1.入侵技术在不断发展
网络预警技术以网络攻击技术研究为依托,通过跟踪入侵技术的发展,增强入侵检测能力。入侵方法涉及到操作系统方方面面的漏洞,如系统设计缺陷、编码缺陷、系统配置缺陷、运行管理缺陷,甚至系统中预留的后门等。在Internet上有大量的黑客站点,发布大量系统漏洞资料和探讨攻击方法。全世界的黑客都可以利用这些共享资源来进行攻击方法的研究与传播,使得新的攻击方法能够以最快的速度成为现实的入侵武器。更为令人担忧的是有组织的活动,国外已将信息战手段同核武器、生化武器并列在一起,作为战略威慑加以讨论,破坏者所具备的能力,对我们而言仍是一个很大的未知数。
入侵技术的发展给预警造成了很大的困难,特别是对基于入侵模式识别的预警系统。预先了解所有可能的入侵方法比较困难,因此一个有效的预警系统不仅需要识别已知的入侵模式,还要有能力对付未知的入侵模式。网络预警技术亦步亦趋地紧跟在已识别的入侵模式之后固然能够大大加强网络的安全防范,但这并不是唯一的发展方向。入侵检测技术从监测网络的异常活动和网络的正常活动两个角度来进行入侵检测则会更为有效。同时预警系统应有一定的学习能力,智能化地校正误警和漏警,提高预警的准确性。
2.入侵活动可以具有很大的时间跨度和空间跨度
有预谋的入侵活动往往有较周密的策划、试探性和技术性准备,一个入侵活动的各个步骤有可能在一段相对长的时间跨度和相当大的空间跨度之上分别完成,给预警带来困难。一个检测模型总会有一个有限的时间窗口,从而忽略滑出时间窗口的某些事实。同时,检测模型对于在较大空间范围内发生的异常现象的综合、联想能力也是有限的。
3.非线性的特征还没有有效的识别模型
入侵检测技术的难度不仅仅在于入侵模式的提取,更在于入侵模式的检测策略和算法。因为入侵模式是一个静态的事物,而现实的入侵活动则是灵活多变的。有效的入侵检测模型应能够接受足够大的时间跨度和空间跨度。从技术上说,入侵技术已经发展到一定阶段,而入侵检测技术在理论上、模型上和实践上还都没有真正发展起来。在市场上能够看得到的入侵检测系统也都处在同一水平上。我们分析,先进国家重要网络上配置的入侵检测系统应不是这一水平的技术,或者他们也在寻求其他更为有效的检测手段。
面对复杂的网络入侵活动,网络预警技术的研究不仅仅包括入侵技术的研究,而且要更重视建立入侵检测策略和模型的理论研究。
四、预警研究的主要内容
网络预警技术研究的内容主要包括:网络入侵技术研究、检测模型研究、审计分析策略研究等。通过将这些技术组合起来,形成一个互动发展的有机体。
1.入侵技术研究
入侵技术研究包括三个部分:
第一,密切跟踪分析国际上入侵技术的发展,不断获得最新的攻击方法。通过分析这些已知的攻击方法,丰富预警系统的检测能力。
第二,加强并利用预警系统的审计、跟踪和现场记录功能,记录并反馈异常事件实例。通过实例分析提取可疑的网络活动特征,扩充系统的检测范围,使系统能够应对未知的入侵活动。
第三,利用攻击技术的研究成果,创造新的入侵方法,并应用于检测技术。
<<上一页
1
2
3
下一页>>
