入侵检测系统中检测引擎的分析与实现.doc

华 中 科 技 大 学 硕 士 学 位 论 文 (3) 检测和监视已成功的安全突破； (4) 为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 从这些角度看待安全问题，入侵检测非常必要，它将弥补传统安全保护措施的不 足。 目前入侵检测系统主要包括三种体系结构:基于主机的入侵检测系统(Host Intrusion Detection System，HIDS)、基于网络的入侵检测系统(Network Intrusion Detection System，NIDS)、分布式入侵检测系统(Distributed Intrusion Detection System， DIDS)[7]。随着互联网的普及、网络技术的发展和入侵方法的发展，单一主机已经不 能有效对付入侵和网络攻击，网络入侵检测系统和分布式入侵检测成为入侵检测的一 个主要发展方向。入侵检测系统可以在一定程度上主动预防和检测系统内、外部的入 侵，并做出适当响应，动态改变网络的安全性。而入侵检测系统检测引擎作为入侵检 测系统的核心也日益成为当前的研究热点。 入侵检测系统面临的问题 入侵检测系统技术主要面临着以下挑战[9][10][11]。 一、如何提高入侵检测系统的检测速度，以适应网络通信的要求。 入侵检测系统应尽可能实时地对获得的数据进行分析和报警，这就导致对所在系 统的要求越来越高。网络安全设备的处理速度一直是影响网络性能的一大瓶颈，虽然 入侵检测系统通常以并联方式接入网络的，但如果其检测速度跟不上网络数据的传输 速度，那么检测系统就会漏掉其中的部分数据包，从而导致漏报而影响系统的准确性 和有效性。在入侵检测系统中，截获网络的每一个数据包，并分析、匹配其中是否具 有某种攻击的特征需要花费大量的时间和系统资源。商业产品一般都建议采用当前最 好的硬件环境，并要求使用更快的匹配查询算法。尽管如此，仍然太多流量无法监视。 因此大部分现有的入侵检测系统只有几十兆的检测速度，较快的 NIDS 也只可以检查 100Mbps LAN 上的流量，从中识别至多几百种攻击特征。然而如今许多局域网运行在 一个相当高的速度，如千兆以太网已十分普遍，目前许多城市都已建成了千兆以太城 域网。由于网络速度增长一直比高速的包特征分析技术快。如今的入侵检测系统无法 可靠地检测网络流量，于是就存在着丢失数据，或无法检测更多特征的危险。虽然入 侵检测技术一直在改进，在加速，然而网络的速度也一直在增长。对百兆以上的流量， 单一的入侵检测系统仍很难应付。另外随着网络流量的进一步加大，在 PC 机上运行 纯软件系统的方式需要突破，需要设计专门的硬件系统来支持。 二、如何减少入侵检测系统的漏报和误报，提高其安全性和准确度。 2 华 中 科 技 大 学 硕 士 学 位 论 文 基于模式匹配分析方法的入侵检测系统将所有入侵行为和手段及其变种表达为 一种模式或特征，检测主要判别网络中搜集到的数据特征是否在入侵模式库中出现， 因此，面对着每天都有新的攻击方法产生和新漏洞发布，攻击特征库不能及时更新是 造成入侵检测系统漏报的一大原因。而基于异常发现的入侵检测系统通过流量统计分 析建立系统正常行为的轨迹，当系统运行时的数值超过正常阈值，则认为可能受到攻 击，该技术本身就导致了其漏报误报率较高。另外，大多入侵检测系统是基于单包检 查的，协议分析得不够，因此无法识别伪装或变形的网络攻击，也造成大量漏报和误 报。 入侵检测系统产品趋于误肯定。对于入侵检测系统来说当 ping of death 攻击发生 时产生告警是容易的。但如果入侵检测系统每次看到任何类型的 ping 时都产生告警， 它就会产生相反的效应。事实上，足智多谋的攻击者通常会先制造“狼来了”的现象， 通过产生许多看上去像是误肯定的告警，从而蒙蔽网络安全管理员，使他们掉以轻心， 简单地过滤或忽视这些告警，可能就使严重的攻击事件被忽视。目前没有评估基于网 络的入侵检测系统产品产生的误肯定的限制标准。而基于主机的入侵检测系统虽然只 能对单个主机进行检测、可获得的信息量较少，但获取的是面向操作系统和应用的信 息，可读性较好，分析效率较高，能够结合操作系统行为和用户行为来进行判定，因 而准确性高。 三、如何提高入侵检测系统的互动性能，从而提高整个系统的安全性能。 基于网络入侵检测系统可以很容易与防火墙结合，当发现有攻击行为时，过滤掉 所有来自攻击者的 IP 的数据。在大型网络中，网络的不同部分可能使用了多种入侵 检测系统，甚至还有防火墙、漏洞扫描等其他类别的安全设备，这些入侵检测系统之 间以及基于网络的入侵检测系统和其他安全组件之间如何交换信息，共同协作来发现 攻击、做出响应并阻止攻击是关系整个系统安全性的重要因素。例如，漏洞扫描程序 例行的试探攻击就不应该触发入侵检