l 匐 似 基于网络的入侵检测模型和方法研究 Network based intrusion detection modeI and method research 胡莉萍 HU Li-ping (浙江横店影视职业学院,东阳322118) 摘要:入侵检测问题是计算机网络安全中的核心问题,相对于传统的操作系统加密、防火墙等静态 的安全防御技术而言,入侵检测作为一种动态的的防御技术,能有效弥补静态防御工具的不 足。本文将会入侵检测的通用模型、入侵检测的层次化模型、OIDF通用入侵检测框架以及入 侵检测方法等内容进行相关研究,以此构建以入侵检测为核心的动态的网络安全方案。 关键词:入侵检测;模型;方法;框架 中图分类号:TP393.08 文献标识码:A 文章编号:1 009—01 34(201 2)07(上)一0055—03 Doi:1 0.3969l/J.issn.1 009-0 q 34.201 2.7(I-).1 7
0引言 信息网络如今已成为全世界范围内的一个信 息交换和资源共享的平台,它有着开发和共享这个 特性,但是这个特性也成了信息网络的先天安全缺 陷。另一方面,网络上的黑客站点很多,黑客们的 攻击手段也很高明。而我们国家在这个方面的法律 法规却相对比较滞后。因此很多大公司都曾被黑客 入侵。信息安全问题已不容我们忽视。本论文将对 网络安全中的入侵检测问题进行研究,提出以入侵 检测为核心的动态的网络安全解决方案。
1入侵检测通用模型 入侵检测技术是从计算机网络或系统若干关 键点中收集分析相关信息,通过分析来得出系统 或网络是否已经被攻击或已存在安全隐患,同时 要作出响应的一种动态安全防御技术。它有实时 性、动态检测性和主动防御性,可以弥补静态防 御工具的缺点,如可将防火墙和入侵检测系统结 合起来使用来共同抵挡网络内外的攻击。 1987年Dorothy E.Denning提出了名为IDES 的入侵检测模型。该模型由六个部分组成:主体 (指在目标系统上活动的实体)、对象即客体、审 计记录(主体对客体实施操作时系统产生的数据)、 活动档案(主体相对于客体的正常行为用度量和 统计模型来表示)、异常记录和活动规则(条件和 动作)。 Denning模型定义了事件计数器、资源测量 器、间隔定时器这3种度量。并提出了可操作 模型、多变量模型、时间序列模型、均值和标
准差模型和马尔可夫过程模型这5种统计模型。 Denning模型会对系统审计数据进行统计分析从而 得出单个用户或一组用户的正常的行为特征,模 型通过将这些正常的行为特征与系统中的审计数 据进行比较,如果不相同的内容超过了规定的范 围就可得出是有入侵了。这个模型成了其后的许 多异常检测方法的基础。该模型如图1所示。
图1 Denning入侵检测模型 2层次化入侵检测模型 现今比较常见和成熟的是来源于误用检测和 异常检测的层次化入侵检测模型。误用检测往往 是针对非安全行为,而异常检测则针对安全行为, 层次化入侵检测模型则既可以通过对攻击行为的 分析检测出已知入侵,同时又可以通过对安全策 略库和疑似入侵的行为进行模式匹配来检测出未 知入侵种类。 误用检测和异常检测相结合就构成了层次化 的模型,这种模型通过对入侵行为的逐步分析和 处理,可以将大多数的攻击行为检测出来,层次 化入侵检测模型分为入侵行为检测和入侵结果检
收稿日期:2012-02—23 作者简介:胡莉萍(1976一),女,浙江永康人,讲师,硕士,研究方向为软件工程和项目管理。
第34卷第7期2012—7(上) 【55】 l 訇 似 测两部分,整个过程主要分成入侵特征提取和入 侵行为分析。层次化入侵检测模型如图2所示, 攻击特征的提取和行为分析都结合在层次化入侵 检测模型的整个体系结构中,其中入侵特征提取 代表了基于知识的入侵检测思想和入侵行为分析 则代表基于行为的检测思想,入侵特征提取用于 检测未知入侵和入侵行为分析则用于监控已知的 入侵。层次化入侵检测模型如图2所示。 图2层次化入侵检测体系结构 检测出 已知入侵 检棚l出 已知入侵 3 CIDF通用入侵检测框架 CIDF由美国加州大学戴维斯分校计算机安 全实验室于1997年初提出。CIDF将入侵检测系 统分为4个基本组件:事件产生器、事件分析器、 响应单元、事件数据库,以上这4个组件中的事 件指系统需要分析的数据如网络中的数据包或从 系统日志中得到的信息。这些组件之间采用统一 入侵检测对象GIDO这个标准格式进行数据交换, 因此这些组件在其他环境中只需要将典型的环境 特征转换为GIDO格式就可以使用。虽然CIDF标 准并没有正式确立,但各IDS厂商都在按照CIDF 进行信息交换的标准化工作。 1)事件产生器 事件产生器负责从整个计算环境中收集数据 也就是相关事件(Event),并将这些数据转换成 GIDO格式传送给其他组件。 2)事件分析器 事件分析器的任务是分析从其他组件收到的 CIDF的GIDO,并将得到的分析结果传送给其他 组件。 3)事件数据库 事件数据库负责存储系统需要的时候使用的 1561 第34卷第7期2012—7(上) 各种中间和最终事件的数据。 4)响应单元 响应单元是对分析结果做出诸如威胁报警、 杀死相关进程等反应的功能单元。 CIDF的体系结构如图3所示。
