第三章 基于行为检测的信任度评估技术

3. 1网络行为检测技术

 

    本章所讨论的网络操作行为是指在网络技术层面上表现的行为，包括正常行为和人侵行为。其中人侵行为是指诸如非法访问、日令猜测、nos攻击和木马攻击等危害网络安全的行为，这些行为与交易相关并可能破坏交易公平性或者危害网络安全。目前利用网络存在的安全脆弱性，黑客钊对网络系统的人侵攻击事件越来越频繁地出现。无疑，网络主体实施危.卜性网络操作行为，将对其信任度产生较为严重的破坏性影响。我们知道.交易反馈信息是普通用户容易知道的，但网络攻击行为却不容易发现，需要借助人侵检测和安全审计等一些特殊的网络行为检测技术手段来识别。

 

    目前网络行为检测主要通过人侵检测技术实现，人侵检测作为一种动态的安全防范技术，能实时发现和识别各种违反安全策略的网络行为，并能做出记录、报警和阻断等响应，提供了一种比较积极主动的网络安全防御手段。下面概要地介绍人侵检测技术的一般知识.包括人侵检测的基本概念、人侵检测系统的功能结构、人侵检测系统的分类和人侵检测的分析方法。

 

3.1.1  入侵检测的基本概念

 

    人侵(intrusion)指的是任何企图破坏计算机资源的保密性、完整性、可用性和可信度的活动。人侵活动包括非授权用户试图存取数据、处理数据或者妨碍计算机系统正常运行的行为，以及授权用户滥用权力的行为。

 

    所谓人侵检测(intrusion detection)，就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。

 

    进行人侵检测的软件与硬件的组合就是人侵检测系统(Intrusion Detection System,IDS )。对于一个成功的人侵检测系统来讲，它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更，还能给网络安全策略的制订提供指南。而且.它应该管理、配置简单，从而使非专业人员也非常容易地获得网络安全。另外，人侵检测的规模还应根据网络威胁、系统配置和安全需求的改变而改变。人侵检测系统在发现人侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

 

3.1.2入侵检测系统的功能结构

 

    一个典型的IDS从功能上可以分为3个组成部分:传感器(sensor)、分析器(analyzer)和管理器(manager)，如图3.1所示。

 

 

图3.1 IDS的功能结构

 

    其中，传感器负责收集原始数据，包括任何口f能包含人侵行为线索的数据，比如网络数据包、日志文件和系统调用的记录等。传感器将这些数据收集起来.然后发送到分析器进行处理。

 

    分析器又称为检测引擎，它负责从一个或多个传感器处接收信息，并通过分析确定是否发生了非法人侵活动。分析器的输出为标识人侵行为是否发生的指不信号，例如一个警告信号。该指不信号中还可能包括相关的证据信息。另外，分析器还能够提供可能采取的对策的相关信息。

    管理器通常也称为用户控制台，它以一种可视的方式向用户提供收集到的各种数据及相应的分析结果。用户可以通过管理器对InS进行配置，设定各种系统参数，从而对人侵行为检测及相应对策进行管理。

 

    另外，国际上一个致力于人侵检测系统标准化工作的组织(Common  IntrusionDetection Framework,CIDF)阐述了一个人侵检测系统的通用模型，它将一个人侵检测系统分为以下组件:

 

(1)事件生成器(Event Generators，简称为E-box)。

 

(2)事件分析器(Event Analyzers，.简称为A-box)。

 

(3)事件数据库(Event Database，简称为D-box)。

 

(4)响应单元(Response Unit，简称为R-box)。

 

    CIDF将人侵检测系统需要分析的数据统称为事件(event)，它口f以是基于网络的人侵检测系统中网络中的数据包，也可以是基于主机的人

 

侵检测系统从系统日志等其他途径得到的信息。CIDF对于各部件之间的信息传递格式、通信方法和标准API进行了标准化。

 

    按照CIDF的规定，上述2种InS组件使用gidos ( generalized intrusion  detection objects)来交换数据，gido、在CIDF工作组的CISL ( Common  Intrusion  SpecificationLanguage)文档中定义。一个gido、有以下几种作用:记录某个时间发生的某个事件;根据某些事件得出的汇总报告;提供一个执行某个动作的指令。

 

    事件生成器从IDS监控的计算机环境中获得数据，并把它们转化为CIDF gido、格式。事件生成器处理的数据可以从审计记录中得来，也可以来自网络通信信息或者来自SQI数据库中生成的事务信息。事件生成器在事件发生后尽量快地提供该事件的报告。事件分析器接收其他组件发送的gidos.对其进行分析并返回新的gidos(一般是事件的综合信息)。例如，事件分析器可以是一个统计比较工具，或者是一个特征检查工具.或者是一个事件汇总工具。事件数据库主要用于存储事件，它也可以存放其他各种中间的和最终的数据。响应单兀接收其他单元递交的gido、并执行它们规定的动作，动作包括中止进程、连接复位和改变文件允许值等。