二�����、入侵檢測
(一)���、入侵檢測概述
入侵檢測(Intrusi0n Detection)����,顧名思義��,就是對入侵行為的發(fā)覺��。他通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析��。從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象��。
入侵檢測可以作為防火墻后的第二道防護(hù)措施����,通過對網(wǎng)絡(luò)狀況的實(shí)時監(jiān)聽,從而能夠與對于內(nèi)部攻擊��,誤操作���,外部攻擊等進(jìn)行防護(hù)�����,從而大大提高網(wǎng)絡(luò)的安全性����。具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞��、評估敏感系統(tǒng)和數(shù)據(jù)的完整性�、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計(jì)����、自動地收集和系統(tǒng)相關(guān)的補(bǔ)丁�����、進(jìn)行審計(jì)跟蹤識別違反安全法規(guī)的行為�����、使用誘騙服務(wù)器記錄黑客行為等功能����,在不影響網(wǎng)絡(luò)性能的前提下���,使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)���、評估自己的系統(tǒng)�����。
入侵檢測的實(shí)現(xiàn)方法有如下幾種:
1.基于日志和審計(jì)數(shù)據(jù)的入侵檢測
針對單一的主機(jī)����,可以使用對于主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的運(yùn)行日志來發(fā)現(xiàn)攻擊的發(fā)生����。檢測系統(tǒng)一般建立于待檢測的主機(jī)上,這種檢測方式必須保證審計(jì)數(shù)據(jù)和運(yùn)行日志是安全并且可靠的���。并且更加攻擊方式和審計(jì)數(shù)據(jù)和日志的組織方式定義規(guī)則��。
由于日志是系統(tǒng)運(yùn)行時自動產(chǎn)生以紀(jì)錄系統(tǒng)運(yùn)行狀態(tài)的文檔����,因此系統(tǒng)管理員往往可以通過分析日志得出系統(tǒng)發(fā)生了什么。然而在系統(tǒng)的高速運(yùn)行下��,日志的紀(jì)錄數(shù)目屬于高速增長中����,海量的日志紀(jì)錄使得管理員無法有效的分析日志,而標(biāo)準(zhǔn)的日志功能并不能自動檢查過濾日志以提供給管理員需要的信息���。而基于審計(jì)數(shù)據(jù)和日志的入侵檢測系統(tǒng)則可以自動分析即時增長的數(shù)據(jù)并提供給管理員分析的結(jié)果���,通過系統(tǒng)自動處理或者管理員手動處理以阻止非法攻擊。
這種方式的弱點(diǎn)也是顯而易見的����。
1)攻擊者可以試圖獲取到更高的權(quán)限來控制改變審計(jì)數(shù)據(jù)和運(yùn)行日志
2)不能通過檢測審計(jì)數(shù)據(jù)和運(yùn)行日志得出網(wǎng)絡(luò)欺騙攻擊。
因此我們認(rèn)為基于日志的入侵檢測不是一個安全系數(shù)高的自動防御方案�����,其適用于一般的服務(wù)器安全防護(hù)以及作為服務(wù)器管理員分析服務(wù)器運(yùn)行情況的補(bǔ)充����。
2.基于網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)聽的入侵檢測
這種人侵檢測是指分布于網(wǎng)絡(luò)線路上����,被動的無聲息的接受其所需要的報(bào)文�,對所收集來的報(bào)文�,入侵檢測系統(tǒng)根據(jù)提取的特征值和對應(yīng)的規(guī)則庫,根據(jù)智能匹配方法判斷報(bào)文是否反映了某種入侵行為���,然后決定是否進(jìn)行報(bào)警或者適當(dāng)?shù)姆佬l(wèi)或者反擊�����。
