论文部分内容阅读
研究入侵检测的思想与技术是最能体现人类智慧的领域,在这个领域里你永远不愁缺少敌人、不愁缺少批判者与支持者,放弃自我挑战与逃避市场的一方只有一条出路,就是——出局。
人们在看待与分析问题时常常会陷入“灯下黑”与“当局者迷”的情境,不到山穷水尽的时候我们不太容易去正视与自身密切相关的问题,更遑论进行自我剖析了。从技术发展的角度来看,至今我们技术发展的核心指导思想就是从最简单的社会行为学慢慢转向高级而复杂的人类智能科学,我们所津津乐道的将成为21世纪主宰的信息化技术的发展遵循的也是这条规律,理由很简单,技术是由人类推动的,自然体现了人类的事件处理模式。入侵检测技术的研究轨迹可以清晰地刻画出其从社会行为模式研究转向人类思维研究实现的轨迹。
入侵检测孕育历程
1980年,Anderson第一次提出日志跟踪可用于监视对计算机的威胁。但是日志的重要性在那时没有被理解,因为在当时的条件下系统的安全问题还没有什么分量,系统所涉及到的安全事件处理主要集中在对非授权用户的非法访问上。当然,在互联网技术还谈不上普及的时候不等于没有网络安全问题,惯于未雨绸缪的美国人在1983年考虑到了计算机安全问题的可能发展,出版了计算机系统评估标准——“黄皮书”,在该标准中提供了一系列的评估计算机安全控制有效性的标准,这为安全领域的发展定了目标。
在1987年,Denning在她的博士论文中提出了一个抽象的入侵检测专家系统模型,第一次提出把入侵检测作为解决计算机系统安全问题的手段。入侵检测技术的发展契机出现在1988年,这一年的因特网蠕虫程序感染了成千上万台机器,使得正常活动中断了好几天,当时采用的人工检测至少被证明在面对类似病毒面前是行不通的。与此同时, Denning的入侵检测模型被Lunt作为参考并创建了入侵检测专家系统的原型系统;随后Smaha改进了Haystack系统,为了协助美国空军办公室检测空军配备的主机误用情况;Sebring改进了MIDAS(多路入侵检测和告警系统),用于监视美国国家计算机安全中心的Dockmaster系统。这是入侵检测技术真正进入应用领域。到了90年代,互联网技术开始普及发展,网络安全问题慢慢浮出水面,于是在1990年,Heberlein提出现在所称呼的NID的新概念,当时称为NSM(网络安全监视),用来检测所监视的广域网的网络流量中的疑似行为,这使得入侵检测技术的应用范围从单机迈向网络应用。入侵检测的模型有了,实现的技术也有了,以下的发展就很好理解了,在使用中发现单一的主机检测或是网络流量检查都存在缺陷,于是从组织的角度进行改进,这比起发展技术来快捷的多。
所以,1991年,由Jackson 和Hochberg提出NADIR(网络异常检测和入侵报告)和 DIDS(分布式入侵检测系统)这一与前面不同的思想也就不足为奇了,他们的思想主要是收集多个主机的日志,加以综合,用于检测协同攻击。随着互联网的快速膨胀,需要更灵活、快速与面向局域网及广域网的检测手段,于是在1994年Crosbie和Spafford建议使用自动代理提高入侵检测系统的使用范围、维护能力、有效性和容错能力。1995年开始是入侵检测技术自我完善发展的阶段,概念由Javitz 研制的IDES(入侵检测专家系统)改进版问世,叫做NIDES(下一代IDES),次年由Cheung 和Staniford完成的GrIDS的设计和实现解决了当时大部分入侵检测系统的应用规模缺陷。到了1998年,Anderson和 Khattak提供一个入侵检测新方法,通过合并相关的信息技术,整合到入侵检测的检测工具中来提高检测能力,信息融合手段大行其时,这些相关的信息技术中包括了生物学、人类行为学等智能科学。
鸡肋成长的烦恼
毫无疑问,1998年以前是入侵检测技术从尝试性走向市场化的时期,也是入侵检测技术从观念提出、安全公司百花齐放到统一市场标准的时期,这个阶段该技术采用的方法主要有以规则匹配为主导的专家系统、基于模型的入侵检测、状态转换分析、统计方法、预测模式生成法和神经网络法。1998年以后,则是入侵检测技术的自我完善时期,在这个阶段,安全问题的快速发展使得入侵检测技术具备广大的市场发展机遇,但是其自身存在的各种技术缺陷却有使它散失机会的危险。这些危机迫使入侵检测思想方法从得心应手的社会模式转向我们最不熟悉的人类自身研究,包括了行为学、思维、生理学、生物进化等,并进一步扩大到我们人类的所处的生态学研究。面向海量数据的数据挖掘方法从采用人们常用的分类、连接分析和顺序分析发展向模糊分析,基于代理的检测方法从固定分拣走向移动检测,免疫系统方法利用生理免疫系统和系统保护机制之间的相似性发展新的检测算法与模型,还有遗传进化方法、神经网络技术、人工情感方法等等。
不可否认,入侵检测现在仍然是一个令人灰心但又令人着迷的问题,它吸引着安全领域各类人员的注意,包括那些最有天分的人的注意。入侵检测系统面临着的许多技术上的挑战,如高速嗅探技术、太高的误警和漏警率、自适应能力、实时检测能力等,这些技术的可能解决办法直接指向人类对智能领域的理解与驾驭能力,在我们未找到技术方法突破口时,入侵检测领域只能扮演安全领域中鸡肋的角色。
