一、開展入侵檢測技術(shù)研究的緊迫性
所有的安全威脅都有可能以攻擊、侵入、滲透、影響、控制和破壞網(wǎng)絡(luò)和網(wǎng)上信息系統(tǒng)作為重要手段。因此,對來自網(wǎng)上的破壞活動的監(jiān)控與審計,是防范的先決條件,是構(gòu)筑信息安全環(huán)境重要而必不可少的環(huán)節(jié)。
國外早已開展了早期預(yù)警系統(tǒng)及入侵檢測技術(shù)的研究,在一些重要的政治、軍事和經(jīng)濟網(wǎng)絡(luò)上對非法入侵實施監(jiān)控。這些系統(tǒng)在保障信息網(wǎng)絡(luò)安全、盡早發(fā)現(xiàn)入侵攻擊跡象、分析入侵攻擊的技術(shù)手段方面發(fā)揮著重要的作用。為了提高信息系統(tǒng)的防護能力,我國應(yīng)盡快填補這方面的空白。
二、多樣化的檢測對象
網(wǎng)絡(luò)入侵活動是由不同類型的個人或組織,懷著不同的目的,采用不同的技術(shù),于不同的地點和時間,針對不同的目標而發(fā)動的。諸多的不同及其不同的組合,構(gòu)成了檢測對象的多樣性。
入侵檢測與預(yù)警技術(shù)的研究,至少要達成如下多層次的目標:
1. 對信息基礎(chǔ)設(shè)施的安全狀況及威脅(包括威脅的來源和程度)做出全面的系統(tǒng)評估。
2. 把威脅的來源作為對象,按時間順序、動作意圖、威脅范圍和程度,進行統(tǒng)計、分析及審計。
3. 對來自外部網(wǎng)絡(luò)的惡意代碼和違規(guī)操作進行識別、跟蹤、記錄、分類和報警。
4. 為遭到破壞的網(wǎng)絡(luò)及信息系統(tǒng)的恢復(fù)提供技術(shù)性支持。
三、預(yù)警的復(fù)雜性
由于網(wǎng)絡(luò)的危害行為是一系列很復(fù)雜的活動,特別是有預(yù)謀、有組織的網(wǎng)絡(luò)入侵,因而有效的預(yù)警在技術(shù)實現(xiàn)上比較復(fù)雜并有一定的難度。
預(yù)警的復(fù)雜性表現(xiàn)在:
* 來源的識別;
* 企圖的判定;
* 危害程度和潛在能力的判斷;
* 網(wǎng)絡(luò)技術(shù)的跟蹤;
* 軟件設(shè)計;
* 硬件的適應(yīng)性。
根據(jù)我們的研究,以下三方面是亟待解決的問題。
1.入侵技術(shù)在不斷發(fā)展
網(wǎng)絡(luò)預(yù)警技術(shù)以網(wǎng)絡(luò)攻擊技術(shù)研究為依托,通過跟蹤入侵技術(shù)的發(fā)展,增強入侵檢測能力。入侵方法涉及到操作系統(tǒng)方方面面的漏洞,如系統(tǒng)設(shè)計缺陷、編碼缺陷、系統(tǒng)配置缺陷、運行管理缺陷,甚至系統(tǒng)中預(yù)留的后門等。在Internet上有大量的黑客站點,發(fā)布大量系統(tǒng)漏洞資料和探討攻擊方法。全世界的黑客都可以利用這些共享資源來進行攻擊方法的研究與傳播,使得新的攻擊方法能夠以最快的速度成為現(xiàn)實的入侵武器。更為令人擔(dān)憂的是有組織的活動,國外已將信息戰(zhàn)手段同核武器、生化武器并列在一起,作為戰(zhàn)略威懾加以討論,破壞者所具備的能力,對我們而言仍是一個很大的未知數(shù)。
入侵技術(shù)的發(fā)展給預(yù)警造成了很大的困難,特別是對基于入侵模式識別的預(yù)警系統(tǒng)。預(yù)先了解所有可能的入侵方法比較困難,因此一個有效的預(yù)警系統(tǒng)不僅需要識別已知的入侵模式,還要有能力對付未知的入侵模式。網(wǎng)絡(luò)預(yù)警技術(shù)亦步亦趨地緊跟在已識別的入侵模式之后固然能夠大大加強網(wǎng)絡(luò)的安全防范,但這并不是唯一的發(fā)展方向。入侵檢測技術(shù)從監(jiān)測網(wǎng)絡(luò)的異常活動和網(wǎng)絡(luò)的正常活動兩個角度來進行入侵檢測則會更為有效。同時預(yù)警系統(tǒng)應(yīng)有一定的學(xué)習(xí)能力,智能化地校正誤警和漏警,提高預(yù)警的準確性。
2.入侵活動可以具有很大的時間跨度和空間跨度
有預(yù)謀的入侵活動往往有較周密的策劃、試探性和技術(shù)性準備,一個入侵活動的各個步驟有可能在一段相對長的時間跨度和相當(dāng)大的空間跨度之上分別完成,給預(yù)警帶來困難。一個檢測模型總會有一個有限的時間窗口,從而忽略滑出時間窗口的某些事實。同時,檢測模型對于在較大空間范圍內(nèi)發(fā)生的異常現(xiàn)象的綜合、聯(lián)想能力也是有限的。
3.非線性的特征還沒有有效的識別模型
