Network Intrusion Detection
Biswanath Mukherjee, L. Todd Heberlein, and Rarl N. Levitt
Intrusion detection is a new, retrofit approach for providing a sense of security in existing computers and data networks, while allowing them to operate in their current 'open' mode.
Intrusion detection is a new, retrofit approach for providing a sense of security in existing computers and data networks,while allowing them to operate in their current 'open' mode.The goal of intrusion detection is to identify, preferably in real time, unauthorized use, misuse,and abuse of computer systems by both system insiders and external penetrators. The intrusion detection problem is becoming a challenging task due to the proliferation of heterogeneous computer networks since the increased connectivity of computer systems gives greater access to outsiders and makes it easier for intruders to avoid identification.Intrusion detection systems (IDSs) are based on the beliefs that an intruders behavior will be noticeably different from that of a legitimate user and that many unauthorized actions are detectable. Typically, IDSs employ statistical anomaly and rule-based misuse models in order to detect intrusions.
A number of prototype IDSs have been developed at several institutions, and some of them have also been deployed on an experimental basis in operational systems. In this paper, several host-based and network-based IDSs are surveyed, and the characteristics of the corresponding systems are identified. The host-based systems employ the host operating systems audit trails as the main source of input to detect intrusive activity, while most of the network-based IDSs build their detection mechanism on monitored network traffic, and some employ host audit trails as well. An outline of a statistical anomaly detection algorithm employed in a typical IDS is also included.
Introduction
A secure computer or network system should provide thefollowing services-data confidentiality,data and communications integrity,and assurance against denial-of-service [l, 2]. Data confidentiality service protects data against unauthorized disclosure. Release of a messages content to unauthorized users is a compromise which this service should protect. Data and communications integrity service is concerned with the accuracy, faithfulness, non-corruptibility, and believability of information transfer between peer entities (including computers connected by a network). This service must ensure correct operation of the system hardware and firmware, and it should protect against unauthorized modification of data and labels. Denial-of-service is a threat, and assurance against denial-of-service is an important security service [3]. A denial- of-service condition is said to exist whenever the system throughput falls below a pre-established threshold, or when access to a (remote) entity is unavailable. While such attacks are not completely preventable, it is often desirable to reduce the probability of such attacks below some threshold.
The conventional approach to secure a computer or network system is to build a 'protective shield' around it. Outsiders who need to enter the system must identify and authenticate themselves commonly known as the Identification amp; Authentication (Iamp;A) problem.Also, the shield should prevent leakage of information from the protected domain to the outside world.Mandatory access control techniques (e.g.,cryptography-based) might be used in the design of such secure systems [1].
There are a number of limitations to this prevention-based approach for computer and network security, as outlined below.
●It is difficult, perhaps impossible, to build an useful system which is absolutely secure. That
is, the possible existence of some design flaw in a system with a large number of components cannot be excluded. In addition, one cannot rule out the occurrence of administrative flaws such as misconfiguration of equipment when bought from vendor, errors due to backward compatibility of vendor equipment, and poor administrative policies and practices.
●It is impractical to assume that the vast existing infrastructure of (possibly insecure) computer and network systems will be scrapped in favor of new, secure systems since a tremendous investment into our current infrastructure has already been made.
●The prevention-based security philosophy constrains a users activities; the current'open' mode of operation of most systems is regarded by many to be a highly-useful environment for promoting user productivity.
●Crypto-based systems cannot defend against lost or stolen keys, and against cracked passwords.
●Finally, a secure system can sti1L be vulnerable to insiders misusing their privileges since it can not fully guard against the insider threat, i.e., users who abuse their privileges. (Systems with mandatory access controls, however, can reduce the risks of some kinds of insider attacks.)
