基于网络的入侵检测系统设计与研究
2021-11-01
来源:年旅网
科技信息 OIT论坛0 SCIENCE&TECHNOLOGYINFORMATION 2009年第31期 基于网络的入侵检测系统设计与研究 谭谈 (青岛农业大学理学与信息科学学院 山东【摘青岛266109) 要】本文简介了入侵检测的发展,分析了入侵方式和手段,叙述了网络入侵检测的优点。结合TCP/IP协议的特点介绍了一种网络入 侵检测系统的设计。 【关键词】入侵检测;网络;攻击手段;模式匹配;模块 内容.统计报文的流量特征来检测各种攻击行为。一般情况主要对报 0.引言 随着大规模综合网络的进一步发展,入侵攻击的行为越来越趋于 文进行如下多种分析:1)单个报文分析 复杂化,这就要求网络入侵检测系统(Network—based Intrusion Detection System)的功能更加强大,实时性更强。业务负荷更多,有足够 的能力处理来自网络的大量信息。 通过检查报文的源地址和目的地址、源端口和目的端口等内容, 可以检测Land等攻击。 1.入侵检测系统简介 入侵检测系统(IDS)是一种积极主动的安全防护工具,提供了对 ng of Death,和利用IP分片 内部攻击、外部攻击和误操作的实时防护,在计算机系统和网络受到 测针对IP报文重组过程进行的攻击如Pi危害之前进行报警、拦截和响应。它具有以下主要作用:通过检测和记 机制来逃避IDS检测或穿透防火墙的企图。 3)会话内容分析 录网络中的安全违规行为,防止网络入侵事件的发生;检测其他安全 对基于网络的会话内容进行分析。是检测堆栈溢出、口令猜测等 措施未能阻止的攻击或安全违规行为:检测黑客在攻击前的探测行 为,预先给管理员发出警报;报告计算机系统或网络中存在的安全威 攻击的主要手段。通过会话内容检测攻击的主要方式是字符串匹配。胁;提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利 于其进行修补:在大型、复杂的计算机网络中布置入侵检测系统,可以 4)相关性分析 2)报文重组 对IP分片进行重组,是进行会话内容分析的基础,同时也可以检 显著提高网络安全管理的质量。 才 基于网络的入侵检测具有以下优点:与被检钡l的系统平台无关; IDS检测的目的。只有对来自多个IP地址的报文进行相关性分析, 实时性高;在一个IP子网只需要安装一个检测节点就可以对整个子 能够检测这种类型的攻击。网进行监测;不会对网络通信产生影响。 5)统计分析 随着网络的日趋复杂化,网络攻击逐渐向分布、协同式发展,如分 布式端口扫描等,它可以降低单个主机活动的强度,从而达到逃避 通过对网络报文到达建立模型,或统计网络流量强度、服务分布, 系统的漏洞是指系统的硬件、操作系统、软件、网络协议等在设计 或对异常报文进行统计.可以检测各种Dos、DDoS攻击。将报文分析的结果送人模式匹配子系统进行入侵特征的查找。在 上、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。按照漏洞的 性质主要有如下几种:缓冲区溢出,拒绝服务攻击漏洞,代码泄露、信 本设计中,采用单报文分析和报文重组两种分析相结合的方式,辅助 息泄露,配置修改、系统修改漏洞,脚本执行漏洞,远程命令执行漏洞 以相关性分析。2.常见的入侵方式和手段 等。入侵者针对不同的漏洞。通常使用如下攻击手段进行网络攻击:目 标探测和信息收集,缓冲区溢出攻击,拒绝服务攻击,WEB攻击,木马 台机器发动恶意攻击,此种攻击会在短时间内产生大量的攻击报文, 攻击,计算机病毒攻击,对邮件系统攻击,对数据库系统的攻击等。 若仍然采用单包检测的模式匹配技术,会产生大量的重复告警信息, 3.基于网络的入侵检测系统的设计 影响系统的检测效率和性能。因此,对于这类攻击,本文设计了异常统 本文针对基于TCP/IP协议的网络提出了一种入侵检测系统。设 计较为合理,功能模块划分清晰,可以完成入侵检测的基本功能,该系 计模块来进行检测。该模块主要采用了统计方法,通过对这一类攻击 进行建模,设置极限阈值等方法,将检测数据与己有的正常行为比较, 统包含有八个子系统。本系统具有较好的可移植性和扩展性。 如果超出极限值,就认为是入侵行为。 3.1数据预处理子系统 将网络上产生的大量报文数据收集起来。然后将数据报文按照各 层协议逐一进行分离,将数据报文转换成程序可以识别的数据结构。 3.6模式匹配子系统 它是入侵检测系统的主要环节。系统在进行检测时,遍历由数据 3.5异常统计子系统 与一般的攻击方式有所不同,入侵者还会使用暴力手段或控制多 该模块主要分为如下几部分,链路层协议分解,网络层协议分解,传输 包的协议类型定位规则链表,调用递归函数进行规则的逐一匹配.