一、開展入侵檢測技術研究的緊迫性
所有的安全威脅都有可能以攻擊、侵入、滲透、影響、控制和破壞網絡和網上信息系統作為重要手段。因此,對來自網上的破壞活動的監控與審計,是防范的先決條件,是構筑信息安全環境重要而必不可少的環節。
國外早已開展了早期預警系統及入侵檢測技術的研究,在一些重要的政治、軍事和經濟網絡上對非法入侵實施監控。這些系統在保障信息網絡安全、盡早發現入侵攻擊跡象、分析入侵攻擊的技術手段方面發揮著重要的作用。為了提高信息系統的防護能力,我國應盡快填補這方面的空白。
二、多樣化的檢測對象
網絡入侵活動是由不同類型的個人或組織,懷著不同的目的,采用不同的技術,于不同的地點和時間,針對不同的目標而發動的。諸多的不同及其不同的組合,構成了檢測對象的多樣性。
入侵檢測與預警技術的研究,至少要達成如下多層次的目標:
1. 對信息基礎設施的安全狀況及威脅(包括威脅的來源和程度)做出全面的系統評估。
2. 把威脅的來源作為對象,按時間順序、動作意圖、威脅范圍和程度,進行統計、分析及審計。
3. 對來自外部網絡的惡意代碼和違規操作進行識別、跟蹤、記錄、分類和報警。
4. 為遭到破壞的網絡及信息系統的恢復提供技術性支持。
三、預警的復雜性
由于網絡的危害行為是一系列很復雜的活動,特別是有預謀、有組織的網絡入侵,因而有效的預警在技術實現上比較復雜并有一定的難度。
預警的復雜性表現在:
* 來源的識別;
* 企圖的判定;
* 危害程度和潛在能力的判斷;
* 網絡技術的跟蹤;
* 軟件設計;
* 硬件的適應性。
根據我們的研究,以下三方面是亟待解決的問題。
1.入侵技術在不斷發展
網絡預警技術以網絡攻擊技術研究為依托,通過跟蹤入侵技術的發展,增強入侵檢測能力。入侵方法涉及到操作系統方方面面的漏洞,如系統設計缺陷、編碼缺陷、系統配置缺陷、運行管理缺陷,甚至系統中預留的后門等。在Internet上有大量的黑客站點,發布大量系統漏洞資料和探討攻擊方法。全世界的黑客都可以利用這些共享資源來進行攻擊方法的研究與傳播,使得新的攻擊方法能夠以最快的速度成為現實的入侵武器。更為令人擔憂的是有組織的活動,國外已將信息戰手段同核武器、生化武器并列在一起,作為戰略威懾加以討論,破壞者所具備的能力,對我們而言仍是一個很大的未知數。
入侵技術的發展給預警造成了很大的困難,特別是對基于入侵模式識別的預警系統。預先了解所有可能的入侵方法比較困難,因此一個有效的預警系統不僅需要識別已知的入侵模式,還要有能力對付未知的入侵模式。網絡預警技術亦步亦趨地緊跟在已識別的入侵模式之后固然能夠大大加強網絡的安全防范,但這并不是唯一的發展方向。入侵檢測技術從監測網絡的異常活動和網絡的正常活動兩個角度來進行入侵檢測則會更為有效。同時預警系統應有一定的學習能力,智能化地校正誤警和漏警,提高預警的準確性。
2.入侵活動可以具有很大的時間跨度和空間跨度
有預謀的入侵活動往往有較周密的策劃、試探性和技術性準備,一個入侵活動的各個步驟有可能在一段相對長的時間跨度和相當大的空間跨度之上分別完成,給預警帶來困難。一個檢測模型總會有一個有限的時間窗口,從而忽略滑出時間窗口的某些事實。同時,檢測模型對于在較大空間范圍內發生的異常現象的綜合、聯想能力也是有限的。
3.非線性的特征還沒有有效的識別模型
入侵檢測技術的難度不僅僅在于入侵模式的提取,更在于入侵模式的檢測策略和算法。因為入侵模式是一個靜態的事物,而現實的入侵活動則是靈活多變的。有效的入侵檢測模型應能夠接受足夠大的時間跨度和空間跨度。從技術上說,入侵技術已經發展到一定階段,而入侵檢測技術在理論上、模型上和實踐上還都沒有真正發展起來。在市場上能夠看得到的入侵檢測系統也都處在同一水平上。我們分析,先進國家重要網絡上配置的入侵檢測系統應不是這一水平的技術,或者他們也在尋求其他更為有效的檢測手段。
面對復雜的網絡入侵活動,網絡預警技術的研究不僅僅包括入侵技術的研究,而且要更重視建立入侵檢測策略和模型的理論研究。
四、預警研究的主要內容
網絡預警技術研究的內容主要包括:網絡入侵技術研究、檢測模型研究、審計分析策略研究等。通過將這些技術組合起來,形成一個互動發展的有機體。
1.入侵技術研究
入侵技術研究包括三個部分:
第一,密切跟蹤分析國際上入侵技術的發展,不斷獲得最新的攻擊方法。通過分析這些已知的攻擊方法,豐富預警系統的檢測能力。
第二,加強并利用預警系統的審計、跟蹤和現場記錄功能,記錄并反饋異常事件實例。通過實例分析提取可疑的網絡活動特征,擴充系統的檢測范圍,使系統能夠應對未知的入侵活動。
第三,利用攻擊技術的研究成果,創造新的入侵方法,并應用于檢測技術。
2.檢測模型研究
對于預警系統來說,確定檢測模型是最重要的。由于入侵活動的復雜性,僅僅依靠了解入侵方法還不能完全實現預警,還應有適當的檢測模型與之配合。在預警技術研究中,入侵檢測模型是關鍵技術之一。
按入侵檢測的手段來劃分,入侵檢測模型可以分為基于網絡和基于系統兩種模型。基于網絡的模型通過實時監視網絡上的數據流,來尋找具有網絡攻擊特征的活動;而基于系統的模型則通過分析系統的審計數據來發現可疑的活動。這兩種模型具有互補性,基于網絡的模型能夠客觀地反映網絡活動,特別是能夠監視到系統審計的盲區;而基于系統的模型能夠更加精確地監視系統中的各種活動。基于網絡的模型受交換網的限制,而基于系統的模型不受交換網的影響。
按入侵檢測的策略來劃分,入侵檢測模型可以分為基于異常特征和基于正常特征兩類模型。異常特征模型建立在已知的入侵模式庫基礎上,正常特征模型則建立在系統正常工作模式基礎上。后一類模型包括兩個方面:一是為用戶和系統建立正常行為特征,二是觀察實際的系統和用戶活動與所建立的正常行為是否存在差異。
同樣,這兩類模型也具有互補性。異常特征模型能夠精確地檢測已知的入侵活動,誤警率低;而對于一個確定的應用環境,正常特征模型會擁有一個比較精確的系統正常工作模式,從而發現一切偏離正常模式的活動,包括一些未知的入侵活動。
3.審計分析策略研究
預警技術研究的另一個重點是對審計數據的分析處理,其中包括威脅來源的識別、企圖的判定、危害程度和能力的判斷等。預警所產生的審計數據是檢測與預警的寶貴資源。這些審計數據量可能很大,如果缺乏有效的分析手段,將會浪費這一資源。
21世紀的信息基礎設施是社會各種活動的基礎舞臺,在可以預見的時間內,完全杜絕針對信息基礎設施的不良行為是不可能的。強化管理加上必要的技術手段是解決問題的途徑之一。
責任編輯 趙毅 zhaoyi#51cto.com TEL:(010)68476636-8001
