网络入侵检测防御技术综述

    目前网络安全领域面临着严重的向题。一方面当今社会对网络的依翰性日益增加，而另一方面网络入侵和攻击事件发生的次数也急剧增长。这两个方面相互影响，前者使得网络的结构，协议及应用日渐复杂，同时也造成社会对网络安全问题的可容忍程度逐步降低。对干某些行业来说，网络出现故障可能不再是一个小的事故，而是一场灾难；为了保障网络安全，各种网络入侵检测和防御技术应运而生。本文就目前各种网络入侵检测和防御技术进行综合性描述，指出它们各自的优点及缺点，并探讨和研究了网络入侵检测防御技术未来的发展趋势。本文的安排如下:本文的第一部分将主要讨论目前网络入侵检测Intrusion Detection Systems(IDS)及其关键技术。文中第三部分将讨论入侵防御技术的发展趋势:基于时间线的入侵防御系统。第三部分是本文的总结。

1入侵检测系统

1.1入侵检测系统的由来及发展过程
    在 IDS 尚未出现时，网络安全管理人员主要依靠人工阅读网络日志来分析是否有网络入侵事件的发生。随着网络的发展，FBI/CSI的统计数字表明入侵和攻击的模式发生了变化。在2003年，70%的攻击主要来自于外部网络，另30% 的攻击来自于内部。从而促使网络安全领域对网络入侵检测技术进行研究，并提出了IDS。由干硬件发展的飞速发展，使得IDS对网络通讯可以进行实时检测和实时报等，形成目前的IDS模式。

1.2入俊检测系统的关键技术
    1.2.1 基于行为的入侵检测技术
    基于行为的入侵检测技术主要依靠统计的方法来实现对入侵行为的检测。它通过统计网络的日常行为建立一个模型，该模型由各项表示正常行为的统计数字组成。例如:在某一段时间内登录某台主机失败次数。在很短时间内重复发生登录某台主机口令出错的次数等。符合这个模型的网络行为即视为正常，不符合的即视为入侵行为。
    这种入侵检测检测技术的缺点主要在于模型的建立非常困难。建立模型需要花费一定的时间，而且该入侵检测技术会造成误报等。为解决误报警问题，需要根据网络的实际使用情况对各种设定的统计值进行不断的调节。
    基于行为的入侵检测技术的优点在干它可以检测到当前不为人知的入侵攻击方法。

    1.2.2 基于知识的入侵检测技术
    基于知识的入侵检测技术主要通过应用已有的知识对入侵行为的标志进行识别，从而判断网络中是否有入侵行为的发生川。这些标志主要包括:对一个敏感主机的登录失败次数；对一个数据的一些标志位的设置是否符合RFC标准:以及数据包的内容是否与某个已知攻击方法的特征代码相符合等。
    基于知识的入侵检侧技术具有较高的准确度，但是它的缺点就是在于对系统的性能要求高，而且只能检测到目前已知的攻击方法，对于未知的攻击方法没有检测能力。

    1.2.3 基于其它方法的入侵检测技术
    基于其它方法的入侵检测技术主要有:利用专家系统进行入侵检测，其主要是将有关的入侵知识组织成知识库，再利用推理引擎进行检测。但是这种技术主要缺点在于知识的组织困难。利用数据挖掘进行入侵检测，数据挖掘是数据库的一项技术，它的作用从大型数据库中抽取知识，这和分析日志的行为相近。通过数据挖掘程序搜集到审计数据，为各种入侵行为和正常操作建立精确的行为模式。
    除专家系统、数据挖掘技术之外，还有神经网络，模糊系统，遗传算法等。但是这些方法都有一定的缺点。

2基于时间线的入侵防御系统

    网络安全领域人员经过研究后发现，目前任一种安全技术都不可能实现真正意义上的网络。据此他们提出了下一代入侵防御系统的发展方向:即基于时间线的入侵防御系统。
    时间线是在时间次序上对网络入侵行为进行分析的工具。它分为三个部分:入侵前期、入侵时间零点和入侵后处理，各个部分又分成若干子部分。基于时间线的入侵防御研究是通过对各种网络安全技术分析，分析上它们在时间线上所处的位置，从而从宏观把握各项安全技术的作用范围及相互之间的关系。
    根据时间线的三个部分，对各项安全技术划分成三个部分:第一部分是针对入侵前期，这类技术主要分为三个类，一类是安全规章制度，安全策略的配置等，第二类是对网络进行当前已知的各项漏洞进行检测，第三类是通过专人对网络进行实际的入侵检测厂这部分的技术的主要目的是预先评估和增强网络的安全性，减少被入侵的可能性。第二部分是针对入侵时间零点，这部分的安全技术要针对的是正在进行的入侵活动，它又分成二类。第一类是诸如防火墙的访问控制技术和本文以上所介绍的IDS和IPS系统。它们是在当入侵活动发生时，及时检测和阻止入侵活动。第三部分即是入侵后处理技术，这一部分有安全事件管理系统和安全信息管理技术，以及对入侵造成的破坏的恢复技术。
    通过对时间线分析，可以发现，当前的各项安全技术在时间线大都是离散的，也即它们在时间线上的作用范围有限。通过对IDS，IPS的系统性能的分析不难发现，入侵行为的检测的难点在于IDS/IPS系统可利用的信息太少，从而造成IDS，IPS对入侵行为的漏报和误报。
    针对这种情况，研究人员提出新一代的入侵防御技术:基于时间线的入侵防御技术。它主要的目的就是将目前在时间线上离散的各项安全技术综合起来，实现一种新的安全系统，该系统使用的安全技术在时间线上的作用范围是连续的，也即其中每项安全技术具有对其它安全技术的反馈作用。它主要具有以下特点:入侵前期的各项技术如安全策略配置等，可以利用它们的信息对入侵零点检测技术如IDS/IPS 系统进行配置，从而提高这类技术对入侵行为检测的准确度。而且该配置过程可以实现连续和自动化。
    同样这类的安全评估信息也可以用子入侵后处理技术，如SIM/邻M，可以增加它们对事件关联性的分析能力。
    入侵后处理技术如SIM/SEM，它们产生的信息可以自动应用到IDS.IPS系统中，增强它们对新的入侵方法的反应能力。并可以实现对入侵前期技术如安全策略配置等技术中，实现对策略的更新。
    对于诸如访问控制技术之类较为单纯的安全技术可以利用其它技术的信息来进一步提高它的性能。

3结语

    通过对以上本文对入侵检测技术的综述，可以看出网络入侵防御技术目前的主流和它未来的发展趋势。目前的各项安全技术都存在一些缺点，之所以会存在这样的情况，除了网络的结构，协议和应用非常复杂之外，各项安全技术没有实现信息共享，从而造成各项技术在分析入侵行为以及预防和阻止入侵行为时缺乏充分的信息支持。正如在Sourcefire文中所说，提高IDS/IPS检测能力的唯一可行途径是提供给它们更多的信息。时间线概念的提出，从宏观角度分析了各项安全技术对于入侵时间的作用范围。Sourcefire文中提出了基于时间线对各项安全技术进行整合，使得它们可以共享彼此的信息，从而提高整个安全系统的性能。可见对各项安全技术的整合，实现它们之间共享彼此信息将是下一代安全系统和安全技术的发展主流方向。