一种入侵检测系统的设计与实现.docxVIP

一种入侵检测系统的设计与实现 0 传统攻击检测手段手段更加丰富 近年来，网络信息系统的安全性日益严重。 为了保证网络信息系统的安全性,对未知入侵进行有效防范,目前采用的技术手段主要有网络防火墙和入侵检测系统 目前随着网络数据流量的急剧增加,攻击的特征更加复杂,手段更加多样,单方面的异常攻击检测技术或误用入侵检测已经无法应对。特别是对于如零日攻击等类型的新一代威胁,传统检测手段需要有一段时间来发现攻击并提供相对应的检测签名,而这段时间攻击者已经造成了实质性损失。同时新一代威胁往往使用多态变形等高级逃避技术,无疑使发现攻击所需要的时间大大地增加。 为解决单一检测技术的不足,本文探讨并设计一种将深度检测技术 1 基于不同检测技术的入侵检测系统结构 基于多种检测技术融合的入侵检测系统以深度检测技术、异常攻击检测技术和误用检测技术为基础,进行全面深度协议分析 1.1 误用检测技术 1.1.1 基于用户身份的正常网络访问模型 系统中的用户根据各自的工作内容和兴趣爱好都会形成相应的行为习惯,将这些行为习惯反应在日常的网络访问活动中并进行长时间的分析和归纳,根据用户身份,IP地址或地理位置,所参与的网络应用,所执行的操作、时间、频次等参数建立正常网络访问模型。当系统检测到网络中出现了异于正常网络访问模型的用户异常行为活动时,则将其详细的访问信息调出,并进行深入分析,判断是否有攻击行为。 1.1.2 高速匹配、匹配 特征分析主要检测各类已知攻击,在全盘了解攻击特征后,制作相应的攻击特征过滤器,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。 基于权威的知识库,使用高速、智能模式匹配方法,能够精确识别各种已知类型攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征库,可以在第一时间检测到攻击行为。 1.2 深度检测技术 1.2.1 智能协议识别技术 协议识别和分析技术是新一代网络信息安全系统的核心技术。传统的安全系统如防火墙是通过协议端口映射表(或类似技术)等来识别网络报文的协议类型。但是新型攻击大都可以在一个任意的、指定的端口上运行,从而逃避安全系统的检测。 智能协议识别技术,通过动态分析网络报文中所包含的协议特征,并发现其所在协议,然后上传给相应的协议分析引擎进行处理。协议识别可以在完全不需要人工参与的情况下,准确、高效地检测出通过Smart Tunnel(智能隧道)或动态端口所实施的恶意程序入侵,并可以发现绑定在任意端口的木马、后门等,对于运用Smart Tunnel技术的软件也能够准确识别和分析。 1.2.2 攻击的内部特征 深度协议分析一般而言是进行深度包检测(Deep Packet Inspection,DPI)。相对于普通的报文分析,深度包检测技术不仅分析IP包的源端口、目的端口、源地址、目的地址、协议类型等内容,更增加了对应用层的检测,可以对各种应用及其内容进行分析识别。恶意攻击的内容往往都是隐藏在数据载荷内的,传统检测模式往往只能在攻击发生后进行恶意程序探源,而深度检测虽然耗费比较高,但能及时发现和隔离恶意程序,从而能及时有效地保护内部网络安全。深度协议分析以启发式技术、统计学分析、指纹匹配以及异常检测等技术的规则集来决定如何分析数据包。检测引擎将数据包中的数据与已知的攻击指纹进行深度匹配对比,以判定该数据传输中是否包含恶意攻击和威胁;同时可以利用已有的统计学数据进行模式匹配,更好地进行威胁识别。 1.2.3 协议异常处理 协议异常检测是在深度协议分析基础上,通过把任何违反RFC规定的行为作为协议异常来处理,实现威胁检测的目的。 协议异常检测的作用是检查特定应用程序的执行缺陷(如:应用缓冲区溢出异常),或者违反特定协议规定的异常(如:RFC异常),从而发现拒绝服务攻击、0-day攻击以及未知的溢出等攻击。 1.3 )网络流量偏离基准 异常攻击检测主要对网络流量的统计分析并发现异常流量,即流量异常检测。该技术通过学习和调整特定网络环境下的正常流量值,并将某个正常的流量设为基准流量值,来发现偏离基准的异常流量。将网络传输的流量数据值与这个基准作比较,当网络流量偏离基准达到一定的程度,产生告警信息。 流量异常检测可以有效检测出未知的蠕虫快速攻击、分布式拒绝服务攻击(DDOS)、流氓软件流量攻击和其他0-day攻击。 1.4 完善征库的阶段 系统在以往的经验基础上建立特征库,并借助监测平台分析,提取未知威胁特征,及时补充到特征库中。基于攻击的特征库的完善分为3个阶段: 1)收集网络流量数据阶段。收集的数据主要为与网络事件相关的动态数据以及从动态数据中总结出来的统计数据。 2)数据处理阶段。主要是从中提取有效异常流量,进行特征提取。 3)安全攻击检测阶段。对提取出非正常信息进行分类、综合关联分