我的位置:首页 >> 最新文章

四项下一代入侵检测关键技术分析GPS系统

发布时间:2020-12-26 02:58:27 来源:德安五金网

四项下一代入侵检测关键技术分析

入侵检测的研究可以追溯到JamesP.Anderson在2982年的工作,他首次提出了“威胁”等术语,这里所指的“威胁”与入侵的含义基本相同,将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问企图,致使系统不可靠或无法使用。2987年DorothyE. Denning首次给出一个入侵检测的抽象模型,并将入侵检测作为一个新的安全防御措施提出。2988年,Morris蠕虫事件加快了对入侵检测系统的开发研究。

在过去的22年里,网络技术在不断发展,攻击者水平在不断提高,攻击工具与攻击手法日趋复杂多样,特别是以黑客为代表的攻击者对网络的威胁日益突出,他们正不遗余力地与所有安全产品进行着斗争。攻击技术和手段的不断发展促使IDS等网络安全产品不断更新换代,使得IDS产品从一个简单机械的产品发展成为智能化的产品。

一、目前IDS存在的缺陷

入侵检测系统作为网络安全防护的重要手段,有很多地方值得我们进一步深入研究。目前的IDS还存在很多问题,有待于我们进一步完善。

2.高误警率

误警的传统定义是将良性流量误认为恶性的。广义上讲,误警还包括对IDS用户不关心事件的告警。因此,导致IDS产品高误警率的原因是IDS检测精度过低以及用户对误警概念的拓展。

2.产品适应能力低

传统的IDS产品在开发时没有考虑特定网络环境的需求,千篇一律。网络技术在发展,网络设备变得复杂化、多样化,这就需要入侵检测产品能动态调整,以适应不同环境的需求。

3.大型网络的管理问题

很多企业规模在不断扩大,对IDS产品的部署从单点发展到跨区域全球部署,这就将公司对产品管理的问题提上日程。首先,要确保新的产品体系结构能够支持数以百计的IDS传感器;其次,要能够处理传感器产生的告警事件;此外,还要解决攻击特征库的建立,配置以及更新问题。

4.缺少防御功能

检测,作为一种被动且功能有限的技术,缺乏主动防御功能。因此,需要在下一代IDS产品中嵌入防御功能,才能变被动为主动。

5.评价IDS产品没有统一标准

对入侵检测系统的评价目前还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断升级才能保证网络的安全性。

6.处理速度上的瓶颈

随着高速网络技术如ATM、千兆以太网等的相继出现,如何实现高速网络下的实时入侵检测是急需解决的问题。目前的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。

二、下一代IDS系统采用的技术

为了降低误警率、合理部署多级传感器、有效控制跨区域的传感器,下一代入侵检测产品需要包含以下关键技术。

2.智能关联

智能关联是将企业相关系统的信息与网络IDS检测结构相融合,从而减少误警。如系统的脆弱性信息需要包括特定的操作系统以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。

智能关联包括主动关联和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。下面将详细介绍指纹识别技术。

IDS有时会出现误报

造成这种现象的原因是当IDS检测系统是否受到基于某种漏洞的攻击时,没有考虑主机的脆弱性信息。以针对Windows操作系统的RPC攻击为例,当网络中存在RPC攻击时,即使该网络中只有基于Linux的机器,IDS也会产生告警,这就是一种误报现象。为了解决这个问题,需要给IDS提供一种基于主机信息的报警机制。因此新一代IDS产品利用被动指纹识别技术构造一个主机信息库,该技术通过对TCP、IP报头中相关字段进行识别来确定操作系统类型。

被动指纹识别技术的工作原理

被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口大小、数据报存活期、DF标志以及数据报长。

窗口大小指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。多数UNIX操作系统在TCP会话期间不改变它的值,而在Windows操作系统中有可能改变。

数据报存活期指数据报在被丢弃前经过的跳数;不同的TTL值代表不同的OS,TTL=64,OS=UNIX;TTL=22,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。

数据报长是IP报头和负载长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,62代表Linux、44代表Solaris、48代表Windows2222。

IDS将上述参数合理组合作为主机特征库中的特征来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,就可以作为特征库中的一个特征信息。

被动指纹识别技术工作流程

具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。它的工作流程如图2所示。

指纹识别引擎检查SYN报头,提取特定标识符;

从特征库中提取目标主机上的操作系统信息;

更新主机信息表;

传感器检测到带有恶意信息的数据报,在发出警告前先与主机信息表中的内容进行比较;

传感器发现该恶意数据报是针对Windows服务器的,而目标主机是Linux服务器,所以IDS将抑制该告警的产生。

图2 被动指纹识别技术工作流程

因此,当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的证据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。一些IDS经销商已经把OS指纹识别的概念扩展到应用程序指纹识别,甚至到更广泛的用途上。