入侵檢測技術(shù)的難度不僅僅在于入侵模式的提取,更在于入侵模式的檢測策略和算法。因為入侵模式是一個靜態(tài)的事物,而現(xiàn)實的入侵活動則是靈活多變的。有效的入侵檢測模型應(yīng)能夠接受足夠大的時間跨度和空間跨度。從技術(shù)上說,入侵技術(shù)已經(jīng)發(fā)展到一定階段,而入侵檢測技術(shù)在理論上、模型上和實踐上還都沒有真正發(fā)展起來。在市場上能夠看得到的入侵檢測系統(tǒng)也都處在同一水平上。我們分析,先進國家重要網(wǎng)絡(luò)上配置的入侵檢測系統(tǒng)應(yīng)不是這一水平的技術(shù),或者他們也在尋求其他更為有效的檢測手段。
面對復(fù)雜的網(wǎng)絡(luò)入侵活動,網(wǎng)絡(luò)預(yù)警技術(shù)的研究不僅僅包括入侵技術(shù)的研究,而且要更重視建立入侵檢測策略和模型的理論研究。
四、預(yù)警研究的主要內(nèi)容
網(wǎng)絡(luò)預(yù)警技術(shù)研究的內(nèi)容主要包括:網(wǎng)絡(luò)入侵技術(shù)研究、檢測模型研究、審計分析策略研究等。通過將這些技術(shù)組合起來,形成一個互動發(fā)展的有機體。
1.入侵技術(shù)研究
入侵技術(shù)研究包括三個部分:
第一,密切跟蹤分析國際上入侵技術(shù)的發(fā)展,不斷獲得最新的攻擊方法。通過分析這些已知的攻擊方法,豐富預(yù)警系統(tǒng)的檢測能力。
第二,加強并利用預(yù)警系統(tǒng)的審計、跟蹤和現(xiàn)場記錄功能,記錄并反饋異常事件實例。通過實例分析提取可疑的網(wǎng)絡(luò)活動特征,擴充系統(tǒng)的檢測范圍,使系統(tǒng)能夠應(yīng)對未知的入侵活動。
第三,利用攻擊技術(shù)的研究成果,創(chuàng)造新的入侵方法,并應(yīng)用于檢測技術(shù)。
2.檢測模型研究
對于預(yù)警系統(tǒng)來說,確定檢測模型是最重要的。由于入侵活動的復(fù)雜性,僅僅依靠了解入侵方法還不能完全實現(xiàn)預(yù)警,還應(yīng)有適當(dāng)?shù)臋z測模型與之配合。在預(yù)警技術(shù)研究中,入侵檢測模型是關(guān)鍵技術(shù)之一。
按入侵檢測的手段來劃分,入侵檢測模型可以分為基于網(wǎng)絡(luò)和基于系統(tǒng)兩種模型。基于網(wǎng)絡(luò)的模型通過實時監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流,來尋找具有網(wǎng)絡(luò)攻擊特征的活動;而基于系統(tǒng)的模型則通過分析系統(tǒng)的審計數(shù)據(jù)來發(fā)現(xiàn)可疑的活動。這兩種模型具有互補性,基于網(wǎng)絡(luò)的模型能夠客觀地反映網(wǎng)絡(luò)活動,特別是能夠監(jiān)視到系統(tǒng)審計的盲區(qū);而基于系統(tǒng)的模型能夠更加精確地監(jiān)視系統(tǒng)中的各種活動。基于網(wǎng)絡(luò)的模型受交換網(wǎng)的限制,而基于系統(tǒng)的模型不受交換網(wǎng)的影響。
按入侵檢測的策略來劃分,入侵檢測模型可以分為基于異常特征和基于正常特征兩類模型。異常特征模型建立在已知的入侵模式庫基礎(chǔ)上,正常特征模型則建立在系統(tǒng)正常工作模式基礎(chǔ)上。后一類模型包括兩個方面:一是為用戶和系統(tǒng)建立正常行為特征,二是觀察實際的系統(tǒng)和用戶活動與所建立的正常行為是否存在差異。
同樣,這兩類模型也具有互補性。異常特征模型能夠精確地檢測已知的入侵活動,誤警率低;而對于一個確定的應(yīng)用環(huán)境,正常特征模型會擁有一個比較精確的系統(tǒng)正常工作模式,從而發(fā)現(xiàn)一切偏離正常模式的活動,包括一些未知的入侵活動。
3.審計分析策略研究
預(yù)警技術(shù)研究的另一個重點是對審計數(shù)據(jù)的分析處理,其中包括威脅來源的識別、企圖的判定、危害程度和能力的判斷等。預(yù)警所產(chǎn)生的審計數(shù)據(jù)是檢測與預(yù)警的寶貴資源。這些審計數(shù)據(jù)量可能很大,如果缺乏有效的分析手段,將會浪費這一資源。
21世紀的信息基礎(chǔ)設(shè)施是社會各種活動的基礎(chǔ)舞臺,在可以預(yù)見的時間內(nèi),完全杜絕針對信息基礎(chǔ)設(shè)施的不良行為是不可能的。強化管理加上必要的技術(shù)手段是解決問題的途徑之一。
責(zé)任編輯 趙毅 zhaoyi#51cto.com TEL:(010)68476636-8001
