入侵检测系统误报率和漏报率改善方法研究.docVIP

入侵检测系统误报率和漏报率改善方法研究 　　摘要：现有入侵监测系统存在误报率和漏报率较高的问题，本文对几种降低IDS误报率和漏报率的方法进行研究，通过将这几种方法相互结合，能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作，从而保证网络安全的运行。 　　关键字：入侵检测；协议分析；模式匹配；智能关联a 　　中图分类号:TP393.08文献标示码:A 　　 　　1引言 　　 　　入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术，它对计算机和 　　网络资源上的恶意使用行为进行识别和响应，不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入，现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题，导致IDS对攻击行为反应迟缓，增加安全管理人员的工作负担，严重影响了IDS发挥实际的作用。 　　本文针对现有入侵监测系统误报率和漏报率较高的问题，对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合，能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作，从而保证网络 　　安全的运行。 　　 　　2入侵检测系统 　　 　　入侵是对信息系统的非授权访问及（或）未经许可在信息系统中进行操作，威胁计算机或网络的安全机制（包括机密性、完整性、可用性）的行为。入侵可能是来自外界对攻击者对系统的非法访问，也可能是系统的授权用户对未授权的内容进行非法访问，入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS（Intrusion Detection System）是从多种计算机系统机及网络中收集信息，再通过这些信息分析入侵特征的网络安全系统。 　　现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模，这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配，即将每一个已知的攻击事件定义为一个独立的特征，这样对入侵行为的检测就成为对特征的匹配搜索，如果和已知的入侵特征匹配，就认为是攻击。异常检测是对正常的行为建模，所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型，它通过设置极限阈值等方法，将检测数据与已有的正常行为比较，如果超出极限阈值，就认为是入侵行为。 　　入侵检测性能的关键参数包括：（1）误报：实际无害的事件却被IDS检测为攻击事件。（2）漏报：攻击事件未被IDS检测到或被分析人员认为是无害的。 　　 　　3降低IDS误报率方法研究 　　 　　3.1智能关联 　　智能关联是将企业相关系统的信息（如主机特征信息）与网络IDS检测结构相融合，从而减少误报。如系统的脆弱性信息需要包括特定的操作系统（OS）以及主机上运行的服务。当IDS使用智能关联时，它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞，IDS将抑制告警的产生。 　　智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞；被动关联是借助操作系统的指纹识别技术，即通过分析IP、TCP报头信息识别主机上的操作系统。 　　3.1.1被动指纹识别技术的工作原理 　　被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息，另一个是特征数据库中的目标主机信息，通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口（WINDOWSIZE）、数据报存活期（TTL）、DF(dontfragment)标志以及数据报长（Totallength）。 　　窗口大小（wsize）指输入数据缓冲区大小，它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数（hop）；不同的TTL值可以代表不同的操作系统（OS），TTL=64，OS=UNIX；TTL=12，OS=Windows。DF字段通常设为默认值，而OpenBSD不对它进行设置。数据报长是IP报头和负载（Payload）长度之和。在SYN和SYNACK数据报中，不同的数据报长代表不同的操作系统，60代表Linux、44代表Solaris、48代表Windows2000。 　　IDS将上述参数合理组合作为主机特征库中的特征（称为指纹）来识别不同的操作系统。如TTL=64，初步判断OS=Linux/OpenBSD；如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此，（TTL，wsize）就可以作为特