一、开展入侵检测技术研究的紧迫性
所有的安全威胁都有可能以攻击、侵入、渗透、影响、控制和破坏网络和网上信息系统作为重要手段。因此,对来自网上的破坏活动的监控与审计,是防范的先决条件,是构筑信息安全环境重要而必不可少的环节。
国外早已开展了早期预警系统及入侵检测技术的研究,在一些重要的政治、军事和经济网络上对非法入侵实施监控。这些系统在保障信息网络安全、尽早发现入侵攻击迹象、分析入侵攻击的技术手段方面发挥着重要的作用。为了提高信息系统的防护能力,我国应尽快填补这方面的空白。
二、多样化的检测对象
网络入侵活动是由不同类型的个人或组织,怀着不同的目的,采用不同的技术,于不同的地点和时间,针对不同的目标而发动的。诸多的不同及其不同的组合,构成了检测对象的多样性。
入侵检测与预警技术的研究,至少要达成如下多层次的目标:
1. 对信息基础设施的安全状况及威胁(包括威胁的来源和程度)做出全面的系统评估。
2. 把威胁的来源作为对象,按时间顺序、动作意图、威胁范围和程度,进行统计、分析及审计。
3. 对来自外部网络的恶意代码和违规操作进行识别、跟踪、记录、分类和报警。
4. 为遭到破坏的网络及信息系统的恢复提供技术性支持。
三、预警的复杂性
由于网络的危害行为是一系列很复杂的活动,特别是有预谋、有组织的网络入侵,因而有效的预警在技术实现上比较复杂并有一定的难度。
预警的复杂性表现在:
* 来源的识别;
* 企图的判定;
* 危害程度和潜在能力的判断;
* 网络技术的跟踪;
* 软件设计;
* 硬件的适应性。
根据我们的研究,以下三方面是亟待解决的问题。
1.入侵技术在不断发展
网络预警技术以网络攻击技术研究为依托,通过跟踪入侵技术的发展,增强入侵检测能力。入侵方法涉及到操作系统方方面面的漏洞,如系统设计缺陷、编码缺陷、系统配置缺陷、运行管理缺陷,甚至系统中预留的后门等。在Internet上有大量的黑客站点,发布大量系统漏洞资料和探讨攻击方法。全世界的黑客都可以利用这些共享资源来进行攻击方法的研究与传播,使得新的攻击方法能够以最快的速度成为现实的入侵武器。更为令人担忧的是有组织的活动,国外已将信息战手段同核武器、生化武器并列在一起,作为战略威慑加以讨论,破坏者所具备的能力,对我们而言仍是一个很大的未知数。
入侵技术的发展给预警造成了很大的困难,特别是对基于入侵模式识别的预警系统。预先了解所有可能的入侵方法比较困难,因此一个有效的预警系统不仅需要识别已知的入侵模式,还要有能力对付未知的入侵模式。网络预警技术亦步亦趋地紧跟在已识别的入侵模式之后固然能够大大加强网络的安全防范,但这并不是唯一的发展方向。入侵检测技术从监测网络的异常活动和网络的正常活动两个角度来进行入侵检测则会更为有效。同时预警系统应有一定的学习能力,智能化地校正误警和漏警,提高预警的准确性。
2.入侵活动可以具有很大的时间跨度和空间跨度
有预谋的入侵活动往往有较周密的策划、试探性和技术性准备,一个入侵活动的各个步骤有可能在一段相对长的时间跨度和相当大的空间跨度之上分别完成,给预警带来困难。一个检测模型总会有一个有限的时间窗口,从而忽略滑出时间窗口的某些事实。同时,检测模型对于在较大空间范围内发生的异常现象的综合、联想能力也是有限的。
3.非线性的特征还没有有效的识别模型
入侵检测技术的难度不仅仅在于入侵模式的提取,更在于入侵模式的检测策略和算法。因为入侵模式是一个静态的事物,而现实的入侵活动则是灵活多变的。有效的入侵检测模型应能够接受足够大的时间跨度和空间跨度。从技术上说,入侵技术已经发展到一定阶段,而入侵检测技术在理论上、模型上和实践上还都没有真正发展起来。在市场上能够看得到的入侵检测系统也都处在同一水平上。我们分析,先进国家重要网络上配置的入侵检测系统应不是这一水平的技术,或者他们也在寻求其他更为有效的检测手段。
面对复杂的网络入侵活动,网络预警技术的研究不仅仅包括入侵技术的研究,而且要更重视建立入侵检测策略和模型的理论研究。
四、预警研究的主要内容
网络预警技术研究的内容主要包括:网络入侵技术研究、检测模型研究、审计分析策略研究等。通过将这些技术组合起来,形成一个互动发展的有机体。
1.入侵技术研究
入侵技术研究包括三个部分:
第一,密切跟踪分析国际上入侵技术的发展,不断获得最新的攻击方法。通过分析这些已知的攻击方法,丰富预警系统的检测能力。
第二,加强并利用预警系统的审计、跟踪和现场记录功能,记录并反馈异常事件实例。通过实例分析提取可疑的网络活动特征,扩充系统的检测范围,使系统能够应对未知的入侵活动。
第三,利用攻击技术的研究成果,创造新的入侵方法,并应用于检测技术。
2.检测模型研究
对于预警系统来说,确定检测模型是最重要的。由于入侵活动的复杂性,仅仅依靠了解入侵方法还不能完全实现预警,还应有适当的检测模型与之配合。在预警技术研究中,入侵检测模型是关键技术之一。
按入侵检测的手段来划分,入侵检测模型可以分为基于网络和基于系统两种模型。基于网络的模型通过实时监视网络上的数据流,来寻找具有网络攻击特征的活动;而基于系统的模型则通过分析系统的审计数据来发现可疑的活动。这两种模型具有互补性,基于网络的模型能够客观地反映网络活动,特别是能够监视到系统审计的盲区;而基于系统的模型能够更加精确地监视系统中的各种活动。基于网络的模型受交换网的限制,而基于系统的模型不受交换网的影响。
按入侵检测的策略来划分,入侵检测模型可以分为基于异常特征和基于正常特征两类模型。异常特征模型建立在已知的入侵模式库基础上,正常特征模型则建立在系统正常工作模式基础上。后一类模型包括两个方面:一是为用户和系统建立正常行为特征,二是观察实际的系统和用户活动与所建立的正常行为是否存在差异。
同样,这两类模型也具有互补性。异常特征模型能够精确地检测已知的入侵活动,误警率低;而对于一个确定的应用环境,正常特征模型会拥有一个比较精确的系统正常工作模式,从而发现一切偏离正常模式的活动,包括一些未知的入侵活动。
3.审计分析策略研究
预警技术研究的另一个重点是对审计数据的分析处理,其中包括威胁来源的识别、企图的判定、危害程度和能力的判断等。预警所产生的审计数据是检测与预警的宝贵资源。这些审计数据量可能很大,如果缺乏有效的分析手段,将会浪费这一资源。
21世纪的信息基础设施是社会各种活动的基础舞台,在可以预见的时间内,完全杜绝针对信息基础设施的不良行为是不可能的。强化管理加上必要的技术手段是解决问题的途径之一。