落红卫
摘要 互联网应用日益普及,网络安全作为一个无法回避的问题呈现在人们面前。网络入侵检测系统作为一种积极主动的安全防护系统成为安全市场上新的热点。本文首先描述了网络入侵检测系统体系架构,然后介绍了其检测原理和性能指标,最后分析了其当前存在的问题。
关键词 网络入侵检测系统 误用检测 异常检测
1、引言
网络入侵检测系统是指从计算机网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定措施的软件与硬件的组合。
网络入侵检测技术是网络动态安全的核心技术,相关设备和系统是整个安全防护体系的重要组成部分。目前,防火墙是静态安全防御技术,但对网络环境下日新月异的攻击手段缺乏主动的响应,不能提供足够的安全保护。而网络入侵检测系统能对网络入侵事件和过程做出实时响应,与防火墙共同成为网络安全的核心设备。
2、系统描述
按照功能划分,网络入侵检测系统至少包括四个基本组件,即事件产生器、事件分析器、响应单元和事件数据库。网络入侵检测系统的框架如图1所示。
图1 网络入侵检测系统框架
事件产生器从系统所处的计算机网络环境中收集事件,并将这些事件转换成一定格式以传送给其它组件。可以说,事件产生器是实时监视网络数据流并依据入侵检测规则产生事件的一种过滤器。
事件分析器可以是一个特征检测工具,用于在一个事件序列中检查是否有已知的攻击特征;也可以是一个统计分析工具,检查现在的事件是否与以前某个事件来自同一个事件序列;此外,事件分析器还可以是一个相关器,观察事件之间的关系,将有联系的事件放到一起,以利于以后的进一步分析。
事件数据库用来存储事件产生器和事件分析器产生的临时事件,以备系统需要的时候使用。
响应单元根据事件产生器检测到的和事件分析器分析到的入侵行为而采取相应的响应措施。在检测到入侵攻击后,基于网络的入侵检测系统的响应单元主要有两类响应方式:被动响应方式和主动响应方式。被动响应方式是系统在检测出入侵攻击后只是产生报警和日志通知管理员,具体处理工作由管理员完成;主动响应方式是系统在检测出入侵攻击后可以自动对目标系统或者相应网络设备做出修改制止入侵行为。
在网络入侵检测系统框架中,事件产生器、事件分析器和响应单元通常以应用程序的形式出现,而事件数据库则往往以文件或数据流的形式出现。四个组件只是逻辑实体,它们以固定的格式进行数据交换。这四个组件是网络入侵检测系统最核心的部分,可以完成最基本的入侵检测功能。但是作为一个完整的网络入侵检测系统,系统管理组件和日志审计组件也是必不可少的。系统管理组件完成对系统的操作与配置,而日志审计组件是任何安全设备必须具备的功能。系统管理组件负责网络入侵检测系统的管理,主要包括权限管理、设备管理、规则管理、升级管理。日志审计组件完成对操作日志和入侵检测日志的审计。
3、检测原理
网络入侵检测系统检测模式有两种,即误用检测模式和异常检测模式。
在误用检测模式中,系统首先将所有入侵行为及其变种,表达为确定的模式或特征,建立一个入侵模式库。检测时,主要通过判别网络中所检测到的事件的数据特征是否在所收集到的入侵模式库中出现而断定是否是入侵行为。由于误用检测模式基于已知的系统缺陷和入侵模式,故也称特征检测模式。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,漏报的情况比较多。为了提高检测的准确率,必须不断更新入侵模式库,以对付不断出现的黑客攻击手法。
在异常检测模式中,系统首先对事件行为进行统计分析,建立正常行为模型,并定义正常行为判断的阈值。检测时,将系统检测到的行为与预定义的正常行为比较,得出是否有被攻击的迹象。这种检测模式的优点是可以检测到未知的入侵行为和复杂的入侵行为;缺点是只能识别出那些与正常行为有较大偏差的行为,而无法知道具体的入侵情况。由于正常行为模型相对固定,所以异常检测模式对网络环境的适应性不强,误报的情况比较多,且不适应用户正常行为的突然改变。
[page]两种检测技术的方法、所得出的结论有非常大的差异。误用检测模式的核心是维护一个入侵模式库。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且入侵模式库必须不断更新。异常检测模式则无法准确判别出攻击的手法,但它可以判别更广泛、甚至未发觉的攻击。理想情况下,两者相应的结合会使检测达到更好的效果。