Around the mid-80s, an alternative approach,called intrusion detection, for providing a different notion of security in computer systems was proposed [4]. The basic arguments in favor of this concept are those outlined in the previous paragraph, namely, that not only abandoning the existing and huge infrastructure of possibly-insecure computer and network systems is impossible, but also replacing them by totally-secure systems may not be feasible or cost effective. That is, our computers and networks may be under attack; but an intrusion detection system based on a retrofit technology should be able to detect such attacks, preferably in real time (i.e., when the attacks are in progress). Typically, an intrusion detection systems (IDS) alerts a system security officer (SSO) when it detects an attack. This approach is gaining increasing momentum and acceptance, and a number of pr
剩余内容已隐藏,支付完成后下载完整资料
窗体顶端
窗体底端
网络入侵检测
入侵检测是一种全新的、改进的,给现有的计算机和数据网络提高安全性能的方法,同时可以让他们在当前的“开放”模式下操作。
入侵检测是一种新的,改进后的方法,维护现有计算机和数据网络的安全,同时让他们在当前的“开放”模式操作。入侵检测的目的是确定的,特别是对实时的,来自计算机内部或者计算机外部的对计算机系统未经授权的使用、误用和滥用。由于计算机网络复杂性增强,入侵检测问题已经成为一个具有挑战性的任务,计算机系统的连通性扩大增加了更多的局外人,使得入侵者更容易逃避识别。入侵检测系统(IDS)是基于这样一个规则:入侵者的行为如果和合法行为不符会被检测出来,很多未经授权的操作也会被发现。通常情况下,入侵检测系统为了发现入侵一般采用统计异常和基于规则的误用入侵检测模型。
有些机构已经开发出一些原型系统,其中一些也被应用在操作系统的试验平台上。在本文中,会分别介绍一些基于主机和基于网络的入侵检测系统,以及相应系统的特点。基于主机的检测系统使用主机操作系统的审计跟踪记录作为主要输入来源来检测入侵活动,而大多数基于网络的入侵检测系统则建立在网络流量监控检测机制,和一些主机使用日志。在一个典型的入侵检测算法中采用的统计异常检测算法的纲要也包括在内。
引言
一个安全的计算机或网络系统应提供以下服务:数据的保密性,数据和通信的完整性,并保证可以抵抗拒绝服务攻击。数据机密性服务避免数据未经授权泄漏。该服务系统应该保证不对未经授权的用户发布消息内容。数据通信的完整性服务是指与对等实体(包括通过网络连接的计算机)之间的信息传递的准确性,完整性和可信性。该服务必须确保系统的硬件和固件的正确操作,而且它需要抵御未经授权的数据和标签的修改。拒绝服务是一种威胁,抵抗拒绝服务攻击是一项重要的安全服务。当系统吞吐量低于预先设定的阈值时,或当访问到一个远程的实体不可用时,拒绝服务就会产生。虽然这样的攻击是不可以完全预防的,但是通常可以减少这种攻击的概率使之低于某一阈值。
保护计算机或网络系统的传统方法是建立一个“保护罩”。想要进入系统的外部人士必须进行身份鉴定,此类行为通常被称为身份验证和身份授权。此外,防护罩应防止信息从受保护的域泄漏到外域。强制访问控制技术(例如加密)可以被用来设计这样的安全系统。
现在有很多这种以预防为主的方法,来维护计算机和网络安全,具体特点如下面说明。
- 建立一个绝对安全的实用系统是困难的,甚至是不可能的。意思是说在一个系统中可能存在的一些设计缺陷,有大量的漏洞不能被排除。另外,从厂商那里买来的时候,由于厂商的设备后向兼容性,差的设计政策和做法的错误我们不能排除产品固有瑕疵,如设备配置错误的发生。
- 废弃现有的计算机和网络系统的巨大基础设施(尽管安全系数不高),来支持全新的、安全的系统是不切实际的。因为目前的基础设施已经耗费了巨大的投资。
- 以预防为基础的安全理念限制了用户的活动,目前的大多数操作系统的“开放”模式的操作系统被认为是一个非常有用的环境,更方便用户使用。
