前言：本站為你精心整理了入侵檢測系統(tǒng)改善方法研究論文范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要:現(xiàn)有入侵監(jiān)測系統(tǒng)存在誤報(bào)率和漏報(bào)率較高的問題,本文對(duì)幾種降低IDS誤報(bào)率和漏報(bào)率的方法進(jìn)行研究,通過將這幾種方法相互結(jié)合,能有效提高入侵檢測系統(tǒng)的運(yùn)行效率并能大大簡化安全管理員的工作,從而保證網(wǎng)絡(luò)安全的運(yùn)行。

關(guān)鍵字:入侵檢測;協(xié)議分析;模式匹配;智能關(guān)聯(lián)a

1引言

入侵檢測技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù),它對(duì)計(jì)算機(jī)和

網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng),不僅檢測來自外部的入侵行為,同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。但是隨著網(wǎng)絡(luò)入侵技術(shù)的發(fā)展和變化以及網(wǎng)絡(luò)運(yùn)用的不斷深入,現(xiàn)有入侵檢測系統(tǒng)暴露出了諸多的問題。特別是由于網(wǎng)絡(luò)流量增加、新安全漏洞未更新規(guī)則庫和特殊隧道及后門等原因造成的漏報(bào)問題和IDS攻擊以及網(wǎng)絡(luò)數(shù)據(jù)特征匹配的不合理特性等原因造成的誤報(bào)問題,導(dǎo)致IDS對(duì)攻擊行為反應(yīng)遲緩,增加安全管理人員的工作負(fù)擔(dān),嚴(yán)重影響了IDS發(fā)揮實(shí)際的作用。

本文針對(duì)現(xiàn)有入侵監(jiān)測系統(tǒng)誤報(bào)率和漏報(bào)率較高的問題,對(duì)幾種降低IDS誤報(bào)率和漏報(bào)率的方法進(jìn)行研究。通過將這幾種方法相互結(jié)合,能有效提高入侵檢測系統(tǒng)的運(yùn)行效率并能大大簡化安全管理員的工作,從而保證網(wǎng)絡(luò)

安全的運(yùn)行。

2入侵檢測系統(tǒng)

入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問及(或)未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作,威脅計(jì)算機(jī)或網(wǎng)絡(luò)的安全機(jī)制(包括機(jī)密性、完整性、可用性)的行為。入侵可能是來自外界對(duì)攻擊者對(duì)系統(tǒng)的非法訪問,也可能是系統(tǒng)的授權(quán)用戶對(duì)未授權(quán)的內(nèi)容進(jìn)行非法訪問,入侵檢測就是對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。入侵檢測系統(tǒng)IDS(IntrusionDetectionSystem)是從多種計(jì)算機(jī)系統(tǒng)機(jī)及網(wǎng)絡(luò)中收集信息,再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。

現(xiàn)在的IDS產(chǎn)品使用的檢測方法主要是誤用檢測和異常檢測。誤用檢測是對(duì)不正常的行為進(jìn)行建模,這些行為就是以前記錄下來的確認(rèn)了的誤用或攻擊。目前誤用檢測的方法主要是模式匹配,即將每一個(gè)已知的攻擊事件定義為一個(gè)獨(dú)立的特征,這樣對(duì)入侵行為的檢測就成為對(duì)特征的匹配搜索,如果和已知的入侵特征匹配,就認(rèn)為是攻擊。異常檢測是對(duì)正常的行為建模,所有不符合這個(gè)模型的事件就被懷疑為攻擊。現(xiàn)在異常檢測的主要方法是統(tǒng)計(jì)模型,它通過設(shè)置極限閾值等方法,將檢測數(shù)據(jù)與已有的正常行為比較,如果超出極限閾值,就認(rèn)為是入侵行為。

入侵檢測性能的關(guān)鍵參數(shù)包括:(1)誤報(bào):實(shí)際無害的事件卻被IDS檢測為攻擊事件。(2)漏報(bào):攻擊事件未被IDS檢測到或被分析人員認(rèn)為是無害的。

3降低IDS誤報(bào)率方法研究

3.1智能關(guān)聯(lián)

智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息(如主機(jī)特征信息)與網(wǎng)絡(luò)IDS檢測結(jié)構(gòu)相融合,從而減少誤報(bào)。如系統(tǒng)的脆弱性信息需要包括特定的操作系統(tǒng)(OS)以及主機(jī)上運(yùn)行的服務(wù)。當(dāng)IDS使用智能關(guān)聯(lián)時(shí),它可以參考目標(biāo)主機(jī)上存在的、與脆弱性相關(guān)的所有告警信息。如果目標(biāo)主機(jī)不存在某個(gè)攻擊可以利用的漏洞,IDS將抑制告警的產(chǎn)生。