人们在看待与分析问题时常常会陷入“灯下黑”与“当局者迷”的情境,不到山穷水尽的时候我们不太容易去正视与自身密切相关的问题,更遑论进行自我剖析了。从技术发展的角度来看,至今我们技术发展的核心指导思想就是从最简单的社会行为学慢慢转向高级而复杂的人类智能科学,我们所津津乐道的将成为21世纪主宰的信息化技术的发展遵循的也是这条规律,理由很简单,技术是由人类推动的,自然体现了人类的事件处理模式。入侵检测技术的研究轨迹可以清晰地刻画出其从社会行为模式研究转向人类思维研究实现的轨迹。
入侵检测孕育历程
1980年,Anderson第一次提出日志跟踪可用于监视对计算机的威胁。但是日志的重要性在那时没有被理解,因为在当时的条件下系统的安全问题还没有什么分量,系统所涉及到的安全事件处理主要集中在对非授权用户的非法访问上。当然,在互联网技术还谈不上普及的时候不等于没有网络安全问题,惯于未雨绸缪的美国人在1983年考虑到了计算机安全问题的可能发展,出版了计算机系统评估标准——“黄皮书”,在该标准中提供了一系列的评估计算机安全控制有效性的标准,这为安全领域的发展定了目标。
在1987年,Denning在她的博士论文中提出了一个抽象的入侵检测专家系统模型,第一次提出把入侵检测作为解决计算机系统安全问题的手段。入侵检测技术的发展契机出现在1988年,这一年的因特网蠕虫程序感染了成千上万台机器,使得正常活动中断了好几天,当时采用的人工检测至少被证明在面对类似病毒面前是行不通的。与此同时, Denning的入侵检测模型被Lunt作为参考并创建了入侵检测专家系统的原型系统;随后Smaha改进了Haystack系统,为了协助美国空军办公室检测空军配备的主机误用情况;Sebring改进了MIDAS(多路入侵检测和告警系统),用于监视美国国家计算机安全中心的Dockmaster系统。这是入侵检测技术真正进入应用领域。到了90年代,互联网技术开始普及发展,网络安全问题慢慢浮出水面,于是在1990年,Heberlein提出现在所称呼的NID的新概念,当时称为NSM(网络安全监视),用来检测所监视的广域网的网络流量中的疑似行为,这使得入侵检测技术的应用范围从单机迈向网络应用。入侵检测的模型有了,实现的技术也有了,以下的发展就很好理解了,在使用中发现单一的主机检测或是网络流量检查都存在缺陷,于是从组织的角度进行改进,这比起发展技术来快捷的多。
所以,1991年,由Jackson 和Hochberg提出NADIR(网络异常检测和入侵报告)和 DIDS(分布式入侵检测系统)这一与前面不同的思想也就不足为奇了,他们的思想主要是收集多个主机的日志,加以综合,用于检测协同攻击。随着互联网的快速膨胀,需要更灵活、快速与面向局域网及广域网的检测手段,于是在1994年Crosbie和Spafford建议使用自动代理提高入侵检测系统的使用范围、维护能力、有效性和容错能力。1995年开始是入侵检测技术自我完善发展的阶段,概念由Javitz 研制的IDES(入侵检测专家系统)改进版问世,叫做NIDES(下一代IDES),次年由Cheung 和Staniford完成的GrIDS的设计和实现解决了当时大部分入侵检测系统的应用规模缺陷。到了1998年,Anderson和 Khattak提供一个入侵检测新方法,通过合并相关的信息技术,整合到入侵检测的检测工具中来提高检测能力,信息融合手段大行其时,这些相关的信息技术中包括了生物学、人类行为学等智能科学。
鸡肋成长的烦恼
毫无疑问,1998年以前是入侵检测技术从尝试性走向市场化的时期,也是入侵检测技术从观念提出、安全公司百花齐放到统一市场标准的时期,这个阶段该技术采用的方法主要有以规则匹配为主导的专家系统、基于模型的入侵检测、状态转换分析、统计方法、预测模式生成法和神经网络法。1998年以后,则是入侵检测技术的自我完善时期,在这个阶段,安全问题的快速发展使得入侵检测技术具备广大的市场发展机遇,但是其自身存在的各种技术缺陷却有使它散失机会的危险。这些危机迫使入侵检测思想方法从得心应手的社会模式转向我们最不熟悉的人类自身研究,包括了行为学、思维、生理学、生物进化等,并进一步扩大到我们人类的所处的生态学研究。面向海量数据的数据挖掘方法从采用人们常用的分类、连接分析和顺序分析发展向模糊分析,基于代理的检测方法从固定分拣走向移动检测,免疫系统方法利用生理免疫系统和系统保护机制之间的相似性发展新的检测算法与模型,还有遗传进化方法、神经网络技术、人工情感方法等等。
不可否认,入侵检测现在仍然是一个令人灰心但又令人着迷的问题,它吸引着安全领域各类人员的注意,包括那些最有天分的人的注意。入侵检测系统面临着的许多技术上的挑战,如高速嗅探技术、太高的误警和漏警率、自适应能力、实时检测能力等,这些技术的可能解决办法直接指向人类对智能领域的理解与驾驭能力,在我们未找到技术方法突破口时,入侵检测领域只能扮演安全领域中鸡肋的角色。