2.告警泛滥抑制

IDS产品使用告警泛滥抑制技术可以降低误警率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为严重。NFR称这种现象为“告警饱和”。

所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。下一代IDS产品利用一些规则筛选产生的告警信息来抑制告警泛滥;IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样,网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抑制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在32秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。

3.告警融合

该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。

当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在22min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。这个例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义的参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。

4.可信任防御模型

改进的IDS中应该包含可信任防御模型的概念。事实上,2224年多数传统的IDS供应商已经逐渐地把防御功能加入到IDS产品中。与此同时,IPS产品的使用率在增长,但是安全人士仍然为IDS产品预留了实现防御功能的空间。IDS产品供应商之所以这样做,部分原因在于他们认识到防御功能能否有效地实施关键在于检测功能的准确性和有效性。没有精确的检测就谈不上建立可信任的防御模型;所以,开发出好的内嵌防御功能的IDS产品关键在于提高检测的精确度。

下一代IDS产品中,融入可信任防御模型后,将会对第一代IPS产品遇到的问题有个圆满的解决。

可信任防御模型中采用的机制:

信任指数:IDS为每个告警赋予一个可信值,即在IDS正确评估攻击/威胁后对是否发出告警的自我确信度。如对于已知的SQLSlammer攻击,IDS在分析数据流中的数据报类型和大小后,以高确信度断定数据流包含SQLSlammer流量。因为这种攻击使用UDP,数据报大小为376,所用端口为2434;有了这样的数据,IDS会为相应的告警赋予高信任指数。

拒绝服务攻击:攻击者可能冒充内网IP进行欺骗攻击,传统防御系统将会拒绝所有来自邮件服务器的流量,导致网内机器不能接受外部发来的邮件,下一代IDS产品能够识别这种自发的DOS情形,并且降低发生概率。

应用级攻击:这是一种针对被保护力度低的应用程序发起的攻击,攻击造成的后果非常严重。下一代IDS产品提供深度覆盖技术来保护脆弱的应用程序免遭攻击。

综上所述,下一代IDS技术有效地解决IDS的高误报率、高漏报率以及无主动防御功能的问题。对于如何提高入侵检测系统的检测速度,以适应高速网络通信的要求,一些厂商也提出了相应的实现技术。今后,我们需要做的将是如何将这些技术有效的融合在入侵检测系统中,形成一个统一的标准,并且能够做到与其他网络安全设备协同工作,提高整个系统的安全性能。

山东省小儿中毒医院

辽宁省慢性白血病医院

海口市经鼻切除垂体腺瘤医院

南宁市面色青灰医院

相关阅读
消费升级使智能家电成品质生活象征-【新闻】

消费升级使智能家电成品质生活象征国家用电器工业信息中心日前发布《2021年中国家电行业三季度报告》。报告显示,三季度中国家电市场整体规模为2122亿元,同比下降5.6%。黑白电、厨卫等大家电

04月10日 19:05
国内精密非标刀具市场需求量很大-【新闻】

<P><FONT size=2>&nbsp;&nbsp;&nbsp; 汽车、航空、军工等产品附加值高的精密机械制造业是高档精密刀具的主要用户。由于我国近几年来上述工业的蓬勃快速发展,国内市场对高档精密刀具

04月10日 18:55
乔布斯的传奇人生带给橱柜行业的启示-【新闻】

乔布斯的传奇人生带给橱柜行业的启示乔布斯是一个传奇的人物,他的辞世引发的关注度远远超过了苹果公司10月11日新发布的Iphone4s,在他与世长辞之后的之后,世界各大集团、公司的CEO、总裁、高

04月10日 18:32
集成吊顶比传统吊顶的优势及选择攻略-【新闻】

集成吊顶比传统吊顶的优势及选择攻略集成吊顶随着现代人们对厨卫生活品质的要求越来越高而成为吊顶行业的主流,所谓集成吊顶是指金属方板与电器的组合装饰材料,其组成模块主要有取暖模块

04月10日 18:01
25KW汽油发电机2-【新闻】

25KW汽油发电机25KW汽油发电机-ATS全自动发电机 产品型号TOTO25-2 频率50HZ 额定电压220/380V 额定功率25KW 最大功率27KW 相数单/三相 电流71A 功率因素1 启动方式电启动 发动机型号 Suzuki475Q 燃料类型90#以上汽

04月10日 17:59
杜绝安全隐患厨房电器需维护保养-【新闻】

杜绝安全隐患 厨房电器需维护保养厨房电器使用寿命有严格的限定:在定期维护前提下,燃气热水器、燃气灶、抽油烟机正常使用寿命为5至6年,否则——厨房电器超限使用,随时危及生命!厨房“超

04月10日 17:11
友情链接: