自动防御***
周夕崇

  ***检测技术是一种利用***者留下的痕迹,如试图登录的失败记录等信息来有效地发现来自外部或内部的非法***的技术。它以探测与控制为技术本质,起着主动防御的作用,是网络安全中极其重要的部分。本文将简要介绍***检测技术的工作原理、分类、功能结构以及发展现状。
***检测技术原理
***检测可分为实时***检测和事后***检测两种。其原理分别如下图所示:
  实时***检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现***迹象立即断开***者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后***检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断用户是否具有***行为,如果有就断开连接,并记录***证据和进行数据恢复。事后***检测是管理员定期或不定期进行的,不具有实时性,因此防御***的能力不如实时***检测系统。
***检测方法的分类
1.基于用户行为概率统计模型的***检测方法
  这种***检测方法是基于对用户历史行为建模以及在早期的证据或模型的基础上,审计系统实时的检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时,保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为,生成每个用户的历史行为记录库,当用户改变他们的行为习惯时,这种异常就会被检测出来。
2.基于神经网络的***检测方法
  这种方法是利用神经网络技术来进行***检测。因此,这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出***可能性的判断。但该方法还不成熟,目前还没有出现较为完善的产品。
3.基于专家系统的***检测技术
  该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统,由此专家系统自动进行对所涉及的***行为的分析工作。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。
4.基于模型推理的***检测技术
  该技术根据***者在进行***时所执行的某些行为程序的特征,建立一种***行为模型,根据这种行为模型所代表的***意图的行为特征来判断用户执行的操作是否是属于***行为。当然这种方法也是建立在对当前已知的***行为程序的基础之上的,对未知的***方法所执行的行为程序的模型识别需要进一步的学习和扩展。
  以上几种方法每一种都不能保证能准确地检测出变化无穷的***行为。因此在网络安全防护中要充分衡量各种方法的利弊,综合运用这些方法才能有效地检测出***者的非法行为。
***检测系统的功能和结构
  总的来讲,***检测系统的功能有:
  监视用户和系统的运行状况,查找非法用户和合法用户的越权操作。
  检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞。
  对用户的非正常活动进行统计分析,发现***行为的规律。
  检查系统程序和数据的一致性与正确性。如计算和比较文件系统的校验和。
能够实时对检测到的***行为进行反应。
操作系统的审计跟踪管理。
  根据以上***检测系统的功能,可以把它的功能结构分为两个大的部分:中心检测平台和代理服务器。代理服务器是负责从各个操作系统中采集审计数据,并把审计数据转换成平台无关的格式后传送到中心检测平台,或者把中心平台的审计数据需求传送到各个操作系统中。而中心检测平台由专家系统、知识库和管理员组成,其功能是根据代理服务器采集来的审计数据进行专家系统分析,产生系统安全报告。管理员可以向各个主机提供安全管理功能,根据专家系统的分析向各个代理服务器发出审计数据的需求。另外,在中心检测平台和代理服务器之间是通过安全的RPC进行通信。其功能结构如右图所示:
***检测技术的发展现状
  目前国外一些研究机构已经开发出了应用于不同操作系统的几种典型的***检测系统(IDS),它们通常采用静态异常模型和规则的误用模型来检测侵入。这些IDS的检测基本是基于服务器或基于网络的。基于服务器的IDS采用服务器操作系统的检测序列作为主要输入源来检测侵入行为,而大多数基于网络的IDS则以监控网络故障作为检测机制,但有些则用基于服务器的检测模式和典型的IDS静态异常算法。早期的IDS模型设计用来监控单一服务器,是基于主机的***检测系统;然而近期的更多模型则集中用于监控通过网络互连的多服务器,是基于网络的侵入检测系统。
  总之,由于***检测技术在网络安全防护中所起的作用至关重要,因此受到了广泛的重视。我们相信随着检测技术的不断改进和提高,我们将能构造出更加安全可靠的网络防护体系。