入侵检测技术框架结构剖析.docVIP

入侵检测技术框架结构剖析 　　摘要：随着计算机网络知识的普及，攻击者越来越多，知识日趋成熟，攻击工具与手法日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络 的防卫必须采用一种纵深的、多样的手段。于是，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。 　　关键词：入侵检测；特征检测 　　中图分类号：TP393.08 文献标识码：B 　　目前大型数据库系统都提供了安全管理机制，但现有的数据库安全机制不能完全解决数据库的安全问题。例如：一个数据库用户如果拥有了系统管理员账号，就能完全控制数据库服务器，数据库访问控制安全机制对此无能为力。大多数数据库都提供了审计技术，但是在Internet环境下，由于访问数据库的用户的不确定性，审计数据库难以预知系统的入侵者，用数据库系统提供的用户级审计功能来发现入侵是困难的，此时往往需要审计对系统资源的访问来发现可能的入侵。审计系统资源的访问，审计数据量很大，耗费了大量的存储空间，审计员很难从大量的审计数据中通过人工方法找出可疑入侵。使用入侵检测技术，则可以发现非授权用户企图使用计算机系统或合法用户滥用其特权的行为。 　　1.入侵检测技术的发展过程 　　入侵检测(IDS--Intrusion Detection System)是近年来发展起来的一种防范技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法，其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。入侵检测的研究最早可追溯到James Anderson 在1980年的工作，他首先提出了入侵检测的概念，在该文中Anderson提出审计追踪可应用于监视入侵威胁，但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问，这一设想的重要性当时并未被理解。1987年Dorothy．E．Denning提出入侵检测系统(Intrusion Detection System，IDS)的抽象模型“，首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出，与传统加密和访问控制的常用方法相比，IDS是全新的计算机安全措施。 　　2.入侵检测的概念 　　入侵检测的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。入侵检测系统则是完成如上功能的独立系统。入侵检测系统能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion)，同时监控授权对象对系统资源的非法操作(Misuse)。 　　(1)从系统的不同环节收集信息；(2)分析该信息，试图寻找入侵活动的特征；(3)自动对检测到的行为做出响应；(4)纪录并报告检测过程结果。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足，从某种意义上说是防火墙的补充。入侵检测用来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行动。 　　3入侵检测系统结构 　　入侵检测系统的一般系统结构主要由以下几大部分组成： 　　(1)数据收集装置，收集反映状态信息的审计数据，输入给检测器。 　　(2)检测器，负责分析和检测入侵的任务，并发出警告信号。 　　(3)知识库，提供必要的数据信息支持。 　　(4)控制器，根据警报信号，人工或自动做出反映动作。 　　从一般意义来说，一个入侵检测系统可以看成一个处理来自所保护系统的各种信息的检测器，所处理的系统信息可以分为：长期的信息，如关于攻击的知识库、系统目前的配置信息和描述当前发生事件的审计数据。检测器的作用就是从众多审计数据中剔除无用信息，给出一个用户关心的与安全性相关的分析报告，然后做出决策，发现属于入侵行为的活动。 　　4.入侵检测系统的分类 　　入侵检测系统根据其检测数据来源分为三类：基于主机(Host―based)的入侵检测系统、基于网络(Network-based)的入侵检测系统、基于分布式(Distributed―based)的入侵检测系统。 　　（1）基于主机的入侵检测系统(HIDS) 　　HIDS的检测对象主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可运行在被检测的主机或单独的主机上。此类系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。 　　（2）基于网络的入侵检测系统(NIDS) 　　NIDS使用原始网络数据包作为数据源，通常使用报文的模式匹配或模式匹配序列来定义规则，检测时将监听到的报文