摘要:介绍了计算机网络入侵检测系统的工作原理和模型,并对其工作过程中的关键技术——信息收集和信息分析进行了详尽探讨,最后介绍了一个完整的计算机网络入侵检测系统的功能及其结构。
关键词:计算机网络;入侵检测;信息收集;信息分析
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2007)06-11575-03
计算机网络入侵检测系统是一个目前热门的研究领域。它是一个能检测出入侵的系统,它能使安全管理员及时地处理入侵警报,尽可能减少入侵对系统造成的损害。由于入侵事件的实际危害越来越大,人们对计算机网络入侵检测系统的关注越来越多,计算机网络入侵检测系统已经成为计算机网络安全体系结构中的一个重要环节。
计算机网络入侵检测系统是一个比较复杂的研究领域,它结合了计算机网络安全技术和信息处理技术。同时,它又是一个难度较大的研究领域,因为入侵者都对计算机网络安全及计算机网络入侵检测系统本身有一定的了解。计算机网络入侵检测系统只是一个计算机程序,让一个计算机程序去对付一个有知识的人确实是一件很难的事情。笔者将从计算机网络入侵检测系统的一些基本原理出发对其进行分析。
1 计算机网络入侵检测系统的原理
计算机网络入侵检测的原理就是:从一组数据中,检测出符合某一特点的数据。攻击者进行攻击的时候会留下一些痕迹,这些痕迹和系统正常运行时候产生的数据混在一起。检测的任务就是从这个混合的数据中找出是否有入侵的痕迹。如果有入侵的痕迹就报警有入侵事件的发生。根据这一原理,计算机网络入侵检测系统有两个重要部分:数据获取和检测技术。很多计算机网络入侵检测系统的分类就是依据这两部分来划分的。
计算机网络入侵检测系统的数据是系统和计算机网络运行时候产生的数据。计算机网络入侵检测系统的主要工作是研究哪些数据最有可能反映入侵事件的发生和哪些检测技术最适应于这些数据。根据计算机网络入侵检测的发生时间可将其分为实时入侵检测和事后入侵检测两种。计算机网络入侵检测系统的工作原理可简单地表示如图1所示[1]:
2 计算机网络入侵检测系统的统一模型
根据以上原理,可实现一个统一的计算机网络入侵检测模型。这个模型由5个主要部分(信息收集器、分析器、响应、数据库及目录服务器)组成,如图2所示[2]:
(1)信息收集器
信息收集器用于收集事件的信息。收集的信息将被用来分析,确定是否发生入侵。信息收集器可以被划分成不同级别,通常分为计算机网络级别、主机级别和应用程序级别。对于计算机网络级别,它的处理对象是计算机网络数据包。对于主机级别,它的处理对象一般是系统的审计记录。对于程序级别,它的处理对象一般是程序运行的日志文件。
图1 计算机网络入侵检测系统的工作原理
图2 计算机网络入侵检测系统的统一模型
被收集的信息可以送到分析器处理,或者存放在数据库中待处理。
(2)分析器
分析器对由信息源生成的事件作实际分析处理,确定哪些事件与正在发生或者已发生的入侵有关。分析器的结果可以被响应,或者保存在数据库作统计。
(3)响应
响应就是当入侵事件发生时,系统采取的一系列动作。这些动作常被分为主动响应和被动响应两类。主动响应能自动干涉系统。被动响应给管理员提供信息,再由管理员采取行动。
(4)数据库
数据库保存事件信息,包括正常事件信息和入侵事件信息。数据库还可以用来存储临时处理数据,扮演各个组件之间的数据交换中心。
(5)目录服务器
目录服务器保存入侵检测系统各个组件及其功能的目录信息。在一个比较大的入侵检测系统中,这个部分起一个很重要的作用,它能改进系统的可维护性和可扩展性。
3 计算机网络入侵检测所用信息的收集
计算机网络入侵检测的第一步是信息收集,内容包括系统、计算机网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。入侵检测很大程度上依赖于收集信息的可靠性和正确性。入侵检测利用的信息一般来自以下四个方面:
3.1 系统和计算机网络日志文件
入侵者经常在系统日志文件中留下他们的踪迹。因此,充分利用系统和计算机网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和计算机网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等。
3.2 目录和文件中的不期望的改变
计算机网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是攻击者修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。攻击者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。
3.3 程序执行中的不期望行为
计算机网络系统上的程序执行一般包括操作系统、计算机网络服务、用户启动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。
