|
導讀網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據... 網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 保證信息系統安全的主要問題是建立安全機制,迄今為止已發展了許多安全機制,但安全問題仍然備受懷疑和關注。 早期中大型的計算機系統中都收集審計信息來建立跟蹤文件,這些審計跟蹤的目的多是為了性能測試或計費,因此對攻擊檢測提供的有用信息比較少;此外,最主要的困難在于由于審計信息粒度的安排,審計信息粒度較細時,數據過于龐大和細節化,而由于審計跟蹤機制所提供的信息的數據量過于巨大,將有用的信息源沒在其中;因此,對人工檢查由于不可行而毫無意義。 對于攻擊企圖/成功攻擊,被動審計的檢出程度是不能保證的。通用的審計跟蹤能提供用于攻擊檢測的重要信息,例如什么人運行了什么程序,何時訪問或修改過那些文件,使用過內存和磁盤空間的數量等等;但也可能漏掉部門重要的攻擊檢測的相關信息。為了使通用的審計跟蹤能用于攻擊檢測等安全目的,必須配備自動工具對審計數據進行分析,以期盡早發現那些可疑事件或行為的線索,給出報警或對抗措施。 (一)基于審計信息的攻擊檢測技術 1、檢測技術分類 為了從大量的、有時是冗余的審計跟蹤數據中提取出對安全功能有用的信息,基于計算機系統審計跟蹤信息設計和實現的系統安全自動分析或檢測工具是很必要的,可以用以從中篩選出涉及安全的信息。其思路與流行的數據挖掘(Data Mining)技術是極其類似的。 基于審計的自動分析檢測工具可以是脫機的,指分析工具非實時地對審計跟蹤文件提供的信息進行處理,從而得到計算機系統是否受到過攻擊的結論,并且提供盡可能多的攻擊者的信息;此外,也可以是聯機的,指分析工具實時地對審計跟蹤文件提供的信息進行同步處理,當有可疑的攻擊行為時,系統提供實時的警報,在攻擊發生時就能提供攻擊者的有關信息,其中可以包括攻擊企圖指向的信息。 2、攻擊分類 在安全系統中,一般至少應當考慮如下三類安全威脅:外部攻擊、內部攻擊和授權濫用。攻擊者來自該計算機系統的外部時稱作外部攻擊;當攻擊者就是那些有權使用計算機,但無權訪問某些特定的數據、程序或資源的人意圖越權使用系統資源時視為內部攻擊,包括假冒者(即那些使用其他合法用戶的身份和口令的人)秘密使用者(即那些有意逃避審計機制和存取控制的人);特權濫用者也是計算機系統資源的合法用戶,表現為有意或無意地?撓盟塹奶厝ā?通過審計試圖登錄的失敗記錄可以發現外部攻擊者的攻擊企圖;通過觀察試圖連接特定文件、程序和其他資源的失敗記錄可以發現內部攻擊者的攻擊企圖,如可通過為每個用戶單獨建立的行為模型和特定的行為的比較來檢測發現假冒者;但要通過審計信息來發現那些授權濫用者往往是很困難的。 基于審計信息的攻擊檢測特別難于防范的攻擊是具備較高優先特權的內部人員的攻擊;攻擊者可通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。對于那些具備系統特權的用戶,需要審查所有關閉或暫停審計功能的操作,通過審查被審計的特殊用戶、或者其他的審計參數來發現。審查更低級的功能,如審查系統服務或核心系統調用通常比較困難,通用的方法很難奏效,需要專用的工具和操作才能實現。總之,為了防范隱秘的內部攻擊需要在技術手段而外確保管理手段的行之有效,技術上則需要監視系統范圍內的某些特定的指標(如CPU、內存和磁盤的活動),并與通常情況下它們的歷史記錄進行比較,以期發現之。 3、攻擊檢測方法 (1)檢測隱藏的非法行為 基于審計信息的脫機攻擊檢測工作以及自動分析工具可以向系統安全管理員報告此前一天計算機系統活動的評估報告。 