1、入侵检测系统在网络信息安全中的应用摘要:入侵检测作为一种积极对抗网络攻击的方式已经成为近年来网络安全研究的热点。本文阐述了网络入侵的常见手段,提出了入侵检测的基本概念和主要分类,结合实例介绍了入侵检测技术的应用,希望对该技术系统的推广与应用提供帮助。 关键字:入侵检测系统 网络信息安全 应用 伴随着信息时代的高速发展,网络被广泛的应用在国防或是政府管理机构等重要部门,同时也成为了日常生活的重要组成部分。它在便捷了人们的生活之外,也对个人的财产和信息安全造成了威胁。因此,我们对网络安全问题给予极大的重视。从技术层面上来说,入侵检测系统成为了保护网络安全的技术核心,在抵挡黑客入侵等破坏网络安全方面
2、起到了主动防御的作用。 一、网络入侵的常见手段 当前网络入侵现象在我们的日常生活中时有发生,为了维护国家和个人的信息、财产安全,我们引入了入侵检测系统,入侵检测系统通过分析存在安全隐患的数据包与普通数据包的不同,来准确而高速的分辨入侵行为。对此,我们的研究者们,在此基础上为了提高工作的效率和评估的准确性,将常见的几种网络入侵手段进行了分析和总结。系统或协议漏洞引起的网络入侵最为常见,然而应对方式也相对简单,当系统淘汰时或是漏洞被修补,网络入侵也就失去了效果。但攻击的手段也是不断变化的,并且具有自己鲜明的特点。 首先,网络探测或嗅探,网络探测也可称为扫描,扫描可以使攻击者快速的探测到目标主机的端
3、口分配情况和服务器的操作系统,最终的目的是为更下一步的入侵奠定了基础。而嗅探是指一种相对安静的入侵方式,其具有不易被察觉的特点,攻击者使用这项技术通过网络上的数据包进行信息窃听。 其次,解码类攻击,也是最常见的账户的用户名及密码的窃取,由于很多人都采用简单的名字或是生日组合式的简单密码,并且很少更换,这就有利于攻击者采取一些口令猜测的程序来破译密码,例如 LC5 工具就是一个不具备太多技术含量的密码破译器。 再次,未授权访问,许多复杂的操作系统却时常存在着隐藏着的漏洞,利用系统的漏洞,普通用户却可以比合法用户享有更多的权限。 最后,缓冲区数据的溢出,当缓冲区的数据被程序填充的溢出的时候,溢出的
4、数据将合法的数据覆盖后,攻击者就会利用自己设计的程序进行系统控制。但这种攻击方式会随着安全编程的发展而被逐步淘汰。除上述几种主要的攻击方式外,还有通过网络设备的手段攻击,拒绝服务攻击,恶意代码攻击,协议攻击和欺骗攻击。 二、入侵检测系统概述 (一)根据检测对象分类 首先可以基于网络的 IDS 进行分类,IDS 是用于数据处理和窃听网络原始流量的,它在识别入侵行为的时候是通过与正常网络中的原型相比较或通过与具有攻击特征相匹配的方式来检测攻击。此类型的 IDS 通常具有成本低廉,不需在每台机器上安装的较为便捷的特点,并能够及时的监听到网络上的信息,因此在当今能够被广泛使用。其次,还有基于主机的 I
5、DS 进行分类,它确认潜在入侵威胁的方式是通过对主机上存在的数据进行详细的分析,还可以从跟踪的日志来追踪入侵的一些线索,对入侵者在入侵过程中留下的一些线索进行分析,从而做到检测的作用。此外,还可以通过寻找一些系统配置和系统中文件被改变的痕迹来为检测入侵提供有利的证据。再次,混合式的 IDS,这是将前面叙述的两种方式进行综合,既有第一种的从网络中的察觉攻击信息,也有第二种的从日志中追踪到线索。最后还有通过对文件的完整性检查来检测是否被入侵,除了检测文件的完整性,还可以检测文件是否被修改来看网络的入侵问题。 (二)根据检测的技术分类 (1)误用的 IDS,误用也被称为滥用,这主要是通过预先将入侵系
