关键字:入侵检测;协议分析;模式匹配;智能关联a
1引言
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和
网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致IDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了IDS发挥实际的作用。
本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络
安全的运行。
2入侵检测系统
入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS(IntrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。
现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。
入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被IDS检测为攻击事件。(2)漏报:攻击事件未被IDS检测到或被分析人员认为是无害的。
3降低IDS误报率方法研究
3.1智能关联
智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。
智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。
3.1.1被动指纹识别技术的工作原理
被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(WINDOWSIZE)、数据报存活期(TTL)、DF(dontfragment)标志以及数据报长(Totallength)。
窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值可以代表不同的操作系统(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。
IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程
具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。
因此当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。
3.2告警泛滥抑制
IDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。
所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。
3.3告警融合
该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。
4降低IDS漏报率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。
单一的模式匹配方法使得IDS检测慢、不准确、消耗系统资源,并存在以下严重问题:
(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。
(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。
(3)一个基于模式匹配的IDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。
可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网
4.2协议分析方法分析
在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。
根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当IDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于TCP的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。
每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在HTTP协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。
分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。
因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。
5结束语
本文对几种降低IDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前IDS的误报和漏报是不可能彻底解决的。因此,IDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高IDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,IDS才能成为网络安全的重要基础设施。
参考文献:
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.
[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.
[3]戴连英,连一峰,王航.系统安全与入侵检测技术[M].北京:清华大学出版社,2002(3).