對攻擊的實時檢測系統的工作原理是基于對用戶歷史行為的建模以及在早期的證據或模型的基礎。審計系統實時地檢測用戶對系統的使用情況,根據系統內部保持的用戶行為的概率統計模型進行監測,當發現有可疑的用戶行為發生時,保持跟蹤并監測、記錄該用戶的行為。SRI(Stanford RessearchInstitute)研制開發的IDES(Intrusion-Detection Exper t System)是一個典型的實時檢測系統。IDES 系統能根據用戶以前的歷史行為決定用戶當前的行為是否合法。系統根據用戶的歷史行為,生成每個用戶的歷史行為記錄庫。IDES更有效的功能是能夠自適應地學習被檢測系統中每個用戶的行為習慣,當某個用戶改變他的行為習慣時,這種異常就會被檢測出來。目前IDES中已經實現的監測基于以下兩個方面: 一般項目:例如CPU的使用時間:I/O的使用通道和頻率,常用目錄的建立與刪除,文件的讀寫、修改、刪除,以及來自局域網的行為; 特定項目:包括習慣使用的編輯器和編譯器、最常用的系統調用、用戶ID的存取、文件和目錄的使用。 IDES除了能夠實時地監測用戶的異常行為。還具備處理自適應的用戶參數的能力。在類似 IDES這樣的攻擊檢測系統中,用戶行為的各個方面都可以用來作為區分行為正常或不正常的表征。例如,某個用戶通常是在正常的上班時間使用系統,則偶然的加班使用系統會被IDES 報警。根據這個邏輯,系統能夠判斷使用行為的合法或可疑。顯然這種邏輯有“肅反擴大化/縮小化”的問題。當合法的用戶濫用他們的權利時,IDES就無效了。這種辦法同樣適用于檢測程序的行為以及對數據資源(如文件或數據庫)的存取行為。 (2)基于神經網絡的攻擊檢測技術 如上所述,IDES(Intrusion Detection Expert System)類的基于審計統計數據的攻擊檢測系統,具有一些天生的弱點,因為用戶的行為可以是非常復雜的,所以想要準確匹配一個用戶的歷史行為和當前的行為相當困難。錯發的警報往往來自對審計數據的統計算法所基于的不準確或不貼切的假設。作為改進的策略之一,S RI(Stanford Research Institute)的研究小組利用和發展神經網絡技術來進行攻擊檢測。神經網絡可能用于解決傳統的統計分析技術所面臨的以下幾個問題: ①難于建立確切的統計分布:統計方法基本上是依賴于用戶行為的主觀假設,如偏差高斯分布;錯發警報常由這種假設所導致。 ②難于實現方法的普適性:適用于某類用戶行為的檢測措施一般無法適用于另一類用戶。③算法實現比較昂貴:由于上面一條原因,即基于統計的算法對不同類型的用戶行為不具有自適應性,因此算法比較復雜而且龐大,導致算法實現上的昂貴。而神經網絡技術不存在這個問題,實現的代價較校④系統臃腫難于剪裁:由于采用統計方法檢測具有大量用戶的計算機系統,將不得不保留大量的用戶行為信息,導致系統的臃腫和難于剪裁。而基于神經網絡的技術能夠回避這一缺點,根據實時檢測到的信息有效地加以處理作出攻擊可能性的判斷。目前,神經網絡技術提出了對基于傳統統計技術的攻擊檢測方法的改進方向,但尚不十分成熟,所以傳統的統計方法仍將繼續發揮作用,也仍然能為發現用戶的異常行為提供相當有參考價值的信息。 (3)基于專家系統的攻擊檢測技術 進行安全檢測工作自動化的另外一個值得重視的研究方向就是基于專家系統的攻擊檢測技術,即根據安全專家對可疑行為的分析經驗來形成一套推理規則,然后再在此基礎之上構成相應的專家系統。由此專家系統自動進行對所涉及的攻擊操作的分析工作。 所謂專家系統是基于一套由專家經驗事先定義的規則的推理系統。例如,在數分鐘之內某個用戶連續進行登錄,且失敗超過三次就可以被認為是一種攻擊行為。