第六节入侵检测系统(IDS)

1、5.5入侵检测系统5、入侵检测系统5.1入侵检测的发展历史5.2入侵检测系统的分类5.3发展趋势及主要研究方向5.4 ids技术面临挑战5.5.1入侵检测的发展历史入侵检测的发展历史1980年,james anderson最早提出入侵检测概念1987年,d. e. denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种 新的安全防御措施提出。1988年,morris蠕虫事件直接刺激了 ids的研究1988年，创建了基于主机的系统，主要有：ides, haystack等等1989年,提出基于网络的tds系统，主要有：nsm, nadir, dtds入侵检测的发展历史90年代，不断有

2、新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分 布计算技术等引入ids系统；2000年2月，对yahoo!、amazon > c血 等大型网站的ddos攻击引发了对ids系统的 新一轮研究热潮；2001年至今，redcode、求职信等新型病毒的不断出现，进一步促进了 tds的发展。5. 5.2入侵检测系统的分类入例物系跖11)5)5. 5. 2.1基于主机的入侵检测系统基于主机的入侵检测系统初期多以基于主机的入侵检测研究为主，即在每个要保护的主机上运行一个代理程序。 它以计算机丄机作为日标环境，只考虑系统局部范围的用户，因此人人简化了检测任务。 由入侵检测工具对主机的审计信

3、息分析來进行检测，并报告安全可疑事件。基了丄机的入侵检测系统 检测内容：统调川、端口调川、系统口志、安全审记、应川口志网络服务器1棊于主机的入侵检测系统具冇以下优点:1. 性能价格比高，适用在主机数量较少的情况下；2. 更加细腻，可以很容易地监测一些活动，如对敏感文件、目录、程序或端口的存取;3. 视野集中，最有可能区分正常的活动利非法的活动；4. 易于用户剪裁，每一个主机有其自己的代理；5. 对网络流量不敏感，一般不会因为网络流量的增加而丢掉对网络行为的监视。6. 随着internet的发展，基于网络的攻击日益增多。基于主机的ids己难以胜任入侵检 测任务，入侵检测也发展为基于网络的入侵检测

4、，主要研究方向为分布式系统。5. 5. 2. 2基于网络的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统，是通过连接在网络上的站点捕获 网上的包，并分析其是否具冇已知的攻击模式或将引起网络系统 异常，以此来判别是否为入侵者。基丁-网络的入侵检测系统real secure os sensorirealsecure network sensorrealsecure consolerealsecure server sensorrealsecure基本结构z1tujl棊于网络的检测有以卜优点：1. 侦测速度快，实时性好；2. 隐蔽性好，网络上的监测器不易遭受攻击；3. 视野更宽，可以在网络

5、的边缘上制止攻击；4. 使用较少的监测器进行保护；5. 占用资源少。目前，开发特定的工具来侦听网络数据报文，分析负载，搜索对疑命令成为检测网络攻 击的主要手段。管理员可以通过分布少量的工具检测到大多数攻击。5.5.3. 1发展趋势发展趋势随着网络攻击手段向分布式方向发展（如冃前出现的分布dos攻击），并采用了各种数 据处理技术，其破坏性和隐蔽性也越來越强。相应的，也要求入侵检测系统向分布式结构发 展，采用分布收集信息、分布处理、多方协作的方式,将基于主机的ids和基于网络的ids 结合使用，构筑面向大型网络的ids。同时，在处理速度及各类相关性能上也冇了更高的要 求。5. 5. 3. 2主要研

6、究方向主要研究方向1.ids体系结构研究2. 具有多系统的互操作性，重用性的通用入侵检测框架，总体结构和各部件相互关系;3. 系统安全策略；4. 具有可伸缩性的统一的ids系统结构；5. ids的管理等；6. 研究 darp 提出的通用入侵检测框架the common intrusion detect ion framework （ctdf）；设计具有可伸缩性、重用性的系统椎架；制定安全、從壮、可扩展的安全策略。安全通信技术研究日询，分布式系统中的安全通讯机制也是研究领域的一个热点，而且，hl前尚无明确有 效的标准。其主要研究内容有：1. 安全认证机制；2. 建立高效的安全通道；3. 远程控制

7、等安全。5. 5. 3. 3入侵检测（id）技术研究入侵检测（id）技术研究目前已冇的入侵检测技术包括基于知识的检测和基于行为的检测。基于知识的检测包括专家系统、模型推理、状态转换图、信号分析、petri nets图等; 这种方法山于依据具体特征库进行判断，所以准确度很高、方使响应。但与具体系统依赖性 太强，移植性不好，维护工作量大，受已有知识的局限，难以检测出权力滥用。基于行为的检测包折概率统计方法、神经网络方法、专家系统、用户意图识别、计算机 免疫系统等；这种方法与系统相对无关，通用性较强。可能检测出以前未出现过的攻击方法。 它的主耍缺陷在于误检率很高。鉴于两者存在的优点和不足，而h已证明

8、依靠单一的入侵检测方法不可能检测岀所有入 侵，现在的研究主要集中在将已有的检测方法结合实用和对于新方法的探索中，期望找到效 率和效果相一致的方法。5. 5. 3.4响应策略与恢复研究响应策略与恢复研究ids在识别出入侵后所进行的响应是维护系统安全性、完整性的关键步骤。ids的目标 是实现实时响应和恢复。实现ids的响应包括：向管理员和其它实体发出警报；进行紧急处理的功能研究；对 于攻击的追踪、诱导和反击；td部件的自学习和改进。实现ids的恢复包括：对于系统状态一致性的检测方法的研究；系统数据的备份；系 统恢复策略和恢复时机的研究。5. 5. 3. 5协作式入侵检测技术研究协作式入侵检测技术研

9、究随着黑客入侵手段的提高，尤其是分布式、协同式、复杂模式攻击的出现和发展，传统 的单一的、缺乏协作的入侵检测技术已经不能满足需求，盂要有充分的协作机制。协作的程 度主耍有以下层次：同一系统中不同入侵检测部件之间的协作，尤其是主机型和网络型入侵检测部件之间的 协作，以及异构平台部件的协作；不同安全工具之间的协作；不同厂家的安全产品z间的协作：不同组织之间预警能力和信息的协作。要实现协作，首先要考虑两个问题：1. 信息表达的格式和信息交换的安全协议；2. 协作的模型。信息表达的格式有两个发展中的标准：1. darpa 的通用入侵检测框架中提出了 ctsl(common intrusion spec

10、ification language)语言；2. ietf的入侵检测工作组(idwg)中提出了在iap中使用的另一套方案。5. 5. 3. 6建立黑客攻击模型以及主机和网络安全状态模型的研建立黑客攻击模熨以及主机和网络安全状态模塑的研究对于黑客攻击的识别，现在实际应用的方法基木都是在已经知道的攻击的基础上提取其 特征，然后将其加入特征库。但是现有的攻击特征库太简单，没有扩展性和适应性，造成较 高的误报率和漏报率，并缺乏对未知攻击的预警。研究现有黑客攻击方式，归纳出有扩展性和适应性的较通用的儿种攻击模型，在实际的 检测中首先应用黑客攻击模型排除绝大多数噪音后记录可疑信息，然后再聚焦检测具体的攻 击形式，这样可人人提高效率，减少谋报和漏报。建立