一个进程出现了不期望的行为表明可能有人正在入侵该系统。入侵者可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图方式操作。
3.4 物理形式的入侵信息
这包括两个方面的内容,一是未授权的对计算机网络硬件连接;二是对物理资源的未授权访问。入侵者会想方设法去突破计算机网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,入侵者就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问计算机网络。
4 对信息的分析
信息收集器将收集到的有关系统、计算机网络、数据及用户活动的状态和行为等的信息传送到分析器,由分析器对其进行分析。分析器一般采用三种技术对其进行分析:模式匹配,统计分析和完整性分析。前两种方法用于实时的计算机网络入侵检测,而完整性分析用于事后的计算机网络入侵检测。
4.1 模式匹配
模式匹配就是将收集到的信息与已知的计算机网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法的弱点就是需要不断地升级以对付不断出现的攻击手段,不能检测到从未出现过的攻击手段。
4.2 统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和时延等)。测量属性的平均值将被用来与计算机网络、系统的行为进行比较,任何观察值在正常范围之外时,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经计算机网络的分析方法,目前正处于研究热点和迅速发展之中。
4.3 完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特洛依化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数,它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其他对象的任何改变,它都能发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是计算机网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对计算机网络系统进行全面地扫描检查。
5 计算机网络入侵检测系统的功能及其结构
一个成功的计算机网络入侵检测系统,它不但可使系统管理员时刻了解计算机网络系统(包括程序、文件和硬件设备等)的任何变更,还能为计算机网络安全策略的制订提供指导。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得计算机网络安全。而且,入侵检测的规模还应根据计算机网络威胁、系统构造和安全需要的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断计算机网络连接、记录事件和报警等。所以入侵检测系统的功能有:(1)监视用户和系统的运行状况,查找非法用户和合法用户的越权操作;(2)检测系统配置的正确性和安全漏洞,并提示管理人员修补漏洞;(3)对用户的非正常活动进行统计分析,发现入侵行为的规律;(4)检查系统程序和数据的一致性和正确性,如计算和比较文件系统的校验和;(5)能够实时对检测到的入侵行为进行反应;(6)操作系统的审计跟踪管理。
根据以上计算机网络入侵检测系统的功能,可以把它的功能结构分为两个大的部分:中心检测平台和代理服务器。代理服务器是负责从各个操作系统中采集审计数据,并把审计数据转换成与平台无关的格式后传送到中心检测平台,或者把中心平台的审计数据要求传送到各个操作系统中。中心检测平台由专家系统、知识库和管理员组成,其功能是根据代理服务器采集来的审计数据进行专家系统分析,产生系统安全报告,管理员可以向各个主机提供安全管理功能,根据专家系统的分析向各个代理服务器发出审计数据的需求。另外,在中心检测平台和代理服务器之间是通过安全的远程过程调用(RPC)进行通信的。其功能结构如图3所示[1]。
6 结束语
计算机网络入侵检测系统最终是一个计算机安全产品或工具,一个实实在在的计算机程序。掌握了入侵检测系统的工作原理后,对于我们今后开发或应用这样一个系统都大有帮助。入侵检测系统具有其他安全产品做不到的功能,所以它是系统安全策略中的不可缺少的一部分,从这一点来说,入侵检测系统将会有很大的发展前景。它将朝着硬件化、专业化、智能化、互联化及标准化的方向发展。
图3 计算机网络入侵检测系统的功能结构
参考文献:
[1]张红旗,等.信息网络安全[M].北京:清华大学出版社,2003.
[2]张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。