入侵检测技术原理研究论文 第6页
3入侵检测技术功能概要
•监督并分析用户和系统的活动
•检查系统配置和漏洞
•检查关键系统和数据文件的完整性
•识别代表已知攻击的活动模式
•对反常行为模式的统计分析
•对操作系统的校验管理,判断是否有破坏安全的用户活动。
•提高了系统的监察能力
•跟踪用户从进入到退出的所有活动或影响
•识别并报告数据文件的改动
•发现系统配置的错误,必要时予以更正
•识别特定类型的攻击,并向相应人员报警,以作出防御反应
•可使系统管理人员最新的版本升级添加到程序中
•允许非专家人员从事系统安全工作
•为信息安全策略的创建提供指导
入侵检测技术作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测技术理应受到人们的高度重视,这从国外入侵检测技术产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测技术产品。但现状是入侵检测技术仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测技术模块。可见,入侵检测技术产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测技术)外,应重点加强统计分析的相关技术研究。
4 入侵检测技术技术分析
入侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测技术规则进行比较,从而发现入侵行为。一方面入侵检测技术系统需要尽可能多地提取数据以获得足够的入侵证据,而另一方面由于入侵行为的千变万化而导致判定入侵的规则越来越复杂,为了保证入侵检测技术的效率和满足实时性的要求,入侵分析必须在系统的性能和检测技术能力之间进行权衡,合理地设计分析策略,并且可能要牺牲一部分检测技术能力来保证系统可靠、稳定地运行并具有较快的响应速度。
分析策略是入侵分析的核心,系统检测技术能力很大程度上取决于分析策略。在实现上,分析策略通常定义为一些完全独立的检测技术规则。基于网络的入侵检测技术系统通常使用报文的模式匹配或模式匹配序列来定义规则,检测技术时将监听到的报文与模式匹配序列进行比较,根据比较的结果来判断是否有非正常的网络行为。这样以来,一个入侵行为能不能被检测技术出来主要就看该入侵行为的过程或其关键特征能不能映射到基于网络报文的匹配模式序列上去。有的入侵行为很容易映射,如ARP欺骗,但有的入侵行为是很难映射的,如从网络上下载病毒。对于有的入侵行为,即使理论上可以进行映射,但是在实现上是不可行的,比如说有的网络行为需要经过非常复杂的步骤或较长的过程才能表现其入侵特性,这样的行为由于具有非常庞大的模式匹配序列,需要综合大量的数据报文来进行匹配,因而在实际上是不可行的。而有的入侵行为由于需要进行多层协议分析或有较强的上下文关系,需要消耗大量的处理能力来进行检测技术,因而在实现上也有很大的难度。
4.1入侵分析按其检测技术规则分类
4.1.1基于特征的检测技术规则
这种分析规则认为入侵行为是可以用特征代码来标识的。比如说,对于尝试帐号的入侵,虽然合法用户登录和入侵者尝试的操作过程是一样的,但返回结果是不同的,入侵者返回的是尝试失败的报文,因此,只要提取尝试失败的报文中的关键字段或位组作为特征代码,将它定义为检测技术规则,就可以用来检测技术该类入侵行为。这样,分析策略就由若干条检测技术规则构成,每条检测技术规则就是一个特征代码,通过将数据与特征代码比较的方式来发现入侵。
4.1.2基于统计的检测技术规则
这种分析规则认为入侵行为应该符合统计规律。例如,系统可以认为一次密码尝试失败并不算是入侵行为,因为的确可能是合法用户输入失误,但是如果在一分钟内有8次以上同样的操作就不可能完全是输入失误了,而可以认定是入侵行为。因此,组成分析策略的检测技术规则就是表示行为频度的阀值,通过检测技术出行为并统计其数量和频度就可以发现入侵。
这两种检测技术规则各有其适用范围,不同的入侵行为可能适应于不同的规则,但就系统实现而言,由于基于统计检测技术规则的入侵分析需要保存更多的检测技术状态和上下关系而需要消耗更多的系统处理能力和资源,实现难度相对较大。
4.2 一些新的分析技术
近几年,为了改进入侵检测技术的分析技术,许多研究人员从各个方向入手,发展了一些新的分析方法,对于提高入侵检测技术系统的正确性、可适应性等起到了一定的推动作用。下面是几个不同的方向。
4.2.1 统计学方法
统计模型常用于对异常行为的检测技术,在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。目前提出了可用于入侵检测技术的5种统计模型包括:
(1) 操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到,
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] ... 下一页 >>
入侵检测技术原理研究论文 第6页下载如图片无法显示或论文不完整,请联系qq752018766