首页> 图书频道> 医药> 基础医学

1.3.1 入侵检测概述

2025年08月10日
版权
1.3.1 入侵检测概述

网络安全模型由主体、对象和访问控制规则组成。它定义了主体如何按照访问控制规则访问对象,访问控制规则决定于网络的安全策略,网络安全策略规定了如何处理信息,是对网络系统的用户和软件行为许可的定义或描述,通常由系统管理员规定。安全模型是定义和实现安全策略的方法的抽象。概括地说,计算机网络安全的目标有以下五个方面。

(1)机密性(Confidentiality)。只有授权用户才能访问机密或限制性的数据。

(2)完整性(Integrity)。保证数据不由于恶意或偶然原因而被破坏。

(3)可用性(Availability)。保证合法用户能够有效地访问相关信息和系统资源。

(4)可说明性(Accountability)。在发现网络系统受损的情况下,网络安全系统能够保留足够的信息来确定受损原因。

(5)正确性(Correctness)。安全系统由于错误判断导致的误报警次数应该低于允许的阈值。

传统的网络安全方法主要是利用操作系统的识别和认证(IA,Identification and Authentication)、访问控制机制、防火墙和加密系统等,它们分别提供系统和网络级的安全保护。

访问控制机制由于以下两方面的原因,带来了潜在的安全问题。①配置问题:访问控制规则没有被正确地定义,为黑客攻击提供了可能。②程序错误:程序实现中的错误也使黑客可能利用访问控制机制攻击系统。

防火墙被用来在一个不可信网络(如因特网)与一个可信网络(如机构专用网)之间提供一个安全的边界。防火墙通常包含一个数据包过滤器、一组代理服务器、安全IP通道或虚拟专用网VPN等。防火墙是最广泛应用的网络级访问控制产品,为了能使防火墙生效,进入可信网络的所有网络传输都必须经过防火墙。但是,由于防火墙可能的配置错误以及防火墙实现中存在的缺陷等原因,防火墙也成为黑客攻击网络的通道。网络流量以指数方式增长的趋势和网络安全问题日渐严重的现实,传统的网络安全方法存在的局限性以及相关的网络技术的迅速发展,牵引和推动了一个新的网络安全技术即入侵检测技术的应运而生。

1986年,多萝西·丹宁(Dorothy Denning)首次提出了一种通用入侵检测模型,如图1-1所示。模型的三个主要部件是事件生成器(Event Generator)、活动记录器(Activity Profile)和规则集(Rule Set),目前,该模型仍然得到广泛的应用。

图1-1 通用入侵检测模型

丹宁的通用入侵检测模型标志着入侵检测技术成为一个独立的研究领域。IDS通过收集、分析有关网络安全的信息,寻找网络系统的违规模式和未授权的访问尝试。当发现违规模式和未授权访问时,IDS根据系统安全策略做出快速的反应。IDS根据其采用的技术,可划分为异常入侵检测和误用入侵检测两大类型。

1.3.1.1 异常入侵检测

异常入侵检测是指能够根据用户的行为和对网络系统资源使用的异常所进行的检测。异常入侵检测试图用定量方式描述可接受的行为特征,以区分非正常的、潜在的入侵行为。它首先建立所保护的系统的正常特征轮廓,然后监测从审计数据报告上来的实际活动,通过它们与正常轮廓间的偏离程度来判别出异常行为活动。

异常入侵检测与系统相对无关,不需要系统及其安全性缺陷专门知识,通用性较强,能够检测出一些未知的攻击方法。但由于不可能对整个系统内的所有用户行为进行全面的描述,而且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高,而且配置和管理起来比较复杂,尤其在用户数目众多,或工作方式经常改变的环境中。另外,由于行为模式的统计数据不断更新,入侵者如果知道某系统处在检测系统的监视之下,他们可以通过恶意训练的方式,促使检测系统缓慢地更改统计数据,以至于最初认为是异常的行为,经一段时间训练后也被认为是正常的,这是目前异常入侵检测所面临的一大困难。

1.3.1.2 误用入侵检测

误用入侵检测是指利用已知的攻击模式来检测入侵。误用入侵检测又称为基于签名的入侵检测和基于知识的入侵检测。

与异常入侵检测相反,误用入侵检测主要是通过按预先定义好的入侵模式对用户活动行为进行模式匹配来检测入侵行为,它能直接检测不利的或不可接受的行为。误用入侵检测准确度和效率都很高,但其缺陷是无法检测到新的攻击行为。另外,误用入侵检测系统对目标系统的依赖性太强,因而系统移植性不好,维护工作量大。

从入侵检测体系结构的角度,通常将IDS划分为基于主机的IDS、基于网络的IDS和混合分布式的IDS。

(1)基干主机的IDS。早期的IDS大多属于这种类型,用于审计用户的活动以检测入侵,比如用户的登录、命令操作、应用程序使用资源情况等,运行在被检测的主机或单独主机上,丹宁通用入侵检测模型就是建立在这类主机之上的。

(2)基于网络的IDS。通常置于比较重要的网段内,通过线路窃听的手段对截获的网络分组进行处理,从中提取有用的特征模式,再通过与已知入侵特征相匹配或与正常网络行为原型相比较来识别入侵事件。基于网络的IDS根据网络流量、协议分析、简单网络管理协议信息等数据来检测入侵。

(3)混合分布式的IDS。随着网络系统结构的复杂化和大型化,网络入侵手法趋向于多样化,入侵行为不再是单一的行为,而是表现出相互协作入侵的态势,单是基于主机的入侵检测系统或是基于网络的入侵检测系统都会造成主动防御体系不全面。不同类型的IDS之间需要优势共享、缺陷互补与协同检测,以便能够组合各种入侵检测的信息,更精确地识别和定位入侵行为,这也就形成了混合分布式入侵检测系统。