智能關(guān)聯(lián)包括主動(dòng)和被動(dòng)關(guān)聯(lián)。主動(dòng)關(guān)聯(lián)是通過掃描確定主機(jī)漏洞;被動(dòng)關(guān)聯(lián)是借助操作系統(tǒng)的指紋識(shí)別技術(shù),即通過分析IP、TCP報(bào)頭信息識(shí)別主機(jī)上的操作系統(tǒng)。

3.1.1被動(dòng)指紋識(shí)別技術(shù)的工作原理

被動(dòng)指紋識(shí)別技術(shù)的實(shí)質(zhì)是匹配分析法。匹配雙方一個(gè)是來自源主機(jī)數(shù)據(jù)流中的TCP、IP報(bào)頭信息,另一個(gè)是特征數(shù)據(jù)庫中的目標(biāo)主機(jī)信息,通過將兩者做匹配來識(shí)別源主機(jī)發(fā)送的數(shù)據(jù)流中是否含有惡意信息。通常比較的報(bào)頭信息包括窗口(WINDOWSIZE)、數(shù)據(jù)報(bào)存活期(TTL)、DF(dontfragment)標(biāo)志以及數(shù)據(jù)報(bào)長(Totallength)。

窗口大小(wsize)指輸入數(shù)據(jù)緩沖區(qū)大小,它在TCP會(huì)話的初始階段由OS設(shè)定。數(shù)據(jù)報(bào)存活期指數(shù)據(jù)報(bào)在被丟棄前經(jīng)過的跳數(shù)(hop);不同的TTL值可以代表不同的操作系統(tǒng)(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常設(shè)為默認(rèn)值,而OpenBSD不對(duì)它進(jìn)行設(shè)置。數(shù)據(jù)報(bào)長是IP報(bào)頭和負(fù)載(Payload)長度之和。在SYN和SYNACK數(shù)據(jù)報(bào)中,不同的數(shù)據(jù)報(bào)長代表不同的操作系統(tǒng),60代表Linux、44代表Solaris、48代表Windows2000。

IDS將上述參數(shù)合理組合作為主機(jī)特征庫中的特征(稱為指紋)來識(shí)別不同的操作系統(tǒng)。如TTL=64,初步判斷OS=Linux/OpenBSD;如果再給定wsize的值就可以區(qū)分是Linux還是OpenBSD。因此,(TTL,wsize)就可以作為特征庫中的一個(gè)特征信息。3.1.2被動(dòng)指紋識(shí)別技術(shù)工作流程

具有指紋識(shí)別技術(shù)的IDS系統(tǒng)通過收集目標(biāo)主機(jī)信息,判斷主機(jī)是否易受到針對(duì)某種漏洞的攻擊,從而降低誤報(bào)率。

因此當(dāng)IDS檢測到攻擊數(shù)據(jù)包時(shí),首先查看主機(jī)信息表,判斷目標(biāo)主機(jī)是否存在該攻擊可利用的漏洞;如果不存在該漏洞,IDS將抑制告警的產(chǎn)生,但要記錄關(guān)于該漏洞的告警信息作為追究法律責(zé)任的依據(jù)。這種做法能夠使安全管理員專心處理由于系統(tǒng)漏洞產(chǎn)生的告警。

3.2告警泛濫抑制

IDS產(chǎn)品使用告警泛濫抑制技術(shù)可以降低誤報(bào)率。在利用漏洞的攻擊勢頭逐漸變強(qiáng)之時(shí),IDS短時(shí)間內(nèi)會(huì)產(chǎn)生大量的告警信息;而IDS傳感器卻要對(duì)同一攻擊重復(fù)記錄,尤其是蠕蟲在網(wǎng)絡(luò)中自我繁殖的過程中,這種現(xiàn)象最為重要。

所謂“告警泛濫”是指短時(shí)間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警。IDS可根據(jù)用戶需求減少或抑制短時(shí)間內(nèi)同一傳感器針對(duì)某個(gè)流量產(chǎn)生的重復(fù)告警。這樣。網(wǎng)管人員可以專注于公司網(wǎng)絡(luò)的安全狀況,不至于為泛濫的告警信息大傷腦筋。告警泛濫抑制技術(shù)是將一些規(guī)則或參數(shù)(包括警告類型、源IP、目的IP以及時(shí)間窗大小)融入到IDS傳感器中,使傳感器能夠識(shí)別告警飽和現(xiàn)象并實(shí)施抵制操作。有了這種技術(shù),傳感器可以在告警前對(duì)警報(bào)進(jìn)行預(yù)處理,抑制重復(fù)告警。例如,可以對(duì)傳感器進(jìn)行適當(dāng)配置,使它忽略在30秒內(nèi)產(chǎn)生的針對(duì)同一主機(jī)的告警信息;IDS在抑制告警的同時(shí)可以記錄這些重復(fù)警告用于事后的統(tǒng)計(jì)分析。

