非法获取计算机信息系统数据罪-入侵检测定义与分类
1、网络入侵方式
网络入侵手段的分类是众说纷纭,各有各的分类方法。 网络被入侵的方式主要有:口令攻击、特洛伊木马、利用缓冲区溢出攻击、端口扫描、使用伪装 IP 攻击、利用后门进行攻击等。
其中美国的 IDG Info World 测试中心的安全测试小组开发了测试基准平台 IWSS16,IWSS16 将主要的网络入侵分为了四类:
1.1信息收集与获取。 攻击者采用大量的试探性方法,如:Ping、帐户扫描、端口扫描、漏洞扫描、网络嗅探等方法,探测系统提供的服务、存在的漏洞、可用的权限,利用公开协议和工具,收集和获取网络系统中各个主机系统的有用信息,并捕获系统漏洞,为进行下一步攻击奠定基础。
1.2 访问权限获取。通过缓冲区溢出破坏程序的堆栈、FTP 攻击、口令试探和破译工具对口令进行破解等多种手段,可以获取系统访问的特权,从而对系统进行破坏。
1.3服务拒绝。 服务拒绝是通过大量连续的网络访问使系统无法承受而造成崩溃,不能实现相应的服务功能。 这种攻击危险性大,较难捕获。 尤其是现在分布式拒绝服务攻击的出现,更是防不胜防。
1.4 检测逃避。 攻击者往往通过插入、逃遁、慢速攻击、破坏日志系统等手段逃避系统的检测,隐藏身份,从而在不知不觉中实现对系统的攻击,而且不留下任何蛛丝马迹。
2、入侵检测定义与分类
2.1 入侵检测的定义
入侵检测 (Intrusion Detection) 技术是安全审核中的核心技术之一,是网络安全防护的重要组成部分。 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,来检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
违反安全策略的行为有: 入 侵—————非法用户的违规行 为;滥 用—————合法用户的违规行为。 入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
应用入侵检测技术,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。 在入侵攻击过程中,能减少入侵攻击所造成的损失。 在被入侵攻击后, 收集入侵攻击的相关信息,作为防范系统的知识,填入知识库内,以增强系统的防范能力。
2.2 入侵检测的分类
通过对现有入侵检测技术方法的研究,可以从不同的角度对入侵检测技术进行分类:
2.2.1 按照检测数据来源。 有以下三类:基于主机的入侵检测技术;基于网络的入侵检测技术;基于主机和网络的入侵检测技术。 以上 3 种入侵检测技术都具有各自的优点和不足,可互相作为补充,一个完备的入侵检测系统一定是基于主机和基于网络两种方式兼备的分布式系统。
2.2.2 按照检测技术。 分为异常检测技术和误用检测技术。 异常检测技术又可称为基于行为的入侵检测技术,它假定了所有的入侵行为都有异常特性。 误用检测技术,又称为基于知识的入侵检测技术,它通过攻击模式、攻击签名的形式表达入侵行为。
2.2.3 按照工作方式。可以分为离线检测和在线检测。离线检测:在事后分析审计事件,从中检查入侵活动,是一种非实时工作的系统。 在线检测:实时联机的检测系统,它包含对实时网络数据包分析,对实时主机审计分析。
2.2.4 按照系统网络架构。 分为集中式检测技术、分布式检测技术和分层式检测技术。 将分析结果传到邻近的上层,高一层的检测系统只分析下一层的分析结果。 分层式检测系统通过分析分层式数据使系统具有更好的可升级性。
3、常用的入侵检测技术方法
目前,常用的入侵检测技术方法比较多,下面列出几个进行说明。
3.1 神经网络异常检测这种方法对用户行为具有自学习和自适应的能力,能够根据实际监测到的信息有效地加以处理并做出入侵可能性的判断。 通过对下一事件错误率的预测在一定程度上反映用户行为的异常程度。 目前该方法使用比较普遍,但该方法还不成熟,还没有出现较为完善的产品。
3.2 概率统计异常检测
这种方法是基于对用户历史行为建模,以及在早期的证据或模型的基础上,审计系统实时的检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时,保持跟踪并监测、记录该用户的行为。
3.3 专家系统误用检测
针对有特征入侵的行为,较多采用专家系统进行检测。 在专家检测系统实现中,通过 If-Then 结构(也可以是复合结构)的规则对安全专家的知识进行表达。 专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。
3.4 基于模型的入侵检测
入侵者在攻击一个系统时往往采用一定的行为程序,如猜测口令的行为序列,这种行为序列构成了具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。