网络入侵防御系统的研究与应用.pdfVIP

网络入侵防御系统的研究与应用 文／张述平 摘 要：本文提出了IDS和防火墙智能联动的网络入侵防御 系统，来提高网络整体智能协同防御能力，以实现网络安全的 主动防御。对于入侵检测技术存在着漏报和误报的问题，本文 提出采用漏洞扫描技术并融入了可信度机制，大大降低了检测 的误报率。采用了分布式系统部署设计方式来降低高带宽重负 载环境下入侵检测系统的漏报率。 关键词：网络安全，入侵检测，入侵防御，可信度机制 引言 入侵检测技术、防火墙技术是应用广泛的网络安全技术， 这些安全技术比较成熟，但实施起来却存在缺陷，不能很好地 解决网络安全问题。在构建安全网络环境的过程中，防火墙作 为第一道安全防线，受到越来越多用户的关注。防火墙通过安 全策略控制进出系统的数据从而保护网络内部的关键资源。防 火墙可以根据安全策略控制出入网络的信息流，并且防火墙本 身具有较强的抗攻击能力。它有效地监控了内网和 Internet 之 间的任何活动，保证了内部网络的安全。防火墙是一种保护计 算机网络、防御网络入侵者的有效机制。在网络中只使用防火 墙作为网络安全设备，有不能防范来自内部攻击等潜在的问 题。随着入侵技术的发展使得较全面的配置防火墙规则变得较 对事件不加分析直接交给防火墙处理，将出现大量“误报”， 困难。IDS刚刚问世时，倍受网络安全界的推崇。人们认为只要 导致系统运行维护工作无法开展。如果只选择符合规则中严重 有了IDS ，就不必再担心网络安全了。现在IDS 的光环已经褪 级别的行为上报攻击，则可能出现“漏报”，而一旦出现漏 去，人们对它的作用和缺点有了较为清醒的认识。（1）入侵检 报也给网络安全带来极大隐患。如何“既避免漏报，又减少误 测系统不能检测所有的入侵事件（2）入侵检测系统不能对攻击 报”这是一个关键性的技术问题，这将直接影响IPS方案设计的 做出响应（3）入侵检测系统的配置及维护比较困难（4）入侵 可用性。 检测技术存在着漏报和误报的问题。入侵检测系统和防火墙智 为解决这个问题，可以引入“可信度”评估机制，报警中 能联动的网络入侵防御系统可以实现网络安全的主动防御。由 提供相应可信度数值，方便用户评估攻击的有效性、真实性。 于入侵检测技术存在着漏报和误报的问题，因此基于这种检测 以Mydoom的3个特征为例： 技术的入侵防御系统是不安全的，甚至有时是危险的。本文针 (1) 当满足可能使用的端口列表时，报警可信度50%； 对这个问题采用漏洞扫描技术和融入了可信度机制，对告警输 (2) 在端口条件满足时，传输数据包括特征字符“\x85\x13\ 出进行了融合和过滤，大大降低了检测的误报率。采用分布式 x3c\x9e\xa2”时，报警可信度为75%； 的入侵防御系统部署来降低检测的漏报率。 (3) 在“2”的基础上，如果是最常使用的端口，报警可信 度为90%。 1、“可信度”机制的应用 如果入侵检测系统在发送安全事件告警时，除通报攻击 类型、严重级别、攻击源IP、目的IP等基础信息外，还要包括 入侵防御系统致力于通过入侵检测技术和防火墙技术的结 可信度信息。这样系统根据专家知识库预定义规则，确定当严 合来实时地主动防御功能。IDS (Intrusion Detection System) 入 重级别和可信度达到某个阈值时向客户发送告警。比如对于 侵检测系统通过对计算机系统的关键点和计算机网络收集特征 Mydoom攻击，可以当同时满足规则1、2，可信度达到75% 信息并进行分析，以发现网络或计算机系统中是否存在违反安 时，向用户发送告警，联动处理；对于只满足规则1，可信度为 全策略的行为和被攻击的痕迹。但是如果存在大量的误报，将 50%的事件，则保存起来，供用户在日后分析处理。通过这种 带来严重的问题。IDS可以