分布式入侵检测系统.pdf

分布式入侵检测系统 一、入侵检测发展历史 伴随着新世纪的钟声，人类步入了信息社会。随着互联网在我国的普及和网络应用的深 入，各级政府部门，教育和科研机构，企事业单位，乃至个人组织都相继推出了计算机网络 服务，从根本上改变了人们的生活和工作方式。人们在提供网络服务、参与网络活动的同时， 往往只看到其便利、有益的一面，而降低了警惕性，忽视了潜在于网络中的安全问题。以往 的教训表明，如果对网络安全问题掉以轻心，互联网络也可能会使服务提供者的形象严重受 损，带来重大经济损失，甚至造成恶劣的社会影响。互联网具有天然的开放性和协议的简便 性，它在展示其无所不能的强大威力的同时，也不可避免地伴随了大量的安全隐患。网络结 构组织各方面的缺陷，系统与应用软件的漏洞，以及网络管理员的水平低下和疏忽大意，都 可能使网络攻击者有机可乘；恶意的入侵者干扰正常业务，销毁或篡改重要数据，甚至使更 多的服务器失去控制，造成一系列严重后果。 人们在得益于信息革命所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严 峻考验。伴随着对网络技术的推进，网络攻防的战斗也越演越烈。网络安全已经引起各国、 各部门、各行各业的高度重视，在网络中引入安全防范机制已经成为人们的公识。防范网络 攻击，最常用的对策是构建防火墙。防火墙是一种应用层网关，按照设定的规则对进入网络 的IP分组进行过滤，同时也能针对各种网络应用提供相应的安全服务。利用防火墙技术， 经过仔细的配置，通常能在内外网之间实施安全的网络保护机制，降低风险。但仅仅使用防 火墙保障网络安全是远远不够的，因为入侵者会想方设法寻找防火墙背后可能敞开的通道。 另一方面，防火墙在阻止内部袭击等方面也收效甚微，对于企业内部心怀不满而又技术高超 的员工来说，防火墙形同虚设。而且，由于性能的限制，防火墙通常不能提供有效的入侵检 测能力。因此，认为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。 能否成功阻止网络黑客的入侵，保障计算机和网络系统的安全和正常运行，已经成为各 机构和单位能否正常运作的关键性问题。入侵检测系统 IDS是近年出现的新型网络安全技 术，是一套软件和硬件的结合体。IDS能弥补防火墙的不足，为受保护网络提供有效的入侵 检测及采取相应的防护手段；入侵检测是一个全新的、迅速发展的领域，并且已成为网络安 全中极为重要的一个课题；入侵检测的方法和产品也在不断的研究和开发之中，并且已经在 网络攻防实例中初步展现出其重要价值。 二、传统入侵检测方法 目前，国际顶尖的入侵检测系统IDS主要以模式发现技术为主。所谓模式发现技术是指 从各种入侵行为及其变种中抽取出各方面的模式或特征，然后用这些模式去匹配、去发现可 能的攻击。IDS一般从实现方式上分为两种：基于主机的 IDS和基于网络的 IDS。一个完备 的入侵检测系统IDS应该是基于主机和基于网络两种方式兼备的分布式系统。另外，能够识 别的入侵手段的数量多少，最新入侵防范的更新是否及时都是评价入侵检测系统的关键指 标。 传统的入侵检测有基于主机、基于网络、基于统计模型等几类，但通常都按照基于主机 的IDS和基于网路的IDS来划分。基于主机的IDS原理上类似于计算机防病毒软件或是网络 管理软件——在所有服务器上安装某种代理，用特定的管理控制系统进行汇报工作。它们使 用一种传感控制结构，而且通常是纯被动的。基于网络的系统可以通过比较线路的流量，以 及内部列出的种种特征标识进行观测。两种方案都可以对识别到的攻击做出反应。 1、基于主机的入侵检测 就目前的情况来看，DNS、Email和web服务器是多数网络攻击的目标，大约占据全部 网络攻击事件的1/3以上。这些服务器必须要与Internet系统交互作用，所以应当在各服 务器上安装基于主机的入侵检测软件，其检测结果也应及时地向管理员报告。基于主机的 IDS没有带宽的限制，它们密切监视系统日志，能识别运行代理的机器上受到的攻击。基于 主机系统提供了基于网络系统不能提供的精细功能，包括二进制完整性检查、系统日志分析 和非法进程关闭等功能。这方面典型的产品有Axent的InTrusion Alert等。 基于主机的IDS最大的好处就在于能根据受保护站点的实际情况进行针对性的定制，使 其工作非常有效果，误警率相当低。典型的如web服务器入侵检测系统，它相当于一套复杂 的过滤设备，使用一个攻击字符串列表来对web服务器（单个或多个）进行监视，可以发现 对web服务器的已知的各种可能的攻击。这样的IDS在工作时，即使有一些误警事件也