技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種基于熵運(yùn)算的網(wǎng)絡(luò)入侵檢測方法。

背景技術(shù)

隨著網(wǎng)絡(luò)的開放性、共享性及互聯(lián)程度的擴(kuò)大，特別是因特網(wǎng)的出現(xiàn)，網(wǎng)絡(luò)的重要性以及對社會的影響也越來越大。互聯(lián)網(wǎng)Internet是一種開放的面向所有用戶的技術(shù)，資源共享和信息安全是一對矛盾。互聯(lián)網(wǎng)在提供信息共享并給我們帶來極大便利的同時(shí)，其自身的安全問題也日益突顯。根據(jù)計(jì)算機(jī)緊急情況響應(yīng)組(Computer?Emergency?Response?Teen，簡稱CERT)的統(tǒng)計(jì)數(shù)字顯示，隨著互聯(lián)網(wǎng)的發(fā)展，安全事件數(shù)量不斷上升。尤其是近兩三年，出現(xiàn)了成倍增長的急劇上升趨勢。根據(jù)粗略的統(tǒng)計(jì)，目前攻擊手段大約有兩三千種之多，常見的攻擊手段有：后門程序、木馬、緩沖區(qū)溢出攻擊、掃描、密碼破解攻擊、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、FINGER、FTP服務(wù)攻擊、TELNET服務(wù)攻擊、RPC服務(wù)攻擊、DNS服務(wù)攻擊、ICMP協(xié)議攻擊、WEB服務(wù)攻擊等等。以上這些只是部分常見攻擊類型，每種攻擊類型又包括了很多種不同的攻擊方法，例如拒絕服務(wù)攻擊就包括Syn-Flood、UDP-Flood、Ping-Flood、Land-based-Attack、Smurf?Attack、Ping?Of?Death等多種攻擊方法。由于Internet的開放互聯(lián)性、網(wǎng)絡(luò)協(xié)議自身的缺陷以及操作系統(tǒng)漏洞、系統(tǒng)應(yīng)用程序漏洞等多方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多的安全問題。網(wǎng)絡(luò)安全問題主要源于黑客的攻擊、管理的欠缺、網(wǎng)絡(luò)的缺陷、軟件的漏洞、網(wǎng)絡(luò)內(nèi)部的攻擊等幾個(gè)方面。為了盡量保障計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)特別是關(guān)鍵部門的信息安全，市場上涌現(xiàn)出了各種安全技術(shù)和產(chǎn)品，包括防火墻、安全路由器、身份認(rèn)證系統(tǒng)、VPN設(shè)備等，這些技術(shù)和產(chǎn)品對系統(tǒng)有一定的保護(hù)作用，但都屬于靜態(tài)安全技術(shù)范疇，不能主動跟蹤入侵者，也不能積極有效地防止來自網(wǎng)絡(luò)內(nèi)部的非法行為。為了確保網(wǎng)絡(luò)的安全，網(wǎng)絡(luò)系統(tǒng)中擁有的網(wǎng)絡(luò)安全性分析系統(tǒng)應(yīng)該能對系統(tǒng)進(jìn)行漏洞掃描，同時(shí)還要能對網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控、攻擊與反攻擊，因而，入侵檢測應(yīng)運(yùn)而生，入侵檢測的誕生是網(wǎng)絡(luò)安全需求發(fā)展的必然，它的出現(xiàn)給計(jì)算機(jī)安全領(lǐng)域注入了新的活力。

入侵檢測是一種通過收集和分析計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中關(guān)鍵點(diǎn)的信息，以檢查計(jì)算機(jī)或網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的跡象，并對此做出反應(yīng)，從而保護(hù)網(wǎng)絡(luò)和主機(jī)安全的系統(tǒng)。通過入侵檢測能識別外部對計(jì)算機(jī)或者網(wǎng)絡(luò)資源的惡意企圖和行為，以及內(nèi)部合法用戶超越使用權(quán)限的非法行為入侵檢測作為動態(tài)安全技術(shù)的核心技術(shù)之一，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，是安全防御體系的一個(gè)重要組成部分。

常規(guī)入侵檢測方法首先收集系統(tǒng)和網(wǎng)絡(luò)中的信息，然后對收集到的數(shù)據(jù)進(jìn)行分析，并采取相應(yīng)處置措施，其總體上包括以下三個(gè)步驟，如圖1所示：

1)信息收集

信息收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為，而且需要在計(jì)算機(jī)網(wǎng)絡(luò)的若干關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如不同網(wǎng)段和不同主機(jī))收集信息。這除了要盡可能擴(kuò)大收集范圍以外，還要對來自不同源的信息進(jìn)行綜合分析，比較之后得出問題的關(guān)鍵所在。收集信息的可靠性和正確性對入侵檢測系統(tǒng)非常重要。入侵檢測利用的信息來自系統(tǒng)和網(wǎng)絡(luò)日志文件、非正常的目錄和文件改變、非正常的程序執(zhí)行等方面。

2)信息分析

信息分析是對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，通過一定的技術(shù)手段進(jìn)行分析，如常用的模式匹配、統(tǒng)計(jì)分析和完整性分析等。其中，前兩種方法常用于實(shí)時(shí)的入侵檢測，而完整性檢測常用于事后分析。入侵檢測是一個(gè)典型的數(shù)據(jù)處理過程，它通過對大量的收集到的數(shù)據(jù)進(jìn)行分析，來判斷被監(jiān)控的系統(tǒng)或網(wǎng)絡(luò)是否被入侵。系統(tǒng)的檢測機(jī)制，起始就是一個(gè)系統(tǒng)主體行為的分類系統(tǒng)，它需要把對系統(tǒng)具有惡意的行為從大量的系統(tǒng)行為中辨別出來，而解決問題的關(guān)鍵就是如何從已知數(shù)據(jù)中獲得系統(tǒng)的正常行為模式和有關(guān)入侵行為模式(如何定義、描述系統(tǒng)的行為)。

3)結(jié)果處理

結(jié)果處理指控制臺根據(jù)報(bào)警產(chǎn)生預(yù)定義的響應(yīng)，采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的報(bào)警。