图3 C1DF的体系结构 4入侵检测方法 1)误用检测(Misuse Detection)。 误用检测将所有观测到的和目标对象有关的 用户行为同通过分析各种已知的攻击方法、手段 和漏洞组建起来的入侵模式库进行比较,如果发 现其行为与入侵模式库的某种入侵模式匹配,就 可判定是入侵行为。这种方法准确度较高,因此 目前几种商用的IDS如Snort、Bro基本都使用它。 当然它也存在一定的缺陷,那就是对入侵特征模 式库太过依赖,如果模式库本身并不完整或不能 得到及时更新,那么就很容易发生漏报事件,另 外随着入侵行为的添加,模式库的容量也会不继 扩大,这也必然会加重系统的负担和降低发现入 侵行的效率。.目前常用的误用检测技术有专家系统 (Expe ̄Systems)、模式匹配(Pa ̄em Matching)和 基于Petri网分析的滥用入侵检测方法等。一种比 较典型的误用入侵检测系统模型如图4所示。
添加新规则 图4一种比较典型的误用入侵检测系统模型
2)异常检测(Anomaly Detection) 异常检测技术首先将不符合对象正常、合法 的所有活动判定为入侵行为,为了判定这种不正 常现象,异常检测技术得对正常状态下的系统行 、I 匐 为建立起行为模型,但建立模型的过程是复杂且 动态变化的,在已建立起行为模型的基础上,将 从系统中观测到的与目标对象相关的活动与之 进行比较就可得出哪些是可疑的入侵行为。异 常检测技术存在着许多不确定性和误警率也较 高,这种技术目前还主要停留在研究阶段,但这 一思想的本质对我们研究和设计NIDS有着十分 重要的作用。比较成熟的异常检测技术有统计分 析(Statistioal Measures)和神经网络技术(Neural Networks)。当然还有其它的一些异常检测方法, 如基于数据挖掘(DataMining)的、基于计算机免 疫学的异常检测方法等。一种比较典型的异常入 侵检测系统模型如图5所示。 图5一种比较典型的异常入侵检测系统模型 一一一一一一一一一一一一 基于Agent的入侵检测模型 3)智能入侵检测模型 误用检测的智能性要求较低,它主要用于对 已知行为进行检测,而异常检测对智能的要求则 较高,它主要针对未知入侵。入侵检测系统通过 单个主机和监视模块收集数据,收集后再由一个 中心处理器来完成检测。智能化入侵检测模型一 般是使用神经网络、遗传算法等智能化手段来进 行入侵特征的辨识与泛化。基于Agent的入侵检 测模型如图6所示。 5结束语 入侵检测是对网络静态防御技术的一种有效 弥补工具,它能提供对网络内外部攻击的实时保 护。设计和实现有效的入侵检测模型是建立IDS 的关键。入侵检测技术也正与其它学科如数据挖 掘、人工智能等交融汇合形成了新的入侵检测技 术,并对网络安全起着新的更强的保护作用。入 侵检测模型的发展必将会逐步走向丰富化、智能 化和多元化。
参考文献: [1]张鹏,赵辉.关于入侵检测模型的研究与分析[J】.网络安 全技术与应用.2009,03. [2]王丽蔷.基于黑客行为特征的入侵检测研究[D].解放军 信息工程大学.2009,10. [3]罗腾.基于协议分析的入侵检测系统研究与设计[J].中 国新技术新产品.2010,07. [4]武明.Agent技术在入侵检测中的应用研究[D].电子科技 大学.2004,02. [5]张家超,王全善.网络入侵检测技术的研究[J].连云港职 业技术学院学报(综合版).2004,03. [6]马星亮.基于CORBA的分布式入侵检测系统的研究与 实现[D】.武汉科技大学.2008,04. [7]满红芳,宿超,马春清.基于Agent的分布式入侵检测系 统模型的研究与设计[J】.山东电大学报.2006,02. [8】李勇,李建,曾银.数据挖掘技术在入侵检测系统中的应 用[J].山西电子技术.2006,12. [9】刘秀丽.基于网络的智能化入侵检测系统模型研究[D】. 南京航空航天大学.2007,12. [10]郝文江.黑客入侵检测模型研究[J].吉林公安高等专科 学校学报.2009,12.
第34卷第7期2012-7(上) [571