即 首先匹配规则头,若匹配则继续递归匹配规则选项,若不匹配,直接匹 层协议分解,IP分片重组等。 配下一条规则。为了加快遍历的速度,提高入侵检测的效率因此需要 3.2人侵检测规则库 入侵检测规则库是入侵检测系统的核心。任何入侵检子系统块都 采用高效的模式匹配算法。针对模式匹配的攻击特征规则越来越多.需要该规则库中的信息,以确认是否对数据报文进行检测,以及如何 采用扩展的十字链表存储攻击规则,并进行匹配,可以达到较好的效 检测。该库中主要按照一种系统可识别的语言描述了所有已知的攻击 果。模式匹配技术需要一个完备的专家知识库来支持,将所有已知的 形式的信息和对应的检测方法。该规则库是利用用专家系统技术,将 入侵行为的特征纳入库中,但入侵行为变得越来越复杂,仅依靠已知 有关人侵的信息转化为if-then结构(也可以是复合结构),if部分为人 的入侵行为来防范,只能是被动的。落后的。这也是本设计下一步要研 侵特征,then部分是系统防范措施。 3-3状态检测子系统 究的问题,如何使本系统防范未知的入侵行为。 3.7入侵响应子系统 当模式匹配子系统检测出有入侵时会及时发出告警信息,联合其 状态检测子系统中的关键是IDS主机上的一个状态表。表中存放 他防御体系抵御人侵。结构上分为防火墙联动,阻塞攻击.警铃通知. 有系统当前状态的所有信息。如何检测状态就在于这个状态表的建立 消息通知,文件通知等。 和维护。 3.4协议分析子系统 3.8日志记录子系统 网络人侵检测系统的日志记录分为两种:攻击日志记录和操作日 经过数据预处理后,数据报文已经分解为链路层报文头,IP报文 头,TCPFUDP报文头,TCP/UDP报文数据。根据TCP/UDP报文头目的 志记录。前者在入侵事件发生后,提供给网络管理者必要的信息。后者 端口信息,可判断将TCP/UDP报文数据交给哪一个子协议分析模块 用于记录网络入侵检测系统本身的状态和控制,包括启动、停止、负载 运行等状态和控制信息。日志提供一套全面的、独立于操作系统本身 处理。 基于网络的入侵检测通过侦听网络中的所有报文,并分析报文的 的、可查询的日志记录,可用于事后对入侵行为的审计(下转第94页)科技僖息 OIT论坛0 2009年第31;期 基于网络体系结构的系统可生存性评估 潘世英’吴树芳 (1.河北师范大学职业技术学院 河北 石家庄050031;2.河北软件职业技术学院信息工程系 河北保定【摘071000) 要】随着网络安全研究的深入,对网络系统可生存性的研究应运而生。网络系统可生存性评估更成为了目前研究的热点问题之一。本 文针对网络系统可生存性评估问题提出了基于网络体系结构的评估方法,使得评估工作更容易实现,评估结果更准确。 【关键词J网络安全;OSI参考模型;可生存性;评估 随着网络的发展,网络安全问题日益突出,对网络安全问题的研 一些电器性质。 究也逐步深入,由第一阶段的防止入侵,到第二阶段的入侵检测,发展 2.2数据链路层,将原始的传输设施转变成一条逻辑的传输线路, 到现在为第三个阶段【l】的容侵容错。在第三个阶段对网络系统的评估 涉及帧的传输,以及相应的错误处理机制。 也变得更复杂。而对于网络系统可生存性评估的研究,虽然有一定成 2.3网络层,控制子网中传输数据的路由,从而更加高效地利用通 果,但大都处于逻辑推断阶段,实施起来有一定难度,而本文提出的机 信线路传输数据。 遇网络体系结构的网络系统可生存性评估则解决了这个问题。下面就 2.4传输层,是真正端到端的层,时信息从源端口传送到目标端 进行详细地分析与阐述。 口,并且之上的各层不再受底层硬件技术变化的影响。 1.可生存性定义及其特征 2.5会话层,允许不同机器上的用户之间建立会话。 我们知道,网络安全发展到第三个阶段,需主要解决的问题就是 2.6表示层,主要关注所传递信息的语法和语义。. 如何容忍入侵,以及其他错误,即主要考虑如何使网络在受到攻击和 2.7应用层,包括各种协议,满足用户的需求 破坏后仍能恢复,并确保基本服务的实现。对此,Ellison ̄给出了生存 性定义:生存性是指系统在遭受攻击、故障和偶然事故时还能及时完… 成其任务的能力。文献【3】[4】指出可生存系统必须具备以下四个基本特 征: 可见,对于每一层都有自己的功能,以及相应的管瞿方法。 3.基于网络体系结构的评估方法 我们就从物理层、数据链路层、网络层、运输层、表示层、会话层、 应用层这七层去分析信息系统的运行过程,对于每一层的测量和评估 1.1抵抗能力(Resistance):系统抵抗攻击的能力,包括抵制攻击 我们分别从可靠性、可用性、及时性、安全性四个方面,运用文献【5】中 的策略,如:认证,过程控制,加密,信息过滤,可生存性包装 提出的公式,对每一层的可生存性进行计算,最后通过求积得到整个 (survivability wrappers),系统分类,功能隔离等。 