3.3告警融合

該技術(shù)是將不同傳感器產(chǎn)生的、具有相關(guān)性的低級(jí)別告警融合成更高級(jí)別的警告信息,這有助于解決誤報(bào)和漏報(bào)問題。當(dāng)與低級(jí)別警告有關(guān)的條件或規(guī)則滿足時(shí),安全管理員在IDS上定義的元告警相關(guān)性規(guī)則就會(huì)促使高級(jí)別警告產(chǎn)生。如掃描主機(jī)事件,如果單獨(dú)考慮每次掃描,可能認(rèn)為每次掃描都是獨(dú)立的事件,而且對(duì)系統(tǒng)的影響可以忽略不計(jì);但是,如果把在短時(shí)間內(nèi)產(chǎn)生的一系列事件整合考慮,會(huì)有不同的結(jié)論。IDS在10min內(nèi)檢測到來自于同一IP的掃描事件,而且掃描強(qiáng)度在不斷升級(jí),安全管理人員可以認(rèn)為是攻擊前的滲透操作,應(yīng)該作為高級(jí)別告警對(duì)待。例子告訴我們告警融合技術(shù)可以發(fā)出早期攻擊警告,如果沒有這種技術(shù),需要安全管理員來判斷一系列低級(jí)別告警是否是隨后更高級(jí)別攻擊的先兆;而通過設(shè)置元警告相關(guān)性規(guī)則,安全管理員可以把精力都集中在高級(jí)別警告的處理上。元警告相關(guān)性規(guī)則中定義參數(shù)包括時(shí)間窗、事件數(shù)量、事件類型IP地址、端口號(hào)、事件順序。

4降低IDS漏報(bào)率方法研究

4.1特征模式匹配方法分析

模式匹配是入侵檢測系統(tǒng)中常用的分析方法,許多入侵檢測系統(tǒng)如大家熟知的snort等都采用了模式匹配方法。

單一的模式匹配方法使得IDS檢測慢、不準(zhǔn)確、消耗系統(tǒng)資源,并存在以下嚴(yán)重問題:

(1)計(jì)算的負(fù)載過大,持續(xù)該運(yùn)算法則所需的計(jì)算量極其巨大。

(2)模式匹配特征搜索技術(shù)使用固定的特征模式來探測攻擊,只能探測明確的、唯一的攻擊特征,即便是基于最輕微變換的攻擊串都會(huì)被忽略。

(3)一個(gè)基于模式匹配的IDS系統(tǒng)不能智能地判斷看似不同字符串/命令串的真實(shí)含義和最終效果。在模式匹配系統(tǒng)中,每一個(gè)這樣的變化都要求攻擊特征數(shù)據(jù)庫增加一個(gè)特征記錄。這種技術(shù)攻擊運(yùn)算規(guī)則的內(nèi)在缺陷使得所謂的龐大特征庫實(shí)際上是徒勞的,最后的結(jié)果往往是付出更高的計(jì)算負(fù)載,而導(dǎo)致更多的丟包率,也就產(chǎn)生遺漏更多攻擊的可能,特別是在高速網(wǎng)絡(luò)下,導(dǎo)致大量丟包,漏報(bào)率明顯增大。

可見傳統(tǒng)的模式匹配方法已不能適應(yīng)新的要求。在網(wǎng)絡(luò)通信中,網(wǎng)絡(luò)協(xié)議定義了標(biāo)準(zhǔn)的、層次化、格式化的網(wǎng)絡(luò)數(shù)據(jù)包。在攻擊檢測中,利用這種層次性對(duì)網(wǎng)絡(luò)協(xié)議逐層分析,可以提高檢測效率。因此,在數(shù)據(jù)分析時(shí)將協(xié)議分析方法和模式匹配方法結(jié)合使用,可以大幅度減少匹配算法的計(jì)算量,提高分析效率,得到更準(zhǔn)確的檢測結(jié)果。超級(jí)秘書網(wǎng)