- 加密系统不能防止密钥丢失或密钥被盗,也不能抵御他人的密码破译。
- 最后,一个安全系统仍然容易受到业内人士滥用他们的特权,因为它不能完全防范内部威胁,即用户滥用特权。但是,对于强制访问控制系统而言,内部攻击的风险会有所降低。
在80年代中期,一个称为入侵检测的替代方法,对计算机系统提出了不同的安全概念。这一概念的基本论点是支持前面的段落所提出的观念,即我们不可能去放弃现有计算机和网络系统庞大的基础设施,尽管它们可能安全指数不够高,也不可能非常容易而且颇有收益的用完全安全的系统去取代现有的计算机网络系统。也就是说,我们的计算机和网络可能受到攻击,但是基于一个改造技术的入侵检测系统应该能够检测到这种攻击,最好是实时(即攻击是正在进展中的时候)。通常情况下,入侵检测系统(IDS)在检测到攻击就会充当系统安全员(SSO)。这种方法获得了越来越多的支持和采纳,而且有一些基本的系统已经被一些机构所使用,有些适用于单个主机,有些用于多个主机相连的情况。入侵被定义为个人未经授权识别所使用计算机系统(即“刺探秘密者”),或拥有对系统的合法访问权,但是滥用自己的特权(即“内部威胁”)。一般而言,入侵会导致系统机密性丧失,完整性丧失,对资源传递产生障碍,或未经授权使用系统资源。一些涉及系统管理员的入侵特例如下:
1、在未经授权的情况下修改系统文件,以便允许在未经授权的情况下访问系统或用户信息。
2、未经授权的访问或修改用户文件/信息。
3、未经授权的修改网络组件表(例如,在互联网中的路由器表的修改,以拒绝使用网络)或其他系统信息的。
4、未经授权使用的计算资源(如创建未经授权的账户,或未经授权使用的现有账户)。
本节的结尾部分将会举出一个入侵场景的示例。
检测攻击需要有一个入侵模型作为前提,即得出入侵检测系统应该要实现怎样的工作?目前的入侵检测系统有两种模式。第一种入侵检测模型基于用户(或一组用户)配置的一个正常系统模型。检测系统会统计分析用户当前的会话参数,与用户所设定的正常模式进行比较,并发出警报显著偏差。在这种模型中,重要的是特定模式或单点登录设定的一个阈值。一个典型的入侵检测系统可能会报告的“十大”最可疑的登录会话。因为它捕捉到的会话是不正常的,它被称为“异常”检测模型。
第二种检测模式是将用户的会话和用户的命令与攻击者攻击系统所使用的一个规则库进行比较。这一种入侵检测模式在用户行为中所检测到的被称作是攻击签名(即已知的攻击方法)。由于这个模型检测的是已知攻击导致的安全问题,所以它被称为“误用”检测模型。
大量的入侵检测系统都是基于对主机操作系统的审计跟踪。比如ATamp;T公司的Computer Watch产品,TRW公司的Discovery产品,Haystack Laboratory公司的Haystack系统,SRI公司的国际入侵检测专家系统,Planning Research Corporation公司的信息安全主管助理,国家安全局的Multics入侵检测与预警系统,和美国洛斯阿拉莫斯国家实验室的智能感知、网络异常检测和入侵标记。在这些系统中所采用的一些基本算法,包括用加权多项式函数评价去检测与正常行为有偏差之处,用基于协方差矩阵的方法去分析正常行为,用基于规则的专家系统的方法来检测哪里违反了安全策略。
早期设计的入侵检测模型是用来监视单独的一个主机。然而,最近的模型适应多个主机的网络,例如ISOA、IDES系统,戴维斯的网络安全监控(NSM)和分布式入侵检测系统(DIDS)。有些系统如ISOA和IDES系统将监控信息(主机日志)从监控主机传送到中央处理器。其他一些系统如NSM、DIDS系统同时也会监控网络流量,作为其入侵检测算法的一部分。
入侵实例
几个月前出现了一次入侵行为,但是被我们的网络安全监控检系统测到了,这个例子向我们证明了出现入侵行为是非常常见的,我们必须做好检测活动。其特点如下所示:
- 至少有十台不同的计算机参与。
- 这些电脑是由八组分布在七个不同地点,由三个州,两个国家的系统管理员进行管理。
- 攻击利用了一些不同的计算机系统中不同的漏洞。
袭击发生在几个不同阶段而且会持续数天。
- 攻击的初始阶段包括:首先是对目标网站进行一系列的初始试探操作(即使用普通的账户/密码方式来侵入),利用一个漏洞成功闯入诈骗网站shark. SCHOOL2.edu ;从omen. SCHOOL3.edu导入木马登录程序然后安装在诈骗网站;之后(在第二天)通过之前在诈骗网站上安装好的木马登录程序入侵目标 。显然,这种尝试仅仅是测试木马是否仍然存在,而且入侵者会迅速注销。
2、观察到攻击的第二步是利用木马登录程序登录到另一个诈骗网站;但是,该登录来自 bear .SCHOOL4 .edu。虽然这次攻击来自不同的地方,但是我们要知道做出两次攻击的是同一个人。这是基于两点事实:木马仅仅是在前一天晚上被安装的,使用特殊密码的是具体的诈骗网站,即,虽然其他木马已被发现,之前选择和设置密码的是独特的诈骗网站。之后入侵者将诈骗网站作为一个平台,并通过它来攻击其他计算机系统。
3、入侵者利用计算机上的.rhosts文件漏洞获得进入许可并记录在UUCP。这样一来在下一次的时候,入侵者执行程序时系统会授予他root权限。
