网络入侵检测系统的主动响应技术.docVIP

网络入侵检测系统的主动响应技术 2003-12-22 李广峰 胡昌振 戴 斌 北京理工大学网络安全技术实验室 100081 ? 摘 要：响应是网络入侵检测系统（NIDS）的主要组成部分，主动响应机制是系统的主要应用。本文简介了主动响应机制的不同表现方式及特点，并对主动响应技术的发展前景作了简单论述。 网络入侵检测系统（NIDS）、主动响应、追踪技术、欺骗网 ? 1??????? 随着现代科技和信息技术的发展，计算机网络迅速发展，但同时网络入侵的风险性和机会也相应增多，为了消除这种威胁，入侵检测系统（IDS）就相应而出现。 IDS）自80年代提出以来得到了极大的发展，典型的入侵检测系统（IDS）通常采用静态异常模型和规则的滥用模型来检测入侵，这些IDS的检测基本是基于服务器或网络的，即主机基和网络基。基于服务器的IDS采用服务器操作系统的检测序列作为主要输入源来检测入侵行为，而大多数基于网络的IDS则以监控网络故障作为检测机制，网络入侵检测系统是监视计算机网络系统中违背系统安全策略行为的过程。按照最为规范的形式来划分，入侵检测分为以下3个模块： ② 分析引擎：用于对审计数据进行分析，发现入侵或异常行为。 ③ 响应：根据分析引擎的输出结果，产生适当的反应。 并且数据源、分析引擎和响应模块是相辅相成的。数据源为分析引擎提供原始数据进行入侵分析，分析引擎执行实际的入侵或异常行为检测，分析引擎的结果提交给响应模块，帮助采取必要和适当的动作，阻止进一步的入侵行为或恢复受损害的系统。同时响应模块作用的对象也包括数据源和分析引擎，对数据源来说，可以要求提供更为细致的信息，调整监视策略，收集其他类型的数据；对分析引擎，则可以增加、删除或更改系统的检测规则，修正检测过程中的参考模型，调整系统的运行参数等。随着入侵检测技术（IDS）的不断发展和完善，响应模块成为其中的关键部分，并得到充分发展。 IDS）中，在完成系统安全状况分析并确定系统所出问题之后，就要让人们知道这些问题的存在(在特定情况下，还有采取行动) ，这在入侵检测处理过程模型中称为响应。响应包括被动响应和主动响应。被动响应就是系统仅仅简单地记录和报告所检测出的问题，而主动响应则是系统(自动地或与用户配合)要为阻塞或影响攻击进程而采取行动。在早期的入侵检测系统（IDS）中被动响应是唯一的响应模式，随着技术的不断发展和人们对安全性的不断提高主动响应成为现今入侵检测系统（IDS）的主要响应模式。 2??????? 主动响应的类别及特点 在网络站点安全处理措施中，入侵检测的一个关键部分就是确定使用哪一种入侵检测响应方式以及根据响应结果来决定采取哪些行动，主动响应是主要方式。主动响应主要包括以下几种选项可供选择： 2．1 2．1．1入侵追踪技术 IP地址欺骗技术使反击误伤到无辜者；并且反击的结果可能挑起最猛烈的攻击，因为入侵者会从常规监视和扫描演变成全面的攻击，从而是系统资源陷入危机；进一步来讲，由于反击行动涉及到重要法规和现实问题，所以这种响应方式也不应该成为最常用的主动响应。 2．1．2 入侵警告和预防 TCP的RESET包，或发送TCMP Destination Unreachable(目标不可达)包，系统也可以利用防火墙和网关阻止来自入侵的IP 地址的数据包；另一方面，系统可以发邮件给怀疑入侵者的系统的管理员请求协助以识别问题和处理问题。这种响应方式只能发现问题，处理问题，但对入侵检测系统的完善所起的作用并不明显，但在一些研究机构和院校得到一定应用。 IDS）所标榜和追求的，但由于应用起来涉及的问题比较多，发展相对比较慢。 2．2 修正系统环境类似于自动控制的反馈环节，并具有自学习进化功能。修正系统环境以堵住导致入侵发生的漏洞的概念与一些研究者提出的关键系统耦合的观点是一致的，它可通过增加敏感水平来改变分析引擎的操作特征，或通过插入规则改变专家系统来提高对一些攻击的怀疑水平或增加监视范围以比通常更好的采样间隔来收集信息。 这种响应方式由于相对于上一种响应来说相比更为缓和，若与提供调查支持的响应相结合可称为是最佳响应配置，可广泛应用。 2．3 当被保护的系统非常重要并且系统管理人员需不断的进行法则矫正时就需要收集入侵者的信息，并不断的改进和优化系统；并且可以将入侵者转移到专用服务器。这些专用服务器设置被称为欺骗网技术，欺骗网技术就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。从原理上讲，每个有价值的网络系统