由于入侵檢測系統(tǒng)需要分布在網(wǎng)絡(luò)環(huán)境中進(jìn)行監(jiān)聽���,因此可以有兩種方式接入到被保護(hù)的網(wǎng)絡(luò)中。
1)將入侵檢測系統(tǒng)分布配置在網(wǎng)絡(luò)中的每一個單機(jī)節(jié)點(diǎn)中��,通過檢測每個單機(jī)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流�。并進(jìn)行匯總判斷以檢測整個網(wǎng)絡(luò)上的異常現(xiàn)象�����。
2)以分布式檢測網(wǎng)絡(luò)的形式將各入侵檢測系統(tǒng)分布式布設(shè)在受保護(hù)網(wǎng)絡(luò)的各被保護(hù)網(wǎng)段的網(wǎng)關(guān)處����,通過對網(wǎng)關(guān)數(shù)據(jù)報(bào)的分析得出整個網(wǎng)絡(luò)的狀況��。用于檢測整個單一網(wǎng)絡(luò)上的異�����,F(xiàn)象�����。
通過對網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行監(jiān)聽以檢測攻擊���,這種方式的核心就在于數(shù)據(jù)包的截獲和分析。入侵檢測系統(tǒng)通過截取網(wǎng)絡(luò)流中的數(shù)據(jù)包��,得到網(wǎng)絡(luò)中系統(tǒng)的運(yùn)行信息����,用戶信息,和操作信息等等�。然后根據(jù)設(shè)定好的規(guī)則進(jìn)行分析。但是基于網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)聽的入侵檢測都面臨著一個問題���。由于數(shù)據(jù)包需要經(jīng)過入侵檢測系統(tǒng)的過濾,因此入侵檢測系統(tǒng)的效率直接對網(wǎng)絡(luò)產(chǎn)生影響 特別是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展��,現(xiàn)在網(wǎng)絡(luò)中的通行流量已經(jīng)越來越大。入侵檢測系統(tǒng)必須有效率的處理1000M 甚至更大的數(shù)據(jù)流并且不會對網(wǎng)絡(luò)通信造成明顯影響�。
(二)、基于大流量網(wǎng)絡(luò)的入侵檢測方案
經(jīng)過調(diào)查���。在網(wǎng)絡(luò)運(yùn)行中網(wǎng)絡(luò)數(shù)據(jù)流往往是波動的��,在一個較長的時間段內(nèi)����,數(shù)據(jù)量的大小是變化的����,網(wǎng)絡(luò)中不會時時刻刻都存在大數(shù)據(jù)量的流動。而由于網(wǎng)絡(luò)通信往往是基于交互的���,通信的雙方一般都要經(jīng)歷一次的發(fā)送接收的過程�����,因此本文基于以上現(xiàn)狀提出一種延遲異步的數(shù)據(jù)量處理方案以緩解大數(shù)據(jù)流對于入侵檢測系統(tǒng)的壓力����。
1.對于第一次通過數(shù)據(jù)檢查系統(tǒng)的數(shù)據(jù)包�����,入侵檢測系統(tǒng)為這個數(shù)據(jù)包標(biāo)記上ID并記錄,然后無論這個數(shù)據(jù)包是否經(jīng)過分析都直接轉(zhuǎn)發(fā)至目標(biāo)計(jì)算機(jī)上�����。
2.入侵檢測系統(tǒng)按照記錄中的順序分析處理數(shù)據(jù)包后將數(shù)據(jù)包的分析結(jié)果根據(jù)其ID記錄至查詢系統(tǒng)���。