4、作为root用户,入侵者会利用另一台电脑的文件系统会在之后可侵入这一事实。一旦入侵者能够成功侵入,之后他就可以无需登录就进入系统,来检查和处理文件系统。入侵者安装另一个攻击入口进入计算机系统,这个入口允许任何人从这里登录到帐户。
5、原来,用户的主目录和另外两台主机上的是一样的。这一事实给入侵者进入这些机器的机会。在不同的计算机系统中来回移动之后,入侵者会返回原始的入侵网站。
6、入侵者接下来利用先前安装的木马登录程序进行攻击SCHOOLS。
7、以SCHOOLS为平台,入侵者攻击在加拿大的计算机Polyv.country2,依旧是利用木马登录程序进行入侵。当入侵者意识到系统管理员可能出现动作的时候,他会立即退出PolyV。
8、仔细研究SCHOOL5的文件系统后,入侵者又回到shark.SCHOOL2.edu。
9、入侵者利用在.rhosts文件里的“ ”从 previous . COMPANY2 .com闯入计算机。入侵者如果确定了这个进入口仍然完好无损,便会返回到shark. SCHOOL2.edu。
10、入侵者再次闯入Polyv.country2,而且这一次他的访问也是短暂的。
11、最后,经过六个多小时的对各种计算机系统的攻击,入侵者退出shark并且重新回到bear .SCHOOL4 .edu。
基于主机的入侵检测系统
最开始一个比较抽象的,而且不是很典型的入侵检测系统模型被提出。此后,一系列的入侵检测系统被设计出并投入到使用。大量的入侵检测系统将主机操作系统的审计跟踪作为入侵检测的主要输入源。本节将会介绍这一类系统。对于每一个研究的入侵检测系统,我们将会首先进行一个系统的概述,对系统的组成大致介绍一下,并讨论系统如何运作。
Computer Watch
概述——它的审计跟踪分析工具使审计数据大量减少,具备有限的入侵检测能力。在最大限度地减少任何信息内容损失的同时,通过单点登录查看的数据量也会减少。它通过一种机制来进行数据压缩,这种机制会核查多种基于信息关系的审核数据。
它的设计应用于VJMLS操作系统,是用来协助单点登录而不是去取代单点登录。该工具使用专家系统的方法来整理可能有安全问题的事件,然后应用规则来检测异常行为。它还提供了一种方法对用户行为进行详细分析,以此来跟踪可疑行为。
系统的组成——审计跟踪记录可以通过单点登录交互式的分析,或在批处理模式下,以后再来审查,即Computer watch没有实时事件分析能力。它的检测统计系统有三个层次,即系统、组和用户。在它的摘要报告中提供了系统范围内事件的统计信息,而基于用户事件的统计信息则有检测查询提供。基于组的事件统计信息将在之后得到完善。
系统运行——Computer Watch为单点登录提供了一个系统活动的总结报告。该报告包含系统安全相关活动的摘要信息。该报告可以表明哪些类型的事件需要更密切的检查。单点登录还可以对数据进行自己的分析。专家系统规则被用来检测异常或简单的安全漏洞。当满足某一方程时,或者在其前任列表中的规则已被实施,这个规则便会被实施。
Discovery
概述——Discovery是由TRW公司设计的一款专家系统工具,可以用来检测未经授权的访问并记录到它的信用数据库。Discovery制度本身是用COBOL编写的,而专家系统是用Al shell。他们的目标不是要检测对操作系统的攻击,而是检测未经授权的滥用,即建立信用数据库。
系统的组成——TRW运行的数据库,包含1亿3300万消费者的信用记录。它使用150000种不同的访问代码,每天进行的访问超过400000次,而且这些数字预计现在将会持续增加。访问数据库的方式主要有三种:TRW的客户可以通过在线访问查询消费者的信用信息,从账户接收到的消息每月都会进行更新,并且会纠正错误以及修改不准确的地方。Discovery系统会检查每一个未经授权的行为活动。
Discovery是一个统计推断系统,通过统计分析判断输入数据的模式。它的目标包括黑客、私人调查员和罪犯。它的设计主要是用来检测三种类型的活动,即未经授权的用户访问,未经授权的用户进行未经授权的活动,和无效的交易。审计数据的处理是在每日分批进行。
系统运行
- 客户查询
Discovery系统的处理顺序如下。首先丢弃无效的格式记录,然后通过模式识别模块对有效记录进行排序和处理。查询主要是将查询的文件和非法访问模型相比较。涉嫌滥用的访问代码将会被标记并且进行更为严格的审查。
该系统为每个客户的服务类型和访问方法生成一个用户配置文件,这些配置文件每日都会进行更新。该系统会基于每个查询变量生成统计模式、访问特性(例如查询时间)、和信用记录的特征(例如地理区域)。
每个变量都会在日益的积累中产生一个公差,并且会随时间的增加而逐渐减小。主要有下面三种类型:每个查询的全局,每个用户日常模式的全局,和每个用户模式的行业格局。该系统的输出是一个异常数据文件,该文件列出了异常的原因,以及一个报告模块。调查数据也存储在数据库中,
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[152574],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。