入侵检测技术的发展研究.doc

入侵检测技术的发展研究 引言 随着计算机网络的飞速发展，网络安全风险系数不断提高，曾经作为最主要安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。 IDS作为网络安全架构中的重要一环，其重要地位有目共睹。随着技术的不断完善和更新，IDS正呈现出新的发展态势，IPS（入侵防御系统）和IMS（入侵管理系统）就是在IDS的基础上发展起来的新技术。 2 网络入侵检测技术的发展 网络入侵检测技术发展到现在大致经历了三个阶段： 第一阶段：入侵检测系统（IDS），IDS能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。[2] 第二阶段：入侵防御系统（IPS），相对与IDS比较成熟的技术，IPS还处于发展阶段，IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术，可以主动的、积极的防范、阻止系统入侵，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断，这样攻击包将无法到达目标，从而可以从根本上避免攻击。 第三阶段：入侵管理系统（IMS），IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。 3 IPS研究与分析 IPS是针对IDS的不足而提出的，因此从概念上就优于IDS。IPS相对与IDS的进步具体体现在： （1）在IDS阻断功能的基础上增加了必要的防御功能，以减轻检测系统的压力； （2）增加了更多的管理功能，如处理大量信息和可疑事件，确认攻击行为，组织防御措施等； （3）在IDS监测的功能上增加了主动响应的功能，一旦发现有攻击行为，立即响应，主动切断连接； （4）IPS以串联的方式取代IDS的并联方式接入网络中，通过直接嵌入到网络流量中提供主动防护，预先对入侵活动和攻击性网络流量进行拦截。 3.1 IPS关键技术研究 IPS通常由探测器和管理器组成。探测器包括流量分析器、检测引擎、响应模块、流量调整器等主要部件，如图1所示[3]： 图 1 探测器组成 由于IPS采用串连工作方式，流量分析器需要完成三个基本的功能： （1）截获网络数据包并处理异常情况。异常数据包不一定是恶意攻击，但通过合适的方式处理掉，就可以为检测引擎省去一些不必要的处理工作。例如，流量分析器丢弃校验和出错的数据包，以后检测引擎就不必要处理这样的坏包。 （2）剔除基于数据包异常的规避攻击。例如，分析器可以根据它对目标系统的了解，进行数据包的分片重组，还可以处理协议分析或校正异常等，从而识别规避攻击。 （3）执行类似防火墙的访问控制，根据端口号IP地址阻断非法数据流。 检测引擎是IPS中最有价值的部分，一般都基于异常检测模型和滥用检测模型，识别不同属性的攻击。IPS存在的最大隐患是有可能引发误操作，这种“主动性”误操作会阻塞合法的网络事件，造成数据丢失，最终影响到商务操作和客户信任度。为避免发生这种情况，IPS中采用了多种检测方法，最大限度地正确判断已知和未知攻击。有些IPS检测引擎的模块则已细化到针对缓冲区溢出、DDoS/DoS、网络蠕虫的检测。 响应模块需要根据不同的攻击类型制定不同的响应策略，如丢弃数据包、中止会话、修改防火墙规则、报警、日志等。 流量调整器主要完成两个功能：数据包分类和流量管理。目前，大部分IPS根据协议进行数据包分类，未来将提供具体到根据用户或应用程序进行数据包分流的功能，通过对数据包设置不同的优先级，优化数据流的处理。 图2反映了IPS对攻击响应的过程[4]： 图2 IPS对攻击的响应过程 当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用Layer 2 （介质访问控制层）至Layer 7（应用层）的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包