非法获取计算机信息系统数据罪-计算机网络安全的入侵检测技术与研究

非法获取计算机信息系统数据罪-计算机网络安全的入侵检测技术与研究 


    【摘要】：本文主要针对计算机网络安全方面的入侵检测技术进行研究,内容包括基于误用检测技术、基于异常的检测技术以及基于网络的入侵检测系统、基于主机的入侵检测系统以期望找到更好的方法提高网络安全性。
    【关键词】：计算机网络安全；入侵检测技术；入侵检测系统

    一、检测技术

    1、基于误用检测技术
    误用入侵检测主要就是针对特点进行搜集，看是否会集中出现。误用入侵检测技术类似于杀毒软件的操作方法。误用检测技术的优点在于，可以从入侵特点的模式库中搜集类似的特点，这样在检测中既可以将类似特点的入侵行为搜集出来，又可以避免系统的入侵和抑制系统遭受同样的入侵。但是有的入侵行为有变种的功能，也就是利用同样的功能缺陷和攻击原理进行变异，但是并不一定能够检测出来。误用入侵技术存在一定的局限性，它仅仅能够根据已知的入侵序列和特点来判断相关的行为，对于新型的入侵攻击行为并不能够及时检测出来，也存在一定的漏洞。
    一般误用入侵检测的技术主要有两种：
    一是，专家系统，早期的入侵检测系统主要就是采用专家的入侵行为来对系统进行检测。例如早期的NIDES、NADIR系统都有一个独立的专家系统模块。在整个系统中，入侵到专家系统中的攻击行为可以进行编码，每个入侵行为都可以编译成为一个IF语句。
    二是，状态迁移分析技术。基于异常的检测技术是定义一组系统“正常”情况下的值，如CPU利用率，内存利用率，文件校验，将与正常定义进行比较。这种检测方法的核心是如何界定所谓的“正常”的情况。

    2、基于异常的检测技术
    基于异常入侵检测技术，主要就是定义一组正常情况下的值，内存利用率、硬盘大小、文件检验等数值。这些数据并不是约定俗成的，可以是人们自己定义的便于人们统计就好。然后将规定的数值与系统正在运行的数字进行比较，检验是否有被攻击的现象。
    这种检测方法的核心就是在于怎么去定义一个正常的数值，怎样可以看出系统被攻击过。在1996年，这项理论被人们所研究，并且建立了一个基本的轮廓模型。模型建立的思想就是：建立系统的审计跟踪数据分析系统，主体（单用户，组用户，主机和系统的正常行为，一个关键的程序和文件等）正常的行为特征：检测过程中，若审计系统中的数据出现巨大差异这就可以被认为是入侵行为。功能配置文件，登录时间，登录位置，使用的CPU时间和文件访问属性来描述其特点的正常行为。当主要行为特征的改变，相应的功能配置文件也相应改变。如入侵检测系统使用统计或以规则为基础的描述方法，建立系统的行为特征的基本轮廓。

    二、检测系统

    1、基于网络的入侵检测系统：基于网络的IDS不能够单独的提供入侵检测的服务。事实上有很多的客户在最初选择IDS的网络入侵检测，大多数是因为成本比较低、反应比较快。
    第一，就是拥有较低的成本，基于网络的IDS的策略配置有多个系统有几个关键点，并且可以观察多个系统的网络通信，所以很多主机在管理和装载软件时，都不要求安装它。监测点比较少的配置环境就可以理解成是成本比较低的网络环境。
    第二，可以检测到主机系统的漏洞攻击。基于网络的IDS中会对所有经过的数据包进行检测，并且会发现一些恶意程序和软件，而基于主机的IDS并没发查看其包的头部，同样也无法检测到相应的攻击类型。举例说明，很多IP地址的拒绝服务型和碎片包型的攻击，只有在经过网路时才会发现包头部的内容。这种类型的攻击都可以在基于网路的系统中通过对包的检测才能够发现。对于基于网路的IDS可以检测一些有效的荷载内容，可以检测一些特定的攻击手法和指令。通过检查的数据包看是否具有有效荷载的能力，并且可以查看恶意软件，这是一个很好的途径，而且对于攻击者来讲并不能发现，但是基于主机的IDS并不能检查出其行为，不能辨认出相应的攻击信息。
    第三，攻击者不会轻易的转移证据，在对攻击进行实时监测的过程中，基于网络的IDS会利用网络来进行通讯，所以攻击者并不能转移其证据。对证据的捕获有很多方法，包括攻击的方法，这种方法可以识别黑客的身份和信息，还可以对其基本信息进行记录，对其他恶劣行径进行记录，不给任何掩盖作案痕迹的机会，防止利用这些信息来对基于主机系统进行入侵检测。
    第四点，实时的检测。基于网络IDS可以在任何时间任何地点检测出可疑的恶意操作，并且能够做出快速的通知和响应。TCP是网络协议中的一种，一个基于TCP对网络进行的拒绝服务的攻击，可以通过IDS发出紧急信号，使TCP复位。对于基于主机系统，实时监测不完全，只有可疑信息在操作时才能够监测并记录下来，这样才能够识别其攻击能力，作出相应的反应，此时，系统可能早被破坏，或是基于主机的IDS已经被摧毁，大量的信息泄露。基于网络的实时监测，可以实时的通知，根据通知的具体情况作出快速反应，防止信息泄露，造成损失。
    第五点，存在检测不成功的攻击现象。基于网络的IDS的数据会增加很多有价值的数据，这样就很难来区分哪个是存在不良意图的，即便是网络的防火墙能够拒绝这些尝试，位于防火墙之外的基于网络的IDS也能够查出防火墙背后攻击的意图。但是基于主机根本无法做法这些检测，这些数据的检测对于评价一个系统安全性能的高与低有着重要的作用。
    第六点，操作系统无关性。基于网络的IDS是一个安全检测资源，但是与网络的操作系统没有很大的联系。基于主机系统是必须要更仔细，不能够被破坏的，必须要保持正常的工作，这样才会有很好的结果。

    2、基于主机的入侵检测系统：基于主机的入侵检测系统与网络入侵相比并没有那么快捷，但它确实具备局域网络的系统无法比拟的优点，这些优点包括，更好的辨识分析、对特殊事件的紧密关注以及低廉的成本。
    第一，首先能确定攻击是否是成功，基于主机的IDS使用含有已发生事件的信息，它能够更准确的判断攻击是否成功。这方面基于主机的IDS是网络IDS更完美的补充，网络部分可以尽早的发出警告信息，主机部分尽早的确定是否攻击成功。
    第二，监视特定的系统活动。基于主机的IDS的监视用户和文件访问活动，可以由文件的访问、文件权限的更改、建立新的可执行的文件、访问特许的服务等等。
    第三，到网络以后的行为，基于网络系统要做到这个步骤存在一定的困难，基于主机的技术可以通过监视来了解管理员的一些非正常的行为，操作系统记录了任何有关用户账户关于添加、删除、更改等等一些情况，一旦发生更改，基于主机的IDS就能检测到这种不适当的更改。
    第四点，主机检测能够检测到网络系统检测不到的攻击。基于主机系统可以检测到那些基于网络的产品检测不到的攻击。
    第五点，适用于被加密的以及交换的环境，基于主机的系统可以安装在企业的各个主机上，它们比基于网络的检测系统更适合于交换和加密的环境。交换设备可以将很多大型网络分成许多小型的网络来加以管理，从而覆盖足够大的网络范围和角度。