通过入侵检测提高系统安全性.pdfVIP

第J4次全国计算机安全学术交流鲁 第3章网络专仝 999．7 通过入侵检测提高系统安全性 阮耀平戴英使赵战生 中国科技大学硝究生院信息安全国家宴世字 摘要：拳文简要介绍了入侵检测的研究背景和内 或安仝限制比较来检删、 容。对系统进行了多个角度的分类，从捡测数据潭分为 冒充其它用户：这nJ能是冒fq他人雌户，也町能是 来自系统日志和网络数据包，从检测方法分为基于行为 修改所发送的消启域文件冒充发送者．一般霄用他人账 和基于知识两走类，并分剐闵述了各类方)击的实现手段 r，经常与闯^行为相伴。所以也能通过典犁行为特征或 和优缺点。最后给出了一些系统的实例 安全限制来捡删 ；i反安奎策略：指H】户行为超出丁系统安全策略所 1、引言 定义的合法行为范嗣例如食罔越杈访foJ文件或执行无 几乎从汁算机的诞生日起．人们就开始关≯≠系统的 极进行的操作 可以通过具体行为模式检洲。 安全性问题。从构筑操作系统时赖吼参照的发伞模型， 合法用户的泄漏：指在多级《全模式_F，系统中存 在两个以上不同安全级别的_rIj户，有权访问高级机密信 如著名的Bell—Lapadula，到评估系统：蠢全等级的安全 法则和评测标准，如可信计算机系统评阶准则 息的用户将授权的敏感信息发送给非援救的一一般用 (FCSEC)，信息技术安全评价准则…1sE(：)，信息技术通，1。，可通过I／()资源使用情况捡测 用安全评价准则(fc)等。人们主要从身份认证和访州控 独占资源：指攻击者企图i圭占特定的资源(通常是 制两个方面来保iⅡ：系统的安全性， 系统资源)．以阻JE合法用户的正常他用，或导致系统崩 但是，传统的身份认征技术，包括Kerberos技术，诈 otcl㈨fh等， 般通过检查系统资 溃如邮件炸弹，ping 不能抵制脆弱|生LI令，字典攻』．，特洛伊木马，网络窥探源使用状况来检测 器以及电磁辐射等攻击手段，对于访问控制，八馒者也 恶意使用：指攻ih暂进人系统后．企图执行使系统 可以利用脆弱胜崔序或系统漏洞绕过访问控制．或者提 不能正常廷行的操作．如删除系统文件等。“特洛伊木 升用户权限，或者非法凄写文件等。网络防火墙虽然为 马”也属于其中之一。可通过典型行为特征，安全限制或 网络服务提供，较好的身份认证和访问控制技术，但是 使HJ特权来榆测。 防火墙并不能阻挡所有的人侵行为，最常见的有fnl．rgi 同前人侵检测的课题已受到人们的高度重视，冈外 和phi攻击， 不但有多个奠验窜在从事八侵榆删系统的晰究和丌发， 这些传统安全措施都是从防御的角度来保护系统 并已完成一些原型系统和商业产品。但在曰内，类似系 的，而入侵检测则应用，以攻为守的策略一八浸俭洲n】 统的研究报旨并不很多，本文综合了同外大部分系统的 被定义为对计算机和嘲络资源上的恶意使用行为进行 检测方法，将它们从原理上作丁分类，并指出了相应的 识别和响应的处理过程。它不仅检测来自外部的八侵行 优缺点，希望能划我们的进一步7旰究有一定的启发性和 为，同时也指内部用户的未授杈活动。按八侵类型．八侵 借壤怍用， 检测的内容主要包括以下六部分： 2、入侵检测系统分类 试图闯入或成功闯入：闯入是指未经授}叉进入系统 从不『u]的角度对拎删系统有不例的分法： 或网络的行为。阔人者一般通过猜测口令或运川j』．}I 住榆测系统所分析的原始数据上，if分为柬闩系统 (如字典攻占)企图进人系统，剧通过用户典型行为特征R忠和嘲络数据包。撑作系统的[j志文件中包含了详细 ·9j· 第】4