欢迎来到天天文库
浏览记录
ID:18319695
大小:122.50 KB
页数:7页
时间:2018-09-17
《入侵和入侵检测技术发展综述》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、入侵和入侵检测技术发展综述卢涛1,马力21.西安电子科技大学2.西安邮电学院摘 要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程。文章以历史和实践的观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程。关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史1 引 言 自从计算机问世以来,安全问题就一直存在。特别是随着Internet的迅
2、速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。 入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动。本文主要
3、讨论入侵和入侵检测技术从20世纪70年代初到今天的发展历程。这个概念出自JamesP.Anderson在1972年的一项报告,随后的30多年中,概念本身几乎没有改变。2 入侵行为的概念、分类和演化从最早期的计算机安全开始,人们就密切关注恶意使用者破坏保护机制的可能性。早期系统多为多用户批处理系统。这个时期,主要的威胁来自系统的合法使用者,他们企图得到未经授权的材料。到了20世纪70年代,分时系统和其他的多用户系统已成气候,WillisHWare主持的计算机安全防御科学特别工作小组提供了一项报告,为处理多级数据的计算机系统的发展奠定了基础。但这篇报告并没有受到应有
4、的重视,直到70年代中期,人们才开始进行构建多级安全体系的系统研究。 1980年4月,詹姆斯·安德森(JamesP.Anderson)为美国空军做的题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念,并首先为入侵和入侵检测提出了一个统一的架构,这是该领域的开山之作。他在论文中给出了入侵和入侵检测技术方面的概念: 威胁(Threat) 可能存在有预谋的、未经认可的尝试:①存取数据;②操控数据;③使系统不可靠或无法使用。危险(Risk) 意外
5、的和不可预知的数据暴露,或者,由于硬件故障、软件设计的不完整和不正确所造成的违反操作完整性的问题。 脆弱性(Vulnerability) 已知的或可疑的硬件或软件设计中的缺陷;使系统暴露的操作;意外暴露自己信息的操作。攻击(Attack) 实施威胁的明确的表达或行为。渗透/入侵(Penetration)一个成功的攻击;(未经认可的)获得对文件和程序的使用,或对计算机系统的控制。威胁概念中的③包括DOS(DenialOfService)“拒绝服务攻击”。盗用计算资源也属于这个类别之内。一般来说,外部入侵者的首要工作是进入系统。所外人,也可能是合法用户,但违规使用
6、了未经授权的资源。另一方面,除了拒绝服务攻击外,多数攻击都需要入侵者取得用户身份。Anderson更进一步把入侵情况按表1所示分类。 20世纪80年代中后期,网络计算已经相当普遍,渗透和入侵也更广泛。但许多厂商和系统管理员却疏忽了这个危险。一些厂商在售出的系统中预先定义管理账户(曾有厂商使用Username:system,Password:manager),而很多系统操作员却大意地忘记了改变这个缺省设置。 1988年11月2日,第一个大范围的Internet上的攻击和渗透事件发生了。肇事者是“莫理斯蠕虫”,他采用多种传输技术在系统间复制,利用的是发送邮件程序的
7、漏洞,这个漏洞允许邮寄的指令能在异地系统上执行。除此之外,蠕虫也利用在finger守护进程溢出串变量来扩散。蠕虫代码中还包含了一个高效的口令破解程序,他尝试破解被他传染的系统上的使用者的密码。在“莫理斯蠕虫”之后,DARPA建立了“计算机紧急情况反应小组”,也就是现在SEI(软件工程学会)的CERT(ComputerEmergencyResponseTeam)。 1996年,在线杂志Phrack发表了一篇缓冲溢出攻击的文章,随后这种攻击事件就多了起来。CERT的一项研究显示,从1997年开始,缓冲溢出攻击变成逐渐严重。近年来报告给CERT/CC的攻击事件中涉及
8、缓冲溢出的百分比上升,这
此文档下载收益归作者所有