摘 要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到internet上的计算机暴露在愈来愈频繁的攻击中。本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程。文章以历史和实践的观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程。
关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史
1 引 言
自从计算机问世以来,安全问题就一直存在。特别是随着internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(ids)应运而生。
入侵检测系统(ids)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动。本文主要讨论入侵和入侵检测技术从20世纪70年代初到今天的发展历程。这个概念出自james p.anderson在1972年的一项报告,随后的30多年中,概念本身几乎没有改变。
2 入侵行为的概念、分类和演化
从最早期的计算机安全开始,人们就密切关注恶意使用者破坏保护机制的可能性。早期系统多为多用户批处理系统。这个时期,主要的威胁来自系统的合法使用者,他们企图得到未经授权的材料。到了20世纪70年代,分时系统和其他的多用户系统已成气候,willis h ware主持的计算机安全防御科学特别工作
小组提供了一项报告,为处理多级数据的计算机系统的发展奠定了基础。但这篇报告并没有受到应有的重视,直到70年代中期,人们才开始进行构建多级安全体系的系统研究。
1980年4月,詹姆斯·安德森(james p.anderson)为美国空军做的题为《computer securitythreatmonitoring and surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念,并首先为入侵和入侵检测提出了一个统一的架构,这是该领域的开山之作。他在论文中给出了入侵和入侵检测技术方面的概念:
威胁(threat) 可能存在有预谋的、未经认可的尝试:
①存取数据;
②操控数据;
③使系统不可靠或无法使用。
危险(risk) 意外的和不可预知的数据暴露,或者,由于硬件故障、软件设计的不完整和不正确所造成的违反操作完整性的问题。
脆弱性(vulnerability) 已知的或可疑的硬件或软件设计中的缺陷;使系统暴露的操作;意外暴露自己信息的操作。
攻击(attack) 实施威胁的明确的表达或行为。
渗透/入侵(penetration)一个成功的攻击;(未经认可的)获得对文件和程序的使用,或对计算机系统的控制。
威胁概念中的③包括dos(denial of service)“拒绝服务攻击”。盗用计算资源也属于这个类别之内。
一般来说,外部入侵者的首要工作是进入系统。所外人,也可能是合法用户,但违规使用了未经授权的资源。另一方面,除了拒绝服务攻击外,多数攻击都需要入侵者取得用户身份。anderson更进一步把入侵情况按表1所示分类。
20世纪80年代中后期,网络计算已经相当普遍,渗透和入侵也更广泛。但许多厂商和系统管理员却疏忽了这个危险。一些厂商在售出的系统中预先定义管理账户(曾有厂商使用user name:system,password:manager),而很多系统操作员却大意地忘记了改变这个缺省设置。
1988年11月2日,第一个大范围的internet上的攻击和渗透事件发生了。肇事者是“莫理斯蠕虫”,他采用多种传输技术在系统间复制,利用的是发送邮件程序的漏洞,这个漏洞允许邮寄的指令能在异地系统上执行。除此之外,蠕虫也利用在finger守护进程溢出串变量来扩散。蠕虫代码中还包含了一个高效的口令破解程序,他尝试破解被他传染的系统上的使用者的密码。在“莫理斯蠕虫”之后,darpa建立了“计算机紧急情况反应小组”,也就是现在sei(软件工程学会)的cert(computeremergencyresponse team)。
1996年,在线杂志phrack发表了一篇缓冲溢出攻击的文章,随后这种攻击事件就多了起来。cert的一项研究显示,从1997年开始,缓冲溢出攻击变成逐渐严重。近年来报告给cert/cc的攻击事件中涉及缓冲溢出的百分比上升,这种漏洞攻击流行的原因包括:系统的脆弱性;管理者(admi
