非法获取计算机信息系统数据罪-入侵检测系统的定义和分类
【摘要】计算机网络安全已成为国家与国防安全的重要组成部分,而入侵检测技术是保证计算机网络安全的核心技术之一。本文在研究入侵检测技术的基础上,对入侵检测的过程进行了分析,提出了入侵检测技术的发展趋势。
【关键词】网络安全;入侵检测
1、常规的安全体系
(1)防火墙(Firewall)。防火墙是指一种将内部网和公众访问网,如Internet,分开的方法,它实际上是一种隔离技术,是一种被动防御性的网络安全工具。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。防火墙包含着一对矛盾:一方面它限制数据流通,另一方面它又允许数据流通。但由于网络的管理机制及安全政策(security policy)不同,这对矛盾呈现出不同的表现形式,它所提供的方式要么都拒绝,要么都通过,所以仅仅使用防火墙是不够的,远远不能满足用户复杂的应用要求。
(2)认证和加密。基于认证中心的安全方案,应该很好地解决网上用户身份认证和信息安全传输问题。数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖。
2、入侵检测系统的定义和分类
入侵检测系统简称IDS(IntrusionD etection Sys-tems),它是网络安全体系的一种防范措施。入侵检测系统是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
入侵检测系统主要分为以下三类:
(1)根据检测原理进行分类。传统的观点根据入侵行为的属性将其分为异常和滥用两种,然后分别对其建立异常检测模型和滥用检测模型。近四五年来又涌现出了一些新的检测方法,它们产生的模型对异常和滥用都适用,如人工免疫方法、遗传算法、数据挖掘等。
(2)根据入侵检测响应方式。按照响应方式分为主动响应和被动响应。被动响应系统只会发出告警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动。主动响应系统可以对被攻击系统实施控制和对攻击系统实施控制。
(3)根据体系结构分类。按照体系结构,IDS可分为集中式、等级式和协作式三种。集中式的IDS可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器,审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理;等级式的IDS用来监控大型网络,定义了若干个分等级的监控区,每个IDS负责一个区,每一级IDS只负责所监控区的分析,然后将当地的分析结果传送给上一级IDS;协作式的IDS将中央检测服务器的任务分配给多个基于主机的IDS,这些IDS不分等级,各司其职,负责监控当地主机的某些活动。
3、入侵检测过程
入侵检测的过程分为信息收集、信息分析和结果处理三部分。
3.1信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点收集信息,这除了尽可能地扩大检测范围外,还有一个重要的因素就是从一个来源的信息有可能看不出疑点,但是从几个来源的信息的不一致性却是可疑行为或入侵的最好标识。入侵检测利用的信息一般来自以下四个方面:系统和网络日志文件;目录和文件中的不期望的改变;程序执行中的不期望行为;物理形式的入侵信息。
3.2信息分析
对上述四类收集到的信息,一般通过模式匹配、统计分析和完整性分析三种技术手段进行分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
3.3结果处理
当检测到入侵时,就产生预先定义的响应,也可采取相应的措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的警告。
4、入侵检测技术的发展趋势
在入侵检测技术发展的同时,入侵技术也在更新,黑客组织已经将如何绕过入侵检测系统或攻击入侵检测系统作为研究重点。因此,从总体上讲,目前除了完善常规的、传统的技术外,入侵检测技术应重点加强与统计分析相关技术的研究。许多学者在研究新的检测方法,如采用自动代理的主动防御方法,将免疫学原理应用到入侵检测的过程中,其主要发展方向有以下四种:
(1)分布式入侵检测。分布式系统是现代IDS主要发展方向之一,它能够在数据收集、入侵分析和自动响应方面最大限度地发挥系统资源的优势,其设计模型具有很大的灵活性。
(2)智能化入侵检测。智能化入侵检测使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化,利用专家系统的思想来构建IDS也是常用的方法之一。
(3)网络安全技术相结合。结合防火墙、安全电子交易(SET)等网络安全技术与电子商务技术,提供完整的网络安全保障。
(4)建立入侵检测系统评价体系。设计通用的入侵检测测试、评估方法和平台,实现对多种入侵检测系统的检测,已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行。