(一)分析技术的改进
入侵检测误报和漏报的解决最终还需要依靠分析技术的改进。目前入侵检测分析方法主要有统计分析、模式匹配、数据重组、协议分析、行为分析等。
(l)统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。
(2)模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。
(3)数据重组是对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
(4)协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击。例如,某个基于HTTP协议的攻击含有ABC特征,如果此数据分散在若干个数据包中,如一个数据包含A,另外一个数据包含B,还有一个数据包含C,则单纯的模式匹配就无法检测,只有基于数据流重组才能完整检测。而利用协议分析,则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在电子邮件里,因为不符合协议,就不会报警。利用此技术,可以有效降低误报和漏报。
(5)行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的最高境界。但由于目前算法处理和规则制定的难度很大,还不是非常成熟,但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术,而不只是依靠传统的统计分析和模式匹配技术。另外,规则库能否及时更新也和检测的准确程度相关。
(二)内容恢复和网络审计功能的引入
入侵检测的最高境界是行为分析。但行为分析目前还不是很成熟,因此个别优秀的入侵检测产品引入了内容恢复和网络审计功能。
内容恢复即在协议分析的基础上,对网络中发生的行为加以完整的重组和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似于防火墙可以记录网络进出信息,还可以记录网络内部连接状况,此功能对内容恢复/无法恢复的加密连接尤其有用。(www.chuimin.cn)
内容恢复和网络审计让管理员看到网络的真正运行状况,其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警,还可以看到整个攻击过程,了解攻击确实发生与否,查看攻击者的操作过程,了解攻击造成的危害。不但发现已知攻击,而且发现未知攻击。不但发现外部攻击者的攻击,还发现内部用户的恶意行为。毕竟管理员是最了解其网络的,管理员通过此功能的使用,很好地达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。
(三)集成网络分析和管理功能
入侵检测不但对网络攻击是一个检测,其还可以收到网络中的所有数据,而且对网络的故障分析和健康管理也能起到重大作用。当管理员发现某台主机有问题时,希望能马上对其进行管理。入侵检测不应只采用被动分析方法,最好能和主动分析结合起来。所以,入侵检测产品集成网管功能,扫描器(Scanner)、嗅探器(Sniffer)等功能是以后研究发展的重要方向。
【注释】
[1]Lunt T F,Jagannathan R,Lee R,et al.Knowledge-based intrusion detection[C].Washington,D.C.1989.
[2]Ilgun K,Kemmerer R A,Porras P A.State transition analysis:a rulebased intrusion detection approach[J].IEEE Transactions on Software Engineering,1995(2):98-99.
[3]Li C.Song Q,Zhang C.MA-IDSarchitecture for distributed intrusiondetection usingmobile agents〔C]//Proceedings of the Second International Conference on Information Technology and Applications(ICITA2004),Harbin,2004.
[4]Bolzoni D,Crispo B,Etalle S.ATLANTIDES:an architecture for alertverification in network intrusion detection systems[C]//Proceedings of the 21st Large Installation System Administration Conference,2007.
[5]Luther K,Bye R,Alpcan T,et al.A cooperative AIS framework for intrusion detection[C]//IEEE International Conference on Communications,Glasgow,2007.
有关计算机网络与信息安全的文章
(一)Snort入侵检测系统Snort系统是一个以开放源代码形式发行的网络入侵检测系统,由Martin Roesch编写,并由遍布世界各地的众多程序员共同维护和升级。Snort不仅是一个网络入侵检测系统,还可以作为网络数据包分析器和记录器来使用。网络入侵检测系统网络入侵检测系统模式是Snort的最主要功能。(二)OSSEC HIDSOSSEC HIDS是一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查,Windows注册表监视、Rootkit检测、实时警告及动态的适时响应。......
2023-10-18
为了更好地研究入侵检测系统,人们将其各个组成部分抽象出来,形成各种入侵检测模型。模型中,入侵检测系统分为4个基本组件,即事件产生器、事件分析器、响应单元和事件数据库。其中的事件是指入侵检测系统需要分析的数据。如果入侵检测系统也能够像攻击者那样合作,就有可能检测到。......
2023-10-18
这是入侵检测历史上的又一力作,入侵检测领域的研究工作由此开始广泛地展开,关于入侵检测的首次专题研讨会也于同年由SRI公司召开。改进后的IDES模型采用了异常入侵检测技术,至此,入侵检测技术两大阵营都登上了历史的舞台,分别是:误用入侵检测技术和异常入侵检测技术。1996年,美国新墨西哥大学的Forrest小组提出了基于计算机免疫学的入侵检测技术。......
2023-10-18
与传统的单机IDS相比,分布式入侵检测系统具有明显的优势。到目前为止,已经提出了多种分布式入侵检测技术的实现方法。Snortnet是基于模式匹配的分布式入侵检测系统的一个具体实现。但由于其检测能力仍然依赖于单机IDS,只是在系统的通信和管理能力上进行了改进,因此并没有体现出分布式入侵检测的真正优势。......
2023-10-18
入侵检测系统在信息安全中有着重要的作用,但在国内的应用还远远没有普及。目前的入侵检测产品大多存在以下问题。和误报相对应的是漏报情况,随着攻击方法的不断更新,入侵检测系统能否检测出网络中存在的所有攻击也是一个重要的难题。(三)被动分析与主动发现的矛盾入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。......
2023-10-18
(一)事件数量考察IDS系统的一个关键性指标是报警事件的多少。一般而言,事件越多,表明IDS系统处理的能力越强。目前的IDS系统都具有2000个以上的事件分析产生能力。对目前的IDS系统,数据加密已经是系统必备的功能。目前,大多数商用IDS系统都提供可定义事件,但很少提供事件的可定义性。积极响应是指IDS系统自动地对该网络行为进行干预,阻止其进一步的行为。IDS系统上报的各种事件,从本质......
2023-10-18
IDS在结构上可划分为数据收集和数据分析两部分。如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。集中式数据收集:检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。就检测入侵行为而言,直接监控要优于间接监控,由于直接监控操作的复杂性,目前的IDS产品中只有不足20%使用了直接监控机制。......
2023-10-18
入侵检测系统是指用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种软硬件系统。另外,全面部署主机入侵检测系统代价较大,任何企业都无法将所有主机用主机入侵检测系统保护,只能选择其中的一部分。此时,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报,甚至切断网络连接。......
2023-10-18
相关推荐