關鍵詞:計算機論文發表-發表計算機評職稱論文
摘要:入侵檢測(Intrusion Detection)是一項資訊保安機制中的關鍵技術,入侵檢測系統(IDS)是利用這一關鍵技術的監控和分析網路資訊,以及時發現入侵行為的資訊安全系統。
本文重點在結合資訊保安等級的要求與IDS本身結構的優缺點,對資訊保安策略進行分析,構建滿足五級資訊保安保護能力的入侵檢測系統。
關鍵詞:入侵檢測,資訊保安
1.資訊保安等級
資訊保安等級保護是我國資訊保安保障工作的綱領性檔案(《國家資訊化領導小組關於加強資訊保安保障工作的意見》)(中辦發[2003]27號)提出的重要工作任務[1],其基本原理是,不同的資訊系統有不同的重要性,在決定資訊保安保護措施時,必須綜合平衡安全成本和風險。
2007年6月,公安部發布的《資訊保安等級保護管理辦法》規定,根據資訊系統在國家安全、經濟建設、社會生活中的重要程度,其遭受破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等,其安全等級由低到高劃分為五級,其等級劃分原則如表1.1所示:
表1.1 安全等級劃分原則
不同安全等級的資訊系統應該具備相應的基本安全保護能力,其中第四級安全保護能力是應能夠在統一安全策略下防護系統免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊,嚴重的自然災害,以及其他相當維護程度的威脅所造成的資源損害,能夠發現安全漏洞和安全相關事件,在系統遭到損害後,能夠迅速恢復所有功能;第五級安全保護能力是在第四級安全的安全保護能力的基礎上,由訪問控制監視器實行訪問驗證,採用形式化技術驗證相應的安全保護能力確實得到實現。
主要功能
入侵檢測:通過對行為、安全日誌、審計資料或其他網路上可以獲得的資訊進行操作,檢測到對系統的闖入或者闖入的企圖[2]。(國標GB/T 18336)
入侵檢測系統的主要功能:
檢測並分析使用者和系統的活動,查詢非法使用者和合法使用者的越權操作;檢查系統配置和漏洞,並提示管理員修補漏洞。(由安全掃描系統完成)、評估系統關鍵資源和資料檔案的完整性;識別已知的攻擊行為;統計分析異常行為;作業系統日誌管理,並識別違反安全策略的使用者活動等;
成功的入侵檢測系統,應該達到的效果:可以使系統管理員時刻了解網路系統(軟體和硬體)的任何變更,能給網路安全策略的制定提供依據;管理配置簡單,使非專業人員非常容易地獲得網路安全。入侵檢測的規模還應根據網路規模、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,能及時作出響應,包括切斷網路連線、記錄事件和報警等。
圖2.1入侵檢測系統結構圖
類別
由於IDS的模型多樣化,IDS的類別也表現出較為複雜的情況,但是當前通常將入侵檢測按照分析方法和資料來源來進行分類[3]。
3.1按照分析方法(檢測方法)
異常檢測模型(Anomaly Detection):首先總結正常操作應該具有的特徵(使用者輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵。
誤用檢測模型(MisuseDetection):收集非正常操作的行為特徵,建立相關的特徵庫,當監測的使用者或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。
3.2按照資料來源
基於主機的IDS:系統獲取資料的依據是系統執行所在的主機,保護的目標也是系統執行所在的主機;檢測的目標主要是主機系統和系統本地使用者。檢測原理是根據主機的審計資料和系統的日誌發現可疑事件,檢測系統可以執行在被檢測的主機或單獨的主機上。
圖3.1基於主機的IDS結構圖
基於網路的IDS:系統獲取的資料是網路傳輸的資料包,保護的是網路的執行;根據網路流量、協議分析、單臺或多臺主機的審計資料檢測入侵。
圖3.2 基於網路的IDS結構圖
探測器由過濾器、網路介面引擎器以及過濾規則決策器構成,探測器的功能是按一定的規則從網路上獲取與安全事件相關的資料包,傳遞給分析引擎器進行安全分析判斷[4]。
分析引擎器將從探測器上接收到的包並結合網路安全資料庫進行分析,把分析的結果傳遞給配置構造器。
配置構造器按分析引擎器的結果構造出探測器所需要的配置規則。
分散式IDS:
傳統的集中式IDS的基本模型是在網路的不同網段放置多個探測器收集當前網路狀態的資訊,然後將這些資訊傳送到中央控制檯進行處理分析。
分散式結構採用了本地主體處理本地事件,中央主體負責整體分析的模式。
3.3 IDS的侷限性
對於大規模的分散式攻擊,中央控制檯的負荷將會超過其處理極限,這種情況會造成大量資訊處理的遺漏,導致漏警率的增高[5]。
多個探測器收集到的資料在網路上的傳輸會在一定程度上增加網路負擔,導致網路系統性能的降低[6]。
由於網路傳輸的時延問題,中央控制檯處理的網路資料包中所包含的資訊只反映了探測器接收到它時網路的狀態,不能實時反映當前網路狀態[7]。
4.五級安全防護能力IDS構建
根據公安部《資訊保安等級保護管理辦法》,五級安全防護能力需要具備四級安全防護的漏洞發現和入侵檢測能力,同時需要由訪問控制監視器實現對訪問的.及時驗證,保證杜絕未授權使用者的非法訪問。
與此同時,如何解決因為網路時延而導致的資料分析的延後,以及解決探測器在網路傳輸中造成的網路負擔,提高網路系統性能的同時保證中央控制檯的高效運轉,是當前IDS需要重點研究的問題。
當前IDS的結構中入侵檢測和資料安全審計是兩個不同的模組,入侵檢測系統將檢測資料提交給安全審計模組,對入侵行為的確認是由安全審計模組進行的[8]。因此在成本可接受的範圍內,如果將審計模組和檢測模組結合,並且將分散式IDS的每一個檢測終端都由一個獨立處理單元來進行基本的檢測,只將較為複雜的資料提交給中央控制檯,這樣即減輕了網路傳輸的壓力,也有利於中央控制檯更加高效運轉。將每一個獨立處理單元命名為一個agent,每個agent的結構如下圖所示:
5.結束語
本文介紹了資訊保安等級的分類依據,在對IDS系統的類別和侷限性進行分析的基礎上,對滿足五級資訊保安防護能力的入侵檢測系統進行了基本構建,探討通過對分散式IDS終端處理單元的結構和防範策略進行調整,研究對IDS存在主要問題的處理策略。
參考文獻:
[1] 高永強,羅世澤.網路安全技術與應用大典[M].北京:人民郵電出版社,2003:15-16.
[2] 盛思源,戰守義,石耀斌.基於資料探勘的入侵檢測系統[J].計算機工程,2003,28(3).
[3] 胡振昌.網路入侵檢測原理與技術[M].北京:北京理工大學出版社,2006
[4] 唐正軍,李建華.入侵檢測技術[M].北京:清華大學出版,2004.
[5] 程伯良,周洪波,鍾林輝.基於異常與誤用的入侵檢測系統[J].計算機工程與設計.2007,28(14)