網(wǎng)絡(luò)安全之入侵檢測(cè)技術(shù)

作者：時(shí)間：2012-08-08 來(lái)源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對(duì)面交流
  海量資料庫(kù)查詢

標(biāo)簽：IDS FPGA

本文引用地址：http://butianyuan.cn/article/154189.htm

入侵 檢測(cè)技術(shù)作為網(wǎng)絡(luò)安全中的一項(xiàng)重要技術(shù)已有近30年的發(fā)展歷史，隨著中國(guó)移動(dòng)網(wǎng)絡(luò)的開(kāi)放與發(fā)展，入侵檢測(cè)系統(tǒng)(IDS)也逐漸成為保衛(wèi)中國(guó)移動(dòng)網(wǎng)絡(luò)安全不可或缺的安全設(shè)備之一。在入侵 檢測(cè)技術(shù)發(fā)展過(guò)程中，逐步形成了2類方法、5種硬件架構(gòu)，不同的方法與架構(gòu)都存在其優(yōu)勢(shì)與不足。本文基于入侵檢測(cè)的應(yīng)用場(chǎng)景，對(duì)現(xiàn)有的主流技術(shù)原理、硬件體系架構(gòu)進(jìn)行剖析;詳細(xì)分析IDS產(chǎn)品的測(cè)評(píng)方法與技術(shù)，并介紹了一個(gè)科學(xué)合理、方便操作的IDS測(cè)評(píng)方案。最后，從應(yīng)用需求出發(fā)分析入侵檢測(cè)技術(shù)的未來(lái)發(fā)展趨勢(shì)。

1、背景

目前，互聯(lián)網(wǎng)安全面臨嚴(yán)峻的形勢(shì)。因特網(wǎng)上頻繁發(fā)生的大規(guī)模網(wǎng)絡(luò)入侵和計(jì)算機(jī)病毒泛濫等事件使很多政府部門(mén)、商業(yè)和教育機(jī)構(gòu)等都受到了不同程度的侵害，甚至造成了極大的經(jīng)濟(jì)損失。

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出。網(wǎng)絡(luò)入侵行為經(jīng)常發(fā)生，網(wǎng)絡(luò)攻擊的方式也呈現(xiàn)出多樣性和隱蔽性的特征。當(dāng)前網(wǎng)絡(luò)和信息安全面臨的形勢(shì)嚴(yán)峻，網(wǎng)絡(luò)安全的主要威脅如圖1所示。

圖1 目前網(wǎng)絡(luò)安全的主要威脅

說(shuō)到網(wǎng)絡(luò)安全防護(hù)，最常用的設(shè)備是防火墻。防火墻是通過(guò)預(yù)先定義規(guī)則并依據(jù)規(guī)則對(duì)訪問(wèn)進(jìn)行過(guò)濾的一種設(shè)備;防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾，例如：來(lái)源IP 地址、來(lái)源端口號(hào)、目的IP 地址或端口號(hào)、服務(wù)類型(如WWW 或是 FTP)。對(duì)于目前復(fù)雜的網(wǎng)絡(luò)安全來(lái)說(shuō)，單純的防火墻技術(shù)已不能完全阻止網(wǎng)絡(luò)攻擊，如：無(wú)法解決木馬后門(mén)問(wèn)題、不能阻止網(wǎng)絡(luò)內(nèi)部人員攻擊等。據(jù)調(diào)查發(fā)現(xiàn)，80%的網(wǎng)絡(luò)攻擊來(lái)自于網(wǎng)絡(luò)內(nèi)部，而防火墻不能提供實(shí)時(shí)入侵檢測(cè)能力，對(duì)于病毒等束手無(wú)策。因此，很多組織致力于提出更多更強(qiáng)大的主動(dòng)策略和方案來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性，其中一個(gè)有效的解決途徑就是入侵檢測(cè)系統(tǒng)IDS(Intrusion Detection Systems)。

2、入侵檢測(cè)技術(shù)發(fā)展歷史

IDS即入侵檢測(cè)系統(tǒng)，其英文全稱為：Intrusion Detection System。入侵檢測(cè)系統(tǒng)是依照一定的安全策略，通過(guò)軟件和硬件對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。IDS通用模型如圖2所示。

圖2 IDS 通用模型

IDS誕生于1980年，到目前為止已經(jīng)有30余年的歷史，在這30余年中，IDS的發(fā)展經(jīng)過(guò)了4個(gè)階段。

第一階段：概念誕生。IDS這個(gè)概念誕生于1980年4月，James P.Andrson為美國(guó)空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》(計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視)的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測(cè)概念。他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開(kāi)山之作。

第二階段：模型發(fā)展。從1984年到1986年，喬治敦大學(xué)的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為IDES(入侵檢測(cè)專家系統(tǒng))。該模型由六個(gè)部分組成：主題、對(duì)象、審計(jì)記錄、輪廓特征、異常記錄、活動(dòng)規(guī)則，如圖3所示。它獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型，為構(gòu)建入侵檢測(cè)系統(tǒng)提供了一個(gè)通用的框架。1988年，SRI/CSL的Teresa Lunt等人改進(jìn)了Denning的入侵檢測(cè)模型，并開(kāi)發(fā)出了IDES。該系統(tǒng)包括一個(gè)異常檢測(cè)器和一個(gè)專家系統(tǒng)，分別用于統(tǒng)計(jì)異常模型的建立和基于規(guī)則的特征分析檢測(cè)。

圖3 IDES結(jié)構(gòu)框架

第三階段：百家爭(zhēng)鳴。1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上一個(gè)分水嶺。加州大學(xué)戴維斯分校的L.T.Heberlein等人開(kāi)發(fā)出了NSM(Network Security Monitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異常主機(jī)，從此以后，入侵檢測(cè)系統(tǒng)發(fā)展史翻開(kāi)了新的一頁(yè)，兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。

第四階段：繼續(xù)演進(jìn)。IDS在90年代形成的IDS兩大陣營(yíng)的基礎(chǔ)上，有了長(zhǎng)足的發(fā)展，形成了更多技術(shù)及分類。除了根據(jù)檢測(cè)數(shù)據(jù)的不同分為主機(jī)型和網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)外，根據(jù)采用的檢測(cè)技術(shù)，入侵檢測(cè)系統(tǒng)可以分為基于異常的入侵檢測(cè)(Anomaly Detection，AD)和基于誤用(特征)的入侵檢測(cè)(Misuse Detection，MD)。早期的IDS僅僅是一個(gè)監(jiān)聽(tīng)系統(tǒng)或者提供有限的數(shù)據(jù)分析功能，而新一代IDS更是增加了應(yīng)用層數(shù)據(jù)分析的能力;同時(shí)，其配合防火墻進(jìn)行聯(lián)動(dòng)，形成功能互補(bǔ)，可更有效的阻斷攻擊事件。現(xiàn)有的入侵檢測(cè)技術(shù)的分類及相關(guān)關(guān)系如圖4所示。