非法获取计算机信息系统数据罪-计算机网络非法入侵检测探讨


1、入侵检测

1.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动，同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于代理型三类。从20世纪90年代至今，已经开发出一些入侵检测的产品，其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。

1.2检测技术

（1）入侵检测的步骤
收集系统、网络、数据及用户活动的状态和行为的信息。入侵检测一般采用分布式结构，在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，一方面扩大检测范围，另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。入侵检测所利用的信息一般来自以下4个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

（2）根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时，就有可能发生入侵行为。该方法的难点是阈值的选择，阈值太小可能产生错误的入侵报告，阈值太大可能漏报一些入侵事件。完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

2、入侵检测分类及存在的问题

入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。根据不同的检测方法，将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。

2.1异常检测
又称为基于行为的检测。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离于是否表现出具体行为来进行检测，是一种间接的检测方法。常用的具体方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。采用异常检测的关键问题有如下两个方面：
（1）特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。

（2）参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见，异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约，异常检测的虚警率很高，但对于未知的入侵行为的检测非常有效。此外，由于需要实时地建立和更新系统或用户的特征轮廓，这样所需的计算量很大，对系统的处理性能要求很高。

2.2误用检测
又称为基于知识的检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。首先，对已知的攻击方法进行攻击签名，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。
常用的具体方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的，根据对已知的攻击方法的了解，用特定的模式语言来表示这种攻击，使得攻击签名能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷，因此，通过分析攻击过程的特征、条件、排列以及事件间的关系，就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较，从中发现违背安全策略的行为。由于只需要收集相关的数据，这样系统的负担明显减少。该方法类似于病毒检测系统，其检测的准确率和效率都比较高。但是它也存在一些缺点，如未知的入侵方法就不能进行有效的检测，对于不同实现机制的操作系统，由于攻击的方法不尽相同，很难定义出统一的模式库等。


3、入侵检测的发展方向

随着信息系统对一个国家的社会生产与国民经济的影响越来越大，再加上网络攻击者的攻击工具与手法日趋复杂化，信息战已逐步被各个国家重视。近年来，入侵检测有如下几个主要发展方向：
（1）分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足，再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题，需要采用分布式入侵检测技术与通用入侵检测架构。
（2）应用层入侵检测
许多入侵的语义只有在应用层才能理解，然而目前的IDS仅能检测到诸如Web之类的通用协议，而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用，也需要应用层的入侵检测保护。

（3）智能的入侵检测
入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是，这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究，以解决其自学习与自适应能力。

（4）入侵检测的评测方法
用户需对众多的IDS系统进行评价，评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性，从而设计出通用的入侵检测测试与评估方法与平台，实现对多种IDS的检测。

（5）全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。