■朱涛马骏中国电子科技集团公司第二十八研究所
[摘要]入侵检测识别是当今网络安全研究的热点。近年来,入侵检测系统的研究在智能化和分布式两个方向有一定的发展,取得了很多成果,但依然存在一些问题。本文主要探讨网络入侵智能识别的相关技术与应用。
[关键词]网络入侵智能识别技术
近年来,互联网在国际上得到了飞速的发展,其重要性也与日俱增,但同时网络本身的安全性问题也就显得更为重要。网络安全的一个主要威胁就是通过网络对信息系统的入侵。
一、网络入侵的内涵与特征
网络入侵的定义为:试图破坏信息系统的完整性、机密性或可信性的任何网络活动的集合。相对于传统的对信息系统的破坏手段,网络入侵具有以下特点:1.没有地域和时间的限制。跨越国界的攻击就同在现场一样方便;2.攻击迅速,作案只要成功,几秒钟到几分钟即达到破坏效果;3.通过网络的攻击往往混杂在大量正常的网络活动之间,隐蔽性强;4.入侵手段更加隐蔽和复杂。
由于网络具有上述特点,如何对其入侵识别及防范成为众多网络安全手段的核心技术。大致来看网络入侵分为以下几种类型:1.利用网络协议的不完善进行的攻击;2.利用操作系统协议栈实现的缺陷进行的攻击;3.通过对信息系统进行试探和扫描,试图发现帐户口令或系统的缺陷,然后入侵系统;4.恶意使用正常的网络操作,造成信息系统崩溃和不能正常提供服务的拒绝服务攻击;5.利用特殊的命令序列进行攻击;6.利用正常的网络操作,向目的系统传送恶意的信息,进攻系统。
二、网络入侵智能识别的相关技术
常规形式上从网络安全测验角度上去对入侵识别技术分类可包括为两类:一类是误用入侵识别;另一类就是异常识别。误用识别实质上可以说是特征性识别,主要目的是确立攻击技术含量从而构建对特征库的恶意攻击,然后以其攻击方式对照系统进行比较,以确定攻击发生与否;另一类的异常识别,异常识别就是指与入侵识别行为的差别的异同行为,因此,无差别的特征库组合定义与更新是异常入侵识别的关键。
1.异常识别特性
异常识别主要针对识别行为而言,通过假定的人为入侵行为对系统的特征库做出有效辨认,如果存在入侵行为痕迹,用户行为和系统自身行为不同,则可以从中区分行为的差异,也就可以判定为入侵。
2.误用入侵识别特性
误用入侵识别技术,在与计算机系统互相交流信息过程之中,其设立了专家系统、模式匹配与协议验证,并基于模型、键盘监控、模型推论、状态切换分析、Petri网实态切换等方法。
(1)基于专家系统的误用识别方法
现今网络很多入侵识别都采用的是此类方法技术,其原理是将入侵行为进行专门的编码,然后制定成相应的专家系统规则,各个规则均鉴于“条件THEN动作”的形式,并且它可以通过任意一个条件就可以触发,于此,专家系统就会立即采取相关动作进行行为进行高效处理。
(2)基于状态转换分析的误用识别方法
所谓状态转换分析,系指把攻击行为表征为被监控的状态转移,根据此状态转移条件来判定各种攻击状态,攻击状态以及行为和记录无需对应。
3.免疫学运用入侵识别技术
计算技术的逐步成熟与完善,使计算机技术不断运用于各个领域行业,由此,网络入侵识别技术也同步初获成果,其具体应研究重点表现在免疫学的推行与广泛应用。生物免疫系统与计算机内部安全系统颇为相似,计算机的网络安全环境就犹如生物免疫系统,就好比生物免疫系统对抗病原体,而计算机入侵识别系统针对网络盛行的病毒一样,结合此原理,计算机网络入侵识别技术运用到生物免疫学当中,并且两相结合,原理对比、分析[来自WwW.lW5u.com],从而确定以生物免疫学系统原理为核心去规划设计出计算机入侵识别技术的科学研究方向;以生物免疫学系统理论构建出入侵识别技术的发展体系,即为定义自身、生成识别器、识别入侵三方面的技术程序。定义自身就是指计算机判定的正常行为模式化为本体,对本体逐步构建成常规形式下的本体特征库,而识别可分为成熟识别和未成熟识别,就是说成熟识别就是系统实行常规行为,判定为“免疫”的行为过程,反之,未成熟识别,就需要计算机核对数据特征库进行鉴定;如果在与特征库里的认定行为不符、不相匹配,则判定为人为利用计算机技术手段入侵系统;与此同时,系统可自动采取应急措施来处理入侵行为。
兰、网络入侵的防御系统
Linux操作系统一般使用iptables构建基于netfilter框架的防火墙,来实现数据包处理、数据包过滤和地址转换等功能。Snort系统包括数据包解析器、检测引擎和报警输出三个子系统组成。Libpcap提供数据包捕获和过滤的机制。因为Snort源代码是开放的,人们可以对其进行修改和定制,这样可以较容易地实现与Linux系统防火墙netfilter/iptables系统联动。在Snort检测到网络攻击后,不仅报警和记录日志,也可以对攻击包做出丢弃或阻断等响应,来保护主机的安全运行。将nettiletr/iptables与Snort结合是IPS最直接的一种实现方案.可以利用Linux系统中进程间的通信机制可以实现它们之间的联动。这就是Snort和netfilter/iptables构成的入侵防[来自Www.lw5u.coM]御系统体系结构。snort与netfilter/iptables通信采用内网地址。将与snort主机相连的交换机端口作为镜像端口,确保所有数据包都能被捕获。在入侵防御系统安全体系之中,入侵检测系统发现需阻断的入侵行为时,就会立即通知防火墙作出规则的动态修改,对攻击源地址进行及肘封堵,以达到主动安全防御的目的。防火墙也可以弥补入侵检测系统自我防护机制差的弱点。由于入侵检测系统置于防火墙之后,不必分析已被防火墙拦截的流量,不仅减轻了负载也减少了受到拒绝服务攻击的可能,提高了入侵检测自身的安全性。该系统在Linux系统下运行,使用Snort作为入侵检测模块,运用告警融合和过滤模块对Snort的输出告警进行处理。并将处理结果与主机系统的漏洞信息库进行比对,提取出对主机系统真正有威胁的入侵行为。最后由防御模块生成防火墙的阻塞规则来阻断恶意攻击行为。