6、统定义好,并对其进行适当的监督,从中就可以看出符合事先设定好的入侵系统的内容。现在这种检测系统中又包含了几种关于检测的子系统,其中模型匹配系统得到了广泛的应用。 (2)异常的 IDS,它将人类的一切正常行为都假设成有一定规律的,并通过将这些规律总结成的日志信息进行分析,从而检测出入侵行为,IDS 可以通过定义可接受的行为来使那些不可被接受的行为被区别为入侵行为,因此要及时总结日常操作中的正确行为,并将与这些行为有巨大偏差的看做是入侵行为。 三、入侵检测系统的应用案例 (一)基于数据挖掘的入侵检测系统 数据也被称为是数据库中的知识的发现,在当今社会中高速发展。数据挖掘主要是从一个较为大型的数据库
7、中,从成千上万的数据中找到人们相对感兴趣的那些知识,这些知识可以是隐形的或是潜在的。数据挖掘技术与入侵检测结合的日益密切,其在入侵检测方面也主要向两方面发展,一是与模型匹配的方式相结合,从而找出入侵的模式。第二是通过建立一个客户的日常正常行为库,找出与用户的正常行为不相匹配的异常行为。数据挖掘系统的建立是因为人们在进行网络入侵的检测的同时,迫切的需要找到一种具有抽象的意识和概括性特征的系统模式,这样就可以在减少人工参与度的同时也提高了工作的效率。而数据挖掘技术恰好符合这种特质,建立一个数据挖掘系统,能够通过自动化的检测模式来减轻人工在工作中的负担。哥伦比亚大学的 Wenke Lee 研究小组就
8、曾在 1988 年第一次将数据挖掘技术与入侵检测系统相结合,他们所应用的主要技术是分类、关联原则和序列规则。并且他们还提出了一中模糊的数据挖掘检测机制,这也被称为模糊关联挖掘方法,这种方式在被应用到检测系统之后,也充分的扩展了 LEE 的研究方法。此外,数据挖掘中的聚类算法也被 Eskin 等人应用到入侵检测系统中。根据以上的案例,我们可以看出数据挖掘之所以能在入侵系统的检测中应用,是因为其利用自身的理论构建了一个检测异常行为的系统,从而提高了检测效率。 (二)实际应用方案 我们在此通过对一个简单的事例进行分析来看入侵检测系统的实际应用方案,以 Windows NT 版的 realsecure
9、 产品来说,这里有可供客户选择的是将驱动与控制台在一个系统中运行还是两个。用户选择当前要根据低成本和高性能两个原则来进行。若是对主干网络进行监视,就可以在两台配置相同又相互独立的系统中进行。其中为了保证 IDS 能够找到最佳的位置,用户语言充分明确自需要保护的是什么,攻击的源头又是哪里。根据系统的理论研究后,我们还可以提出一种将受保护的子网与内部的结构相连,让它们全都处于监视范围内,这样能够使用户在巩固自己的防火墙防线的同时,也可以掌控整个网络的入站传输。 (三)IDS 产品的选择准则 (1)IDS 的主要检测指标在与它能发现的入侵方式有多少种,也就是攻击检测数量是多少,并且能否及时的在网上下
10、载升级包进行升级。 (2)根据为入侵检测系统所设置的网络环境来看是否需要引进高速的检测引擎。因此 IDS 的选择也要注意分析入侵检测系统最多可以处理的流量是多少。 (3)是否容易被攻击者轻易避开,随着攻击者技术的进步,成功躲避入侵检测的案例屡见不鲜,例如 TTL 欺骗,协同攻击等。因此在 IDS产品的选择上也要充分考虑这一点。 (4)产品是否已经通过了国家的权威机构的检测,包括公安局和国家信息安全评测认定中心等机构。 (5)IDS 产品的入侵检测库需要不断的更新,所以要注意在特征库升级时的费用。 (6)产品结构是否合理 (7)产品的检测系统错误率是多少 (8)系统本身的安全性如何 (9)产品的实时监控系统的性能如何 总 结: 网络安全是当前信息时代最为重视的问题,网络入侵检测系统在日常生活中的应用也标志着网络安全进入了一个新的阶段。 参考文献: 1冯登国.计算机通信网络安全M.清华大学出版社,2001 2唐正军,李建华.入侵检测技术M.清华大学出版社.2002
