测企图破坏计算机系统资源的完整性、真实性和可用性行为的软件,即执行入侵检测任务的程序。
入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为等。
入侵检测技术发展到今天已经取得了巨大的进展,现有的入侵检测系统能够在很大程度上抵御攻击,但不可否认的是,现有的入侵检测系统在以下几个方面还存在着许多不足之处:
(1)误报率、漏报率较高:绝大多数的商用入侵检测系统都是使用模式匹配的分析方法,这种检测方法对未知的攻击或已知攻击的变种的检测能力有限,这通常导致较高的漏报率,而这对IDS要保护的系统或网络来说,是十分危险的。除此之外,模式匹配要求匹配特征库的更新要及时而合理,这对维护人员提出了很高的要求。但在实际应用中,由于受各种外界因素的影响,加上目前IDS自身技术的不足,造成入侵检测的误报率较高,致使系统管理员往往要用很大的精力处理误报,有时会导致管理员暂时关掉IDS,从而使得攻击者有可乘之机。
(2)检测方法单一:随着攻击方法越来越复杂、越来越多样化,单一的基于规则的检测或是基于异常的检测已经很难满足安全的需要。两种检测技术各有所长,入侵检测系统的发展趋势是在同一个系统中同时使用多种不同分析方法。
(3)互操作性不强:网络不同的部分可能会根据安全需求的不同使用不同的入侵检测系统或其他安全产品,但现在的入侵检测系统之间不能交换信息,与其他安全产品也不能互通信息,对形成完备的安全保障体系造成了障碍。
(4)检测速度慢:网络速度的发展远远超过了数据包分析、匹配技术发展的速度,基于网络的入侵检测系统难以跟上网络速度的发展。
针对现有入侵检测技术存在的以上不足之处,未来入侵检测技术研究的难点与潜在的研究方向大致如下:
(1)高速交换网络环境下的实时入侵检测:大量高速网络技术不断出现,对入侵检测系统数据采集、分析方法的效率问题提出了新的要求,另外,现有的入侵检测系统如何适应和利用未来高速网络协议也是一个不可避免的问题。
(2)大规模分布式入侵检测:传统的入侵检测系统局限于单一的主机或网络架构,对异构系统及大规模网络的检测效果不是很好,不同的入侵检测系统之间以及与其他网络安全系统不能协同工作。大规模分布式入侵检测系统成为一种趋势,异构系统之间的协作与数据共享成为关键问题。
(3)智能化入侵检测:绝大部分的商业入侵检测系统的工作原理与病毒检测相似,异常检测和误用检测需要人工设计大量规则和参数,在软件环境和外部环境发生改变后必须对这些参数重新设计,因此系统的灵活性和适应性差。具有自学习、自适应的入侵检测系统还未成熟,为了降低系统的误报率和漏报率,入侵检测的智能化成为当前入侵检测研究的热点。现阶段常用的智能化方法有神经网络、专家系统、遗传算法、模糊系统、免疫系统、机器学习等。
另外,关于入侵检测系统的标准化、自身安全问题以及建立有效的入侵检测评测方法等问题也是入侵检测中非常重要的一些研究领域。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