類似的規則在統計系統似乎也有,同時應當說明的是基于規則的專家系統或推進系統也有其局限性,因為作為這類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對系統的最危險的威脅則主要是來自未知的安全漏洞。實現一個基于規則的專家系統是一個知識工程問題,而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。當然這樣的能力需要在專家的指導和參與下才能實現,否則可能同樣會導致較多的錯報現象。一方面,推進機制使得系統面對一些新的行為現象時可能具備一定的應對能力(即有可能會發現一些新的安全漏洞);另一方面,攻擊行為也可能不會觸發任何一個規則,從而不被檢測到。專家系統對歷史數據的依賴性總的來說比基于統計的技術的審計系統較少,因此系統的適應性比較強,可以較靈活地適應廣譜的安全策略和檢測需求。但是迄今為止推理系統和謂詞演算的可計算問題距離成熟解決都還有一定的距離。 (4)基于模型推理的攻擊檢測技術 攻擊者在攻擊一個系統時往往采用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行為特征的模型,根據這種模型所代表的攻擊意圖的行為特征,可以實時地檢測出惡意的攻擊企圖。雖然攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了準確判斷,要為不同的攻擊者和不同的系統建立特定的攻擊腳本。 當有證據表明某種特定的攻擊模型發生時,系統應當收集其他證據來證實或者否定攻擊的真實,既要不能漏報攻擊,對信息系統造成實際的損害,又要盡可能的避免錯報。 當然,上述的幾種方法都不能徹底地解決攻擊檢測問題,所以最好是綜合地利用各種手段強化計算機信息系統的安全程序以增加攻擊成功的難度,同時根據系統本身特點輔助以較適合的攻擊檢測手段。 4、其它相關問題 為了防止過多的不相干信息的干擾,用于安全目的的攻擊檢測系統在審計系統之外還要配備適合系統安全策略的信息采集器或過濾器。同時,除了依靠來自審計子系統的信息,還應當充分利用來自其它信息源的信息。在某些系統內可以在不同的層次進行審計跟蹤。如有些系統的安全機制中采用三級審計跟蹤。包括審計操作系統核心調用行為的、審計用戶和操作系統界面級行為的、和審計應用程序內部行為的。 另一個重要問題是決定運行攻擊檢測系統的運行場所。為了提高攻擊檢測系統的運行效率,可以安排在與被監視系統獨立的計算機上執行審計跟蹤分析和攻擊性檢測,這樣作既有效率方面的優點,也有安全方面的優點。因為監視系統的響應時間對被監測的系統的運行完全沒有負面影響,也不會因為其它安全有關的因素而受到影響。 總之,為了有效地利用審計系統提供的信息,通過攻擊檢測措施防范攻擊威脅,計算機安全系統應當根據系統的具體條件選擇適用的主要攻擊檢測方法并且有機地融合其它可選用的攻擊檢測方法。同時應當清醒地認識到,任何一種攻擊檢測措施都不能視之為一勞永逸的,必須配備有效的管理和組織措施。 (二)攻擊檢測系統的測試 為了恰當地對市場上的攻擊檢測系統產品進行公正有效的評估和測試,攻擊檢測系統的測試工作是很重要的。對于用戶而言,第三方的測試報告在采購上很有指導意義。我國已經有些單位對此十分重視,作了很多開創性的工作,也已經取得了不小的成績。美國IDG InfoWorld測試中心小組開發了一種可以視之為BenchM ark類型的測試基準——IWSS16。該小組收集了若干種典型且可以公開得到的攻擊方法,對其進行組合,形成IWSS16。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(peng896066052@126.com),我們會及時處理.
Copyright © 2018-2020 雨林木風下載站
