基于入侵檢測(cè)系統(tǒng)構(gòu)建的研究

摘要：隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展， 網(wǎng)絡(luò)入侵事件的發(fā)生也漸漸的增多。從網(wǎng)絡(luò)安全立體、縱深、多層次防御的角度出發(fā)，入侵檢測(cè)系統(tǒng)和技術(shù)得到的高度重視。另議方面隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜，防火墻技術(shù)所表現(xiàn)出來的不足引出了人們對(duì)入侵檢測(cè)系統(tǒng)（IDS）技術(shù)的研究和開發(fā)。該文就入侵檢測(cè)系統(tǒng)定義、入侵檢測(cè)系統(tǒng)分類、入侵檢測(cè)系統(tǒng)功能模塊作了一定的分析，并對(duì)入侵檢測(cè)系統(tǒng)作了簡(jiǎn)單的前景預(yù)測(cè)。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)入侵

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)29-0318-02

Construction of Intrusion Detection System Based on the Research

LI Fu-chun

(Computer Science College，Central South University of Forestry and Technology，Changsha 410004，China)

Abstract: along with the network technical fast development， the network invading also gradually increased. Set out from the stereoscopic of network safety， deeply and multi-layer defensive angle， the IDS technique get the height value.The another argument is along with the technical development， the network is gradually complicated， the shortage of firewall technique make people absorbed in the researching and developing the technique of IDS. The thesis analysed the definition， Category and function mold of the IDS， and simply predict the foreground of the IDS.

Key word: Invading and detecting system; network safety; the network invading

計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。借助于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，人們實(shí)現(xiàn)了跨地區(qū)的電子銀行、電子商務(wù)、電子政務(wù)、電子家務(wù)、金融網(wǎng)絡(luò)、制造資源管理和網(wǎng)絡(luò)虛擬社區(qū)等多種應(yīng)用。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使計(jì)算機(jī)網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌行為的攻擊，網(wǎng)上信息的安全和保密成為一個(gè)至關(guān)重要的問題。同時(shí)，現(xiàn)有系統(tǒng)及一些應(yīng)用軟件中普遍存在著的漏洞，使得信息安全和系統(tǒng)安全問題在網(wǎng)絡(luò)環(huán)境下變得越來越突出。入侵檢測(cè)作為安全防范的最后一道防線，可以及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞及入侵動(dòng)機(jī)和行為、促使管理人員及時(shí)修正、顯著地減少被入侵的可能性和可能造成的損失。

1 定義

入侵檢測(cè)系統(tǒng)（IDS）是一種分析系統(tǒng)和網(wǎng)絡(luò)上未經(jīng)授權(quán)的進(jìn)入和（或）有不良企圖的活動(dòng)的積極進(jìn)程或設(shè)備。IDS檢測(cè)異常情況的方法可能會(huì)大相徑庭；但是它們的最終目的都是在攻擊者還未對(duì)你的系統(tǒng)造成損害前當(dāng)場(chǎng)捕捉他們。通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（In-trusion Detection System，簡(jiǎn)稱 IDS）。

它是一種不同于防火墻的、主動(dòng)保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全系統(tǒng)，是防火墻合理和必要的補(bǔ)充。它完全改變了傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系被動(dòng)防守的局面，使網(wǎng)絡(luò)安全防護(hù)變得更積極、更主動(dòng)，特別是 IDS 的可視化安全管理功能給網(wǎng)絡(luò)安全防護(hù)工作帶來了革命性的變化。

2 入侵檢測(cè)系統(tǒng)的工作流程

1)信息收集。入侵檢測(cè)的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為；而且需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)收集信息。這除了盡可能擴(kuò)大檢測(cè)范圍的因素外，還有一個(gè)重要的原因就是從一個(gè)源來的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。

2) 信息分析。對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則多用于事后分析。

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用特定的模板進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。一般來講， 一種進(jìn)攻模式可以用一個(gè)過程或一個(gè)輸出來表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都比較高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的入侵手法，不能識(shí)別未知入侵手段。

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。

完整性分析主要關(guān)注于某個(gè)文件或?qū)ο笫欠癖桓模?通常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制 - 消息摘要函數(shù)能夠識(shí)別文件的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。

3) 信息存儲(chǔ)。為了便于系統(tǒng)管理員對(duì)攻擊信息進(jìn)行查看和分析， 需要將入侵檢測(cè)系統(tǒng)收集到的信息進(jìn)行保存。存儲(chǔ)的信息同時(shí)也為攻擊保留了數(shù)字證據(jù)。

4) 攻擊響應(yīng)。在對(duì)攻擊信息進(jìn)行分析并確定攻擊的類型后，我們要對(duì)攻擊進(jìn)行相應(yīng)的處理: 如利用發(fā)出警報(bào)、給系統(tǒng)管理員發(fā)出郵件等手動(dòng)干預(yù)的方式來對(duì)付攻擊， 或是利用自動(dòng)裝置直接處理：如切斷連接，過濾攻擊者的 IP 地址等。