3.目標(biāo)計(jì)算機(jī)接收到并準(zhǔn)備處理帶有標(biāo)記ID的數(shù)據(jù)包時�����,根據(jù)其ID向查詢系統(tǒng)詢問其安全性���。如果查詢系統(tǒng)返回安全的提示則執(zhí)行這個數(shù)據(jù)包,如果查詢系統(tǒng)返回攻擊信息則將數(shù)據(jù)包提交給處理系統(tǒng)����,在得不到查詢系統(tǒng)答復(fù)未處理時掛起這個數(shù)據(jù)包操作這種方案的優(yōu)點(diǎn)如下:
1.不會在網(wǎng)絡(luò)繁忙時由于入侵檢測系統(tǒng)的分析處理而導(dǎo)致網(wǎng)絡(luò)延遲甚至堵塞
2.由于網(wǎng)絡(luò)的流量處于波動中,入侵檢測系統(tǒng)可以在流量小的時候處理大流量時為處理完的信息���。而不會造成大流量時不堪重負(fù)�����。小流量時空閑的情況��。提高了系統(tǒng)的效率�。
3.由于網(wǎng)絡(luò)通信的延遲和每個節(jié)點(diǎn)對于數(shù)據(jù)處理順序存在調(diào)度機(jī)制�。數(shù)據(jù)不一定會在節(jié)點(diǎn)接收到的時候就被馬上處理,因此當(dāng)節(jié)點(diǎn)提交查詢的時候��,這個數(shù)據(jù)包往往是已經(jīng)分析完畢的���,因此這種方式對于節(jié)點(diǎn)的數(shù)據(jù)處理影響是比較小的�����。
結(jié)合虛擬化技術(shù)的入侵檢測系統(tǒng)
由于虛擬化技術(shù)模擬了程序的運(yùn)行環(huán)境����,因此完全可以把每個虛擬環(huán)境看成網(wǎng)絡(luò)中的一個節(jié)點(diǎn)�。
(三)、結(jié)合虛擬化的入侵檢測方案
結(jié)合虛擬化可以改進(jìn)之前提出的延遲異步方案如下:
其1.2步相同
3.虛擬環(huán)境中的程序向查詢系統(tǒng)提交查詢�����,如果查詢系統(tǒng)返回安全的提示則執(zhí)行這個數(shù)據(jù)包,如果查詢系統(tǒng)返回攻擊信息則將數(shù)據(jù)包提交給處理系統(tǒng)��,如果查詢系統(tǒng)答復(fù)未處理則不等待直接執(zhí)行這個數(shù)據(jù)包�����,并回饋給入侵檢測系統(tǒng)這個ID數(shù)據(jù)包執(zhí)行時間����。
4.數(shù)據(jù)包的執(zhí)行結(jié)果如果有反饋信息則標(biāo)上和執(zhí)行數(shù)據(jù)包同樣的ID發(fā)給入侵檢測系統(tǒng),若入侵檢測系統(tǒng)已分析完畢這個ID的數(shù)據(jù)包是合法的則通過�,否則則截留這個數(shù)據(jù)包。如果還未分析則掛起這個數(shù)據(jù)包等待分析��。
5.若檢測系統(tǒng)檢測出某個非法攻擊數(shù)據(jù)包�����。并且這個數(shù)據(jù)包在X時已經(jīng)被K虛擬環(huán)境執(zhí)行����,則通知虛擬環(huán)境K回退到X時。并提交警告給管理人員�。
結(jié)合虛擬環(huán)境后,虛擬環(huán)境中的程序可以在不等待入侵檢測系統(tǒng)的數(shù)據(jù)包分析反饋的時候就預(yù)先執(zhí)行數(shù)據(jù)包����。如果執(zhí)行的是非法數(shù)據(jù)包則進(jìn)行系統(tǒng)回退��。在日常運(yùn)行中����,提高了大流量期間的運(yùn)行效率�。
綜上所述�,我們可以使用虛擬化技術(shù)封閉程序的運(yùn)行環(huán)境,消除程序間的相互影響�����。并且把外部攻擊也局限在某一個封閉虛擬環(huán)境中���。通過入侵檢測�,我們可以及時的發(fā)現(xiàn)并且解決網(wǎng)絡(luò)中的異常��,并且通過延遲異步方案和與虛擬化結(jié)合的的異步方案可以一定程度上提高入侵檢測在大流量網(wǎng)絡(luò)中的效率�����。