4.2協(xié)議分析方法分析

在以網(wǎng)絡(luò)為主的入侵檢測系統(tǒng)中,由于把通過網(wǎng)絡(luò)獲得的數(shù)據(jù)包作為偵測的資料來源,所以數(shù)據(jù)包在網(wǎng)絡(luò)傳輸中必須遵循固定的協(xié)議才能在電腦之間相互溝通,因此能夠按照協(xié)議類別對(duì)規(guī)則集進(jìn)行分類。協(xié)議分析的原理就是根據(jù)現(xiàn)有的協(xié)議模式,到固定的位置取值(而不式逐一的去比較),然后根據(jù)取得的值判斷其協(xié)議連同實(shí)施下一步分析動(dòng)作。其作用是非類似于郵局的郵件自動(dòng)分撿設(shè)備,有效的提高了分析效率,同時(shí)還能夠避免單純模式匹配帶來的誤報(bào)。

根據(jù)以上特點(diǎn),能夠?qū)f(xié)議分析算法用一棵協(xié)議分類樹來表示,如圖2所示。這樣,當(dāng)IDS進(jìn)行模式匹配時(shí),利用協(xié)議分析過濾許多規(guī)則,能夠節(jié)省大量的時(shí)間。在任何規(guī)則中關(guān)于TCP的規(guī)則最多,大約占了50%以上,因此在初步分類后,能夠按照端口進(jìn)行第二次分類。在兩次分類完成后,能夠快速比較特征庫中的規(guī)則,減少大量不必要的時(shí)間消耗。如有必要,還可進(jìn)行多次分類,盡量在規(guī)則樹上分叉,盡可能的縮減模式匹配的范圍。

每個(gè)分析機(jī)的數(shù)據(jù)結(jié)構(gòu)中包含以下信息:協(xié)議名稱、協(xié)議代號(hào)以及該協(xié)議對(duì)應(yīng)的攻擊檢測函數(shù)。協(xié)議名稱是該協(xié)議的唯一標(biāo)志,協(xié)議代號(hào)是為了提高分析速度用的編號(hào)。為了提高檢測的精確度,可以在樹中加入自定義的協(xié)議結(jié)點(diǎn),以此來細(xì)化分析數(shù)據(jù),例如在HTTP協(xié)議中可以把請求URL列入該樹中作為一個(gè)結(jié)點(diǎn),再將URL中不同的方法作為子節(jié)點(diǎn)。

分析機(jī)的功能是分析某一特定協(xié)議的數(shù)據(jù),得出是否具有攻擊的可能性存在。一般情況下,分析機(jī)盡可能的放到樹結(jié)構(gòu)的葉子結(jié)點(diǎn)上或盡可能的靠近葉子結(jié)點(diǎn),因?yàn)樵娇拷鼧涓糠值姆治鰴C(jī),調(diào)用的次數(shù)越多。過多的分析機(jī)聚集在根部附近會(huì)嚴(yán)重影響系統(tǒng)的性能。同時(shí)葉子結(jié)點(diǎn)上的協(xié)議類型劃分越細(xì),分析機(jī)的效率越高。

因此,協(xié)議分析技術(shù)有檢測快、準(zhǔn)確、資源消耗少的特點(diǎn),它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在。

5結(jié)束語

本文對(duì)幾種降低IDS誤報(bào)率和漏報(bào)率的方法進(jìn)行分析研究,通過將這幾種方法相互結(jié)合,能有效提高入侵檢測系統(tǒng)的運(yùn)行效率并能大大簡化安全管理員的工作,從而保證網(wǎng)絡(luò)安全的運(yùn)行。由于方法論的問題,目前IDS的誤報(bào)和漏報(bào)是不可能徹底解決的。因此,IDS需要走強(qiáng)化安全管理功能的道路,需要強(qiáng)化對(duì)多種安全信息的收集功能,需要提高IDS的智能化分析和報(bào)告能力,并需要與多種安全產(chǎn)品形成配合。只有這樣,IDS才能成為網(wǎng)絡(luò)安全的重要基礎(chǔ)設(shè)施。

參考文獻(xiàn):

[1]張杰,戴英俠.入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[J].計(jì)算機(jī)與通信,2002(6):28-32.

[2]唐洪英,付國瑜.入侵檢測的原理與方法[J].重慶工學(xué)院學(xué)報(bào),2002(4):71-73.

[3]戴連英,連一峰,王航.系統(tǒng)安全與入侵檢測技術(shù)[M].北京:清華大學(xué)出版社,2002(3).

[4]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].北京:機(jī)械工業(yè)出版社,2006:48-56.

[5]耿麥香.網(wǎng)絡(luò)入侵檢測技術(shù)研究[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2003,13(12):217-218.

[6]連一峰.入侵檢測綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2003(3):47-49.