4、性能指标
网络入侵检测系统的指标主要包括3类,即准确性指标、效率指标和系统指标。
(1)准确性指标
准确性指标在很大程度上取决于测试时采用的样本集和测试环境。样本集和测试环境不同,准确性也不相同。主要包括三个指标,即检测率、误报率和漏报率。
●检测率是指被监视网络在受到入侵攻击时,系统能够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。检测率=入侵报警的数量/入侵攻击的数量。
●误报率是指系统把正常行为作为入侵攻击而进行报警的概率和把一种周知的攻击错误报告为另一种攻击的概率。误报率=错误报警数量/(总体正常行为样本数量+总体攻击样本数量)。
●漏报率是指被检测网络受到入侵攻击时,系统不能正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。漏报率=不能报警的数量/入侵攻击的数量。
(2)效率指标
效率指标根据用户系统的实际需求,以保证检测质量为准;同时取决于不同的设备级别,如百兆网络入侵检测系统和千兆网络入侵检测系统的效率指标一定有很大差别。效率指标主要包括最大处理能力、每秒并发TCP会话数、最大并发TCP会话数等。
●最大处理能力是指网络入侵检测系统在检测率下系统没有漏警的最大处理能力。目的是验证系统在检测率下能够正常报警的最大流量。
●每秒并发TCP会话数是指网络入侵检测系统每秒最大可以增加的TCP连接数。
●最大并发TCP会话数是指网络入侵检测系统最大可以同时支持的TCP连接数。
(3)系统指标
系统指标主要表征系统本身运行的稳定性和使用的方便性。系统指标主要包括最大规则数、平均无故障间隔等。
●最大规则数,系统允许配置的入侵检测规则条目的最大数目。
●平均无故障间隔,系统无故障连续工作的时间。
由于网络入侵检测系统是软件与硬件的组合,故性能指标同样取决于软硬件两方面的因素。软件因素主要包括数据重组效率、入侵分析算法、行为特征库等因素;硬件因素主要包括CPU处理能力、内存大小、网卡质量等因素。因此,在考虑性能指标时一定要结合网络入侵检测系统的软件和硬件情况。另外,由于网络安全的要求在提高,黑客攻击技术、漏洞发现技术和入侵检测技术在发展,网络入侵检测系统的升级管理功能也是重要的指标之一。用户应当可以及时获得升级的入侵特征库或升级的软件版本,保证网络入侵检测系统的有效性。
5、存在的问题
(1)检测准确性差
由于网络安全是一个动态发展的过程,未知的入侵和复杂的入侵不断出现给网络入侵检测系统准确性提出挑战。另外,由于网络入侵检测系统数据收集的准确性和攻击特征数据库的完整性和升级时间等因素的限制,也导致了误报和漏报的产生,致使检测准确性差。
(2)检测的速度慢
检测的速度慢是影响网络入侵检测系统的技术难题。为了实时对网络进行入侵侦测,每个基于网络入侵检测系统的吞吐量是一定的,普通的网络入侵检测系统或许可以应付一般规模的企业检测要求,但对于运营商一级的大型企业检测速度远远不够。
(3)标准化程度低
目前由于入侵活动越来越广泛、越来越复杂,某些入侵活动靠单一的网络入侵检测系统是检测不出来的,必须协同工作;网络入侵检测系统本身是模块化的,模块之间需要交互数据;联动响应也需要网络入侵检测系统与其它安全设备相互通信。从上可以看出,网络入侵检测系统组件之间、不同设备之间都需要通信,所以标准化是唯一的互联互通的解决方法。但是,尽管市场上有很多产品,炒的也很热,相关标准却少之又少。经常是辛辛苦苦把东西做出来后,却发现无法与其它安全产品互通,自然缺乏长久的生命力和可扩展性。 [page]
6、结束语
网络入侵检测是一门综合性技术,它作为一种积极主动的安全防护技术,既提供了实时检测,也支持事后分析。但是由于入侵攻击具有天然的不确定性,以及网络安全向立体纵深、多层次的方向发展,网络入侵检测系统必然在网络安全中发挥重大作用。网络入侵检测系统也应受到人们的高度重视。随着入侵检测技术的不断发展,相信不久的将来人们一定能够利用好网络入侵检测系统这一强大的安全工具。
