随着计算机网络技术的发展,网络安全成为一个突出的问题。入侵检测技术是网络安全和信息系统安全中的重要技术手段。本文对入侵方式与过程、入侵检测技术的概念、分类和主要技术方法进行了分析,给出了入侵检测系统的概念及工作流程。并给出了入侵检测技术的发展方向。
1.网络入侵方式
网络入侵手段的分类是众说纷纭,各有各的分类方法。网络被入侵的方式主要有:口令攻击、特洛伊木马、利用缓冲区溢出攻击、端口扫描、使用伪装IP 攻击、利用后门进行攻击等。其中美国的IDG Info World 测试中心的安全测试小组开发了测试基准平台IWSS16,IWSS16 将主要的网络入侵分为了四类:
1.1 信息收集与获取。攻击者采用大量的试探性方法,如:Ping、账户扫描、端口扫描、漏洞扫描、网络嗅探等方法,探测系统提供的服务、存在的漏洞、可用的权限,利用公开协议和工具,收集和获取网络系统中各个主机系统的有用信息,并捕获系统漏洞,为进行下一步攻击奠定基础。
1.2 访问权限获取。通过缓冲区溢出破坏程序的堆栈、FTP 攻击、口令试探和破译工具对口令进行破解等多种手段,可以获取系统访问的特权,从而对系统进行破坏。
1.3 服务拒绝。服务拒绝是通过大量连续的网络访问使系统无法承受而造成崩溃,不能实现相应的服务功能。这种攻击危险性大,较难捕获。尤其是现在分布式拒绝服务攻击的出现,更是防不胜防。
1.4 检测逃避。攻击者往往通过插入、逃遁、慢速攻击、破坏日志系统等手段逃避系统的检测,隐藏身份,从而在不知不觉中实现对系统的攻击,而且不留下任何蛛丝马迹。
2.入侵检测定义与分类
2.1 入侵检测的定义
入侵检测(Intrusion Detection) 技术是安全审核中的核心技术之一,是网络安全防护的重要组成部分。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,来检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。违反安全策略的行为有: 入侵——非法用户的违规行为;滥用——合法用户的违规行为。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
应用入侵检测技术,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后, 收集入侵攻击的相关信息,作为防范系统的知识,填入知识库内,以增强系统的防范能力。
2.2 入侵检测的分类
通过对现有入侵检测技术方法的研究,可以从不同的角度对入侵检测技术进行分类:
2.2.1 按照检测数据来源。有以下三类:基于主机的入侵检测技术;基于网络的入侵检测技术;基于主机和网络的入侵检测技术。以上3 种入侵检测技术都具有各自的优点和不足,可互相作为补充,一个完备的入侵检测系统一定是基于主机和基于网络两种方式兼备的分布式系统。
2.2.2 按照检测技术。分为异常检测技术和误用检测技术。异常检测技术又可称为基于行为的入侵检测技术,它假定了所有的入侵行为都有异常特性。误用检测技术,又称为基于知识的入侵检测技术,它通过攻击模式、攻击签名的形式表达入侵行为。
2.2.3 按照工作方式。可以分为离线检测和在线检测。离线检测:在事后分析审计事件,从中检查入侵活动,是一种非实时工作的系统。在线检测:实时联机的检测系统,它包含对实时网络数据包分析,对实时主机审计分析。
2.2.4 按照系统网络架构。分为集中式检测技术、分布式检测技术和分层式检测技术。将分析结果传到邻近的上层,高一层的检测系统只分析下一层的分析结果。分层式检测系统通过分析分层式数据使系统具有更好的可升级性。
3.结束语
随着网络的进一步发展以及黑客攻击手段的多样化,网络安全问题的日益突出,入侵检测技术作为保护计算机系统安全的重要组成部分受到越来越多人们的关注和重视,并已经开始在各种不同网络环境中发挥关键作用。本文分析概括了入侵的方式,入侵检测技术的定义、工作原理与分类、入侵检测技术的方法。并且,提出了今后的发展趋势,目的在于为进一步的研究起到启发和借鉴作用。可以预见,入侵检测技术的发展将对网络应用具有重要意义并产生深远影响,而入侵检测技术的未来发展方向将主要是智能的分布式入侵检测系统,研究和开发自主知识产权的入侵检测系统将成为我国信息安全领域的重要课题。