7网络安全之入侵检测技术.pdfVIP

网络安全之入侵检测技术 标签： 网络 入侵检测 测评 2012-07-31 14:07 中国移动通信研究院 卢楠 摘要 ：入侵检测技术作为网络安全中的一项重要技术已有近 30年的发展历 史 ，随着中国移动网络的开放与发展 ，入侵检测系统 （IDS ）也逐渐成为保卫中 国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中 ，逐步形 成了 2类方法、5种硬件架构 ，不同的方法与架构都存在其优势与不足。本文基 于入侵检测的应用场景 ，对现有的主流技术原理、硬件体系架构进行剖析 ；详细 分析 IDS产品的测评方法与技术 ，并介绍了一个科学合理、方便操作的IDS测 评方案。最后 ，从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前 ，互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和 计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的 侵害 ，甚至造成了极大的经济损失。 随着互联网技术的不断发展 ，网络安全问题日益突出。网络入侵行为经常发 生 ，网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临 的形势严峻 ，网络安全的主要威胁如图 1所示。 图 1 目前网络安全的主要威胁 说到网络安全防护 ，最常用的设备是防火墙。防火墙是通过预先定义规则并 依据规则对访问进行过滤的一种设备 ；防火墙能利用封包的多样属性来进行过 滤 ，例如 ：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。对于目前复杂的网络安全来说 ，单纯的防火墙技术已不能完 全阻止网络攻击 ，如 ：无法解决木马后门问题、不能阻止网络内部人员攻击等。 据调查发现 ，80%的网络攻击来自于网络内部 ，而防火墙不能提供实时入侵检测 能力 ，对于病毒等束手无策。因此 ，很多组织致力于提出更多更强大的主动策略 和方案来增强网络的安全性 ，其中一个有效的解决途径就是入侵检测系统 IDS （Intrusion Detection Systems ）。 2、入侵检测技术发展历史 IDS 即入侵检测系统 ，其英文全称为 ：Intrusion DetectionSystem。入侵 检测系统是依照一定的安全策略 ，通过软件和硬件对网络、系统的运行状况进行 监视 ，尽可能发现各种攻击企图、攻击行为或攻击结果 ，以保证网络系统资源的 机密性、完整性和可用性。IDS通用模型如图 2所示。 图 2 IDS 通用模型 IDS诞生于 1980年 ，到目前为止已经有 30余年的历史 ，在这 30余年中 ， IDS 的发展经过了4 个阶段。 第一阶段 ：概念诞生。IDS这个概念诞生于 1980年 4 月 ，James P.Andrson 为美国空军做了一份题为 《Computer Security Threat Monitoring and Surveillance》 （计算机安全威胁监控与监视 ）的技术报告 ，第一次详细阐述了 入侵检测概念。他提出了一种对计算机系统风险和威胁的分类方法 ，并将威胁分 为外部渗透、内部渗透和不法行为三种 ，还提出了利用审计跟踪数据监视入侵活 动的思想。这份报告被公认为是入侵检测的开山之作。 第二阶段 ：模型发展。从 1984 年到 1986年 ，乔治敦大学的 Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型 ， 取名为 IDES （入侵检测专家系统 ）。该模型由六个部分组成 ：主题、对象、审 计记录、轮廓特征、异常记录、活动规则 ，如图 3所示。它独立于特定的系统平 台、应用环境、系统弱点以及入侵类型 ，为构建入侵检测系统提供了一个通用的 框架。1988年 ，SRI/CSL的Teresa Lunt 等人改进了 Denning 的入侵检测模 型 ，并开发出了IDES。该系统包括一个异常检测器和一个专家系统 ，分别用于 统计异常模型的建立和基于规则的特征分析检测。 图 3 IDES结构框架 第三阶段 ：百家争鸣。1990年是入侵检测系统发展史上一个分水岭。加州 大学戴维斯分校的 L.T.Heberlein等人开发出了 NSM （Network Security Monitor ）。该系统第一次直接将网络流作为审计数据来源 ，