系统的可生存性,即 s=ⅡSurv(a ̄),其中ai为OSI体系结构中的第i层,1<=i<.7 这种评估方法使得研究的问题由抽象化变为具体化,通过检测各 1-2识别能力(Recognition):检测攻击和评估损失的能力。如:入 侵检测,完整性检测等。 l_3可恢复能力(Recovery):受攻击后恢复关键服务和完整服务的 层的技术指标就可以对整个系统进行评估。 能力。包括最小化损失策略,恢复受到攻击的信息或功能的策略,在任 以后工作的主要任务就是如何进一步细化评估方法,并将其应用 务时间限制内保持或恢复关键服务策略等。 在实际生活中。 1.4白适应性(Adaptation):为了减少未来攻击的影响而具有的自 适应和进化能力。包括基于从入侵行为获得知识以提高系统可生存性 【参考文献】 [1]Bharat B.Madan,Katerina Go ̄va—Popstojan0v8'咖.A Method for^ll垴eli and 的策略。如新的入侵模式识别。 fying the Security Attributes of Intrusion Tolerant Systems.Pedo ̄mance 因此对网络可生存性的评估也需要从从这四个方面来进行,即从 Quantiuation.56(1-4).2004:167—186. 可靠性、可用性、及时性、安全性等方面考察信息系统可生存性就要从 Eval[2]Ellison Rober J,Fisher David A,Linger Richard C。etc.Survivabilily Protecting 信息系统着手,去分析、测试系统的各方面性能。分析事物要究其源 头,因此要分析研究信息系绣的运行状况就要从系统运行的各个环节 [3]Nancy R.Mead,Robert J.Elllson,Richard C.Liner.Survivable Network 人手。由网络信息系统的结构,我们知道有两种网络体系结构:OSI参 Ana1) 8 Method.http://www.eert.org/archive/pdf/00a013.pal,2000. 考模型和TCP/IP参考模型,.在本文中我们以OSI参考模型为例进行 [4]Soumyo D.Moitra,Suresh L.Konda.A Simulation Model for Managing 介绍。 Survivabihty of Networked Information Systems,http://www.eert.m Ie n Your Critical System[J].IEEE Interact Computing.1999.3【6):55--63. 2.基于OSI参考模型的网络体系结构 OSI参考模型自下向上分为七个层次,具体如下 2.1物理层,涉及到在通信信道上传输的原始数据位,包括机械、 电子和定时接口,以及位于物理层之下的物理传输介质等,主要明确 OOtr020.pa ̄,2ooo. (5]潘世英.可生存性定义研究.科技信息.2007年第l3期:7,32. [责任编辑:汤静】 (上接第93页)和追踪。 4.网络入侵检测的发展趋势 络入侵检测系统的理论和技术发展迅速,功能日趋完善。 【参考文献】 技大学出版社,1995:9—12. [2]宋劲松.网络入侵检测∥分析发现和报告攻击.国防工业出版社,20O4年9 黄月江.计算机系统,,{改据库和通信网络的安全与保密.成都电子科 IDS作为网络安全架构中的重要一环。其重要地位有目共睹。网 [1]蒋继洪,随着技术的不断完善和更新,IDS正呈现出新的发展趋势。入侵 月. 防御系统(IPS)的出现.应该说是IDS技术的一种新发展趋势,IPS技 [3]唐正军等.网络入侵检测系统的设计与实现.北京:电子工业出版社,2OO2年 术在IDS检测的功能上又增加了主动响应的功能,一旦发现有攻击行 4月. 为,立即响应。主动切断连接。它是以串联的方式接入网络中,这与 [4]梁晓诚.入侵检测方法研究.桂林工学院学报,2OOO年7. IDS的并联接入网络的方式有不同。 [5]薛静峰等.入侵检测技术.机械工业出版社,2004年4月. 对于入侵检测系统来说,最根本的是如何防范未知攻击。一方面 [6]H.Debar,M.Huang,(Intrusion Detection Message Exchange Format Data 需要完备的专家系统的支持,另一方面又要寻求新的技术,二者结合, Mode1). 专家系统越完备,就越有可能分析出新的入侵方式。这也是本设计下 步的主要工作。 一[责任编辑:韩铭】