基于异常检测的广域网入侵检测技术实现.pdfVIP

计算机科学2006V01．33N0．9(专辑) 基于异常检测的广域网入侵检测技术实现*) 邓辉 (昆明理工大学信息工程与自动化学院 昆明理工大学信息安全研究所 昆明650051) 摘要在当前的广域网安全技术中，广域网安全预警技术无疑是最热门的技术之一。安全预警系统能检测出针 对某一系统的入侵或入侵企图，并实时做出反应。论文以基于netflow的实时数据采集分析为基础，通过对大量数 据流的实时动态分析，产生广域网正常的流量阈值，从而建立一个基于异常的检测模型。通过在线的实时监测，一 旦流量超出正常流量阈值，即可判定存在广域网入侵的可能。论文结果已在实际中投入使用。 关键词异常检测，广域网，入侵检测 1前言 2异常检测方法 针对日益严重的网络安全问题和越来越突出的 根据使用的检测手段，在现代安全预警系统中， 安全需求，“可适应网络安全模型”和“动态安全模 一般采用异常检测(anomaly 型”(P2DR)应运而生。P2DR模型最早由ISS公司(misuse 提出，它包含4个主要部分：Policy(安全策略)、Pro-模型，其特点是首先总结正常操作应该具有的特征， tection(防护)、Detection(检测)、Response(响应)。例如特定用户的操作习惯与某些操作的频率等；在 P2DR模型是在整体的安全策略的控制和指导下，得出正常操作的模型之后，对后续的操作进行监视， 在综合运用防护工具(Protection：防火墙、操作系统 一旦发现偏离正常统计学意义上的操作模式，即进 身份认证、加密等手段)的同时，利用检测工具(De-行报警。 tection：漏洞评估、入侵检测等系统)了解和评估系 基于Netflow的正常模型建立 统的安全状态，通过适当的响应(Response)将系统 调整到“最安全”和“风险最低”的状态。 统计分析模块是数据分析中的一个核心模块， 一个良好的、完整的动态安全体系，不仅需要恰 流量分析的目的就是统计并显示当前安全预警系统 当的防护(如：操作系统访问控制、防火墙、加密等)， 所监控的原始网络流量，并按照一定的标准，如：同 而且需要动态的检测机制(如：入侵检测、漏洞扫描 等)，在发现问题时及时进行响应。入侵检测就是 同一目的地址／端口等进行分类，再用可视化的方式 P2DR模型中的检测，其作用在于承接防护和响应把这些分门别类的统计数量显示出来，例如形成数 的过程，是P2DR模型作为一个动态安全模型的关据分布曲线图，数据分析统计表，以及对平均数据流 键所在。安全预警作为一种积极主动地安全防护技 量进行分析监控。而安全预警模型也是建立在统计 术，提供了对内部攻击、外部攻击和误操作的实时保 分析模块基础上的，它的主要作用是生成基于异常 护，是对防火墙等防护机制的有益补充。安全预警 的检测模型。基于异常的检测技术是指先定义一组 能在入侵攻击队系统发生危害前，检测到入侵攻击， 系统“正常”情况的数值，如CPU利用率、内存利用 并利用报警与防护系统驱逐入侵攻击；在入侵攻击 率、文件校验和等(这类数据可以人为定义，也可以 过程中，能减少入侵攻击所造成的损失；在被入侵攻 通过观察系统、并用统计的办法得出)，然后将系统 击后，收集入侵攻击的相关信息，作为防范系统的知 运行时的数值与所定义的“正常仇隋况比较，得出是 识，添加到知识库中，增加系统的防范能力，避免系 否有被攻击的迹象。 统再次受到入侵。安全预警被认为是防火墙之后的 在实现上，具体做法分为三步：第一步，基于统 第二道安全闸门，在不影响网络性能的情况下能对 计的数据分析：将原始数据分为两小时一个时段，分 网络进行监听，从而提供对内部