3 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)

入侵檢測(cè)系統(tǒng)可設(shè)計(jì)為為四大部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺(tái)子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)，如附圖所示：

3.1 數(shù)據(jù)采集子系統(tǒng)

數(shù)據(jù)采集子系統(tǒng)是信息采集，采集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

數(shù)據(jù)采集子系統(tǒng)位于 IDS 的最底層，其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件，并向其他部分提供事件。在實(shí)現(xiàn)的過程中，將網(wǎng)卡置于“混雜”模式，捕獲某個(gè)網(wǎng)段上所有的數(shù)據(jù)流。

首先應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備，如果你的網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的 PC機(jī)安裝，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺(tái)性能較高的機(jī)器。首先為底層網(wǎng)絡(luò)監(jiān)控提供了一個(gè)可移植的框架，可用于網(wǎng)絡(luò)統(tǒng)計(jì)收集、安全監(jiān)控、網(wǎng)絡(luò)調(diào)試等應(yīng)用。

然后讀取數(shù)據(jù)包首部，具體執(zhí)行過濾轉(zhuǎn)換、獲取和顯示數(shù)據(jù)等功能。幫助我們描述系統(tǒng)的正常行為，并最終識(shí)別出那些不正常的行為。

3.2 建立數(shù)據(jù)分析模塊

數(shù)據(jù)分析模塊：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，被送到數(shù)據(jù)分析模塊，檢測(cè)引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生一個(gè)警告并發(fā)送給控制臺(tái)。

設(shè)計(jì)者需要對(duì)各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、等行為有一個(gè)很深刻清醒的認(rèn)識(shí)研究，然后制訂相應(yīng)的安全規(guī)則庫和安全策略，再分別建立濫用檢測(cè)模型和異常檢測(cè)模型，讓機(jī)器模擬自己的分析過程，識(shí)別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報(bào)警消息，發(fā)送給控制管理中心。

3.3 控制臺(tái)子系統(tǒng)

控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡(jiǎn)單的警告。控制臺(tái)子系統(tǒng)的主要任務(wù)有兩個(gè)：1) 管理數(shù)據(jù)采集分析中心，顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報(bào)消息；2) 根據(jù)安全策略進(jìn)行一系列的響應(yīng)動(dòng)作，以阻止非法行為，確保網(wǎng)絡(luò)的安全。

3.4 數(shù)據(jù)庫管理子系統(tǒng)

一個(gè)好的入侵檢測(cè)系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實(shí)時(shí)、豐富的警報(bào)信息，還應(yīng)詳細(xì)地記錄現(xiàn)場(chǎng)數(shù)據(jù)，以便于日后需要取證時(shí)重建某些網(wǎng)絡(luò)事件。

4 入侵檢測(cè)系統(tǒng)發(fā)展趨勢(shì)

當(dāng)前入侵檢測(cè)技術(shù)的主要的發(fā)展方向：

1) 大規(guī)模分布式入侵檢測(cè)。傳統(tǒng)的入侵檢測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架， 顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè)，不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測(cè)技術(shù)。

2) 寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)，各種寬帶接入手段層出不窮，如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問題。

5 結(jié)束語

入侵檢測(cè)系統(tǒng)已經(jīng)走過了多年的發(fā)展歷程，入侵檢測(cè)系統(tǒng)已經(jīng)成為了繼防火墻之后的又一個(gè)主要的安全系統(tǒng)組成，選擇合適的產(chǎn)品和操作人員完成入侵檢測(cè)工作正成為信息安全領(lǐng)域的重要課題。入侵檢測(cè)技術(shù)特別是未來的發(fā)展趨勢(shì)對(duì)成功的實(shí)施入侵檢測(cè)是非常重要的。因?yàn)榫W(wǎng)絡(luò)攻擊的泛濫已經(jīng)成為全球性的課題，我們認(rèn)為在未來的若干年中基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)仍舊是主流趨勢(shì)。

參考文獻(xiàn)：

[1] 張超，霍紅衛(wèi).入侵檢測(cè)系統(tǒng)概述[J].計(jì)算機(jī)工程與應(yīng)用，2004，40(3):116-119.

[2] 楊小平.基于規(guī)范的入侵檢測(cè)方法[D].哈爾濱工程大學(xué)，2005.

[3] 周競(jìng).網(wǎng)絡(luò)入侵檢測(cè)及主動(dòng)響應(yīng)策略的研究[D].武漢理工大學(xué)，2005.

[4] 王永波，梅波.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].黑龍江科技信息，2008(12):68.

[5] http://if.ustc.edu.cn/~sunwq/dids.html[EB/OL].