[4]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006:48-56.
工作方案
为全面了解全镇村级党组织运行情况,进一步加强村级组织建设,提升基层组织战斗力,助推村(社区)党组织书记、村(居)委会主任“一肩挑”工作。现就开展村“两委”班子运行情况分析研判制定如下方案。
一、研判对象及研判时间
(一)研判对象。各村村“两委”班子及成员,党组织书记、村委会主任。
(二)时限要求。从7月8日开始----7月底结束。
三、研判重点及内容
(一)对村“两委”班子研判。重点就村党组织班子结构、整体功能、运行状况和存在问题进行全面摸排,针对存在的问题提出相应措施,对班子建设作出中长期规划。
1.结构分析。村“两委”班子职数配备情况,年龄构成、政治面貌、学历、性别、群众认可度及整体结构情况等,研判班子配备是否合理。
2.能力和工作成效。在党建、环保、扫黑除恶等履职情况。乡村振兴和脱贫攻坚,党委政府安排工作落实情况等。
3.廉洁自律。以巡察反馈为主,项目建设、落实财政补贴、严格财经纪律等方面情况,重点看涉农补贴资金是否存在冒领、虚报、克扣、挪用、截留以及优亲厚友、发放不及时等现象。
4.群众评价。主要看村“两委”班子政治表现、带富能力、工作作风、群众满意度等方面情况,重点看村“两委”班子是否自觉主动加强思想政治学习,“三会一课”是否执行到位;村“两委”班子成员服务群众意识强不强,是否存在“官僚作风”问题,处事是否公平公正;是否建立值班制度并严格落实;群众是否满意村“两委”工作等,研判班子的口碑形象。
5.存在问题。广泛深入查找村党组织班子存在的问题,并认真进行剖析,提出对策建议。对涉及“村霸”现象等苗头性问题,做到提前预知、预警,将相关线索及时报镇组织人事办。
6.整体态势评估。对村“两委”班子发展趋势作出良性上升、平稳发展或潜在下滑的判断。
(二)对村党组织书记、村委会主任及文书研判。重点就村党组织书记和村委会主任的个性特点、履职情况进行分析评估,对存在或潜在的问题研判,对人员调整做出妥善安排。
1.个性特点分析。对村党组织书记、村委会主任及文书的年龄、学识、能力、性格特点、心理素质、精神状态进行分析。
2.履行职责评估。对工作思路、工作实绩、工作作风、目标责任完成情况、联系服务群众情况、廉洁自律情况进行评估,重点对照竞选承诺,评估完成情况。
3.存在问题研判。要对存在或者潜在问题认真剖析,重点
研究,找出原因,积极整改。
4.整体评估。对村党组织书记、村委会主任、文书工作
能力和履职情况作出好、一般或差的判断。
(三)深入排查”村霸“问题线索。各村要结合此次研判工作,排查和掌握可能涉及”村霸“问题的相关线索及时上报镇党委。
(四)后备干部挖掘。经过研判,看班子是保留或是采取“一肩挑”,如果采取一肩挑,请提出建议人选。
四、研判方法及程序
镇党委成立研判工作领导小组,组成9个研判组,分别由镇领导班子成员为组长,统筹抓好研判工作,各驻村干部任成员,具体负责抓联系村研判工作的落实。本次研判主要包括以下四个程序:
(一)个别谈话。谈话范围与研判工作会范围相同。谈话内容除研判工作主要内容外,主要是了解干部思想动态、履职成效、作风表现和群众评价,听取对村“两委”的意见建议,要重点听取对班子及其成员的评价,分清哪些干部评价好、各方面表现突出;哪些干部公认度不高或存在违纪违法等问题。贫困村在开展此项工作的同时,要注意听取对第一书记的评价。每个村个别谈话不少于10人。
(二)实地走访。主要对个别座谈中评价好和评价不高的两类干部进行实地走访了解,对评价好的干部,要在实地走访中详细了解其政治立场、价值取向、能力素质、工作实绩、性格气质、群众口碑、兴趣爱好、优缺点等方面的情况,重点核实在座谈中对其工作能力和工作实绩的评价;对评价不高的干部,在实地走访中要仔细核实相关反映的问题是否属实,对一时难以弄清的问题,要书面报镇纪委调查并给出明确意见。
(三)撰写结论报告。调研结束后,各研判组要对村“两委”班子运行情况特别是村党组织书记、村委会主任、文书、贫困村第一书记履职情况进行综合评估,并形成结论性报告,提交镇党委会集体研究。报告要对村“两委”班子调整提出初步意见,分析比较提出班子成员中表现较为优秀和人岗相适度较低的人员名单,摸清楚村“两委”干部能够“一肩挑”和后备干部情况。
(四)镇党委研究。以党委会形式,对各研判组提交的评估报告,一个村一个村地进行研究。针对村党组织班子运行存在突出问题的,要制定整顿措施,建立工作台账。对已确定的软弱涣散村党组织,要摸清整顿进度和整顿成效。针对村“两委”班子成员,明确“巩固提高”“思想转化”“培训体能”“调整撤换”等意见,对可进行思想转化的由镇班子成员逐一谈心谈话,促进思想转变到位,工作提升到到位;适合一肩挑的村采取推行“一肩挑”,按程序启动。
五、组建研判工作组
第一组研判组长:XX成员:XX、XX
负责研判XX村、XX村
第二组研判组长:研判组长:XX成员:XX、XX
负责研判XX村、XX村
第三组研判组长:研判组长:XX成员:XX、XX
负责研判XX村、XX村
第四组研判组长:研判组长:XX成员:XX、XX
负责研判XX村、XX村。
第五组研判组长:研判组长:XX成员:XX、XX
负责研判XX村、XX村。
第六组研判组长:研判组长:XX成员:XX、XX
负责研判XX村、XX村。
第七组研判组长:研判组长:XX成员:XX、XX
负责研判XX村、XX村。
第八组研判组长:研判组长:XX成员:XX、XX
负责研判XX村、XX村
第九组研判组长:研判组长:XX成员:XX、XX
负责研判XX村、XX村。
六、工作要求
(一)加强领导,高度重视。各村及驻村干部要高度重视,认真做好这次综合研判工作。镇党委成立以党委书记为组长,领导班子成员任副组长,驻村干部为成员的领导小组,具体负责安排并督促相关工作开展。