網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究與實(shí)現(xiàn)

摘要：隨著Internet 的普及和快速發(fā)展，網(wǎng)絡(luò)在帶給我們方便的同時(shí)，也給我們帶來(lái)了安全問(wèn)題，這就是網(wǎng)絡(luò)入侵。本文首先介紹了網(wǎng)絡(luò)入侵分類與方式，針對(duì)網(wǎng)絡(luò)的實(shí)際狀況，對(duì)典型的入侵檢測(cè)技術(shù)和入侵方式進(jìn)行了分析和比較，提出了基于網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)思想，在實(shí)踐中對(duì)系統(tǒng)設(shè)計(jì)框架進(jìn)行了部分實(shí)現(xiàn)，其具備基本的入侵檢測(cè)功能。

關(guān)鍵詞：計(jì)算機(jī)安全；網(wǎng)絡(luò)安全；入侵檢測(cè)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)32-1096-03

The Research and The Realization of The Network Invasion Detection System

ZHAO Zhuan-zheng， TIAN Wang-lan

(Hunan City University， Yiyang 413000， China)

Abstrac: With the Internet popularizing and rapidly development， the network brought to us in convenient， also brought about safe problem for us， which is the network's invasion. This paper first introduced the classification and network intrusion， for the actual network conditions， then analyzed and compared the typical intrusion detection technology and the way of the invasion. it put out the intrusion detection system design ideabased on the network in real-time monitoring. At last it has designed to realization partly in the framework of system， which has basic intrusion detection capacity in practice.

Key words: computer security; network security; intrusion detection

1 前言

1.1 入侵檢測(cè)技術(shù)概述

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。具體來(lái)說(shuō)，入侵檢測(cè)就是對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，檢測(cè)發(fā)現(xiàn)各種攻擊企圖、攻擊行為和攻擊或攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。

入侵檢測(cè)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全策略的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。

1.2 入侵檢測(cè)的功能及原理

一個(gè)入侵檢測(cè)系統(tǒng)，至少應(yīng)該能夠完成以下五個(gè)功能：監(jiān)控、分析用戶和系統(tǒng)的活動(dòng)；檢查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；發(fā)現(xiàn)入侵企圖或異常現(xiàn)象；記錄、報(bào)警和主動(dòng)響應(yīng)。因此，入侵檢測(cè)技術(shù)就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、入侵識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它能夠從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

所以，入侵檢測(cè)系統(tǒng)的原理就是通過(guò)收集網(wǎng)絡(luò)中的有關(guān)信息和數(shù)據(jù)，對(duì)其進(jìn)行分析發(fā)現(xiàn)隱藏在其中的攻擊者的足跡，并獲取攻擊證據(jù)和制止攻擊者的行為，最后進(jìn)行數(shù)據(jù)恢復(fù)，從而達(dá)到保護(hù)用戶網(wǎng)絡(luò)資源的目的。

1.3 入侵檢測(cè)系統(tǒng)的分類

根據(jù)信息源的不同，入侵檢測(cè)系統(tǒng)分為基于主機(jī)型和基于網(wǎng)絡(luò)型兩大類。

基于主機(jī)的入侵檢測(cè)系統(tǒng)（Host-based Intrusion Detection System，HIDS）通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Network-based Intrusion Detection System，NIDS）通常放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接，不同入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同，但通常都包括通知管理員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等。目前，大部分入侵檢測(cè)系統(tǒng)都是基于網(wǎng)絡(luò)的。

1.4 入侵檢測(cè)的過(guò)程

入侵檢測(cè)技術(shù)主要是審計(jì)記錄模式匹配和信息分析，因此它的具體任務(wù)是：1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；2）審計(jì)系統(tǒng)結(jié)構(gòu)及缺陷；3）鑒別進(jìn)攻活動(dòng)模式、識(shí)別違反安全策略的行為并及時(shí)報(bào)警；4）異常行為模式的統(tǒng)計(jì)分析；5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；6）進(jìn)行操作系統(tǒng)的實(shí)際跟蹤管理；

從總體來(lái)說(shuō)，入侵檢測(cè)的工作流程可以大致分為以下幾個(gè)步驟：1）從系統(tǒng)的不同環(huán)節(jié)收集信息；2）分析該信息，試圖尋找入侵活動(dòng)的特征；3）自動(dòng)對(duì)檢測(cè)到的行為做出響應(yīng)；4）紀(jì)錄并報(bào)告檢測(cè)過(guò)程結(jié)果。

2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的總體設(shè)計(jì)

在計(jì)算機(jī)網(wǎng)絡(luò)中很多位置都特別易于受到電子攻擊的影響，設(shè)計(jì)一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)監(jiān)視，通過(guò)使用攻擊特征數(shù)據(jù)庫(kù)，入侵檢測(cè)系統(tǒng)對(duì)穿過(guò)網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包都進(jìn)行檢查，當(dāng)發(fā)現(xiàn)入侵行為時(shí)立即告警。該入侵檢測(cè)系統(tǒng)由多個(gè)探測(cè)器和一個(gè)控制器平臺(tái)組成，探測(cè)器執(zhí)行網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)監(jiān)視，控制器提供管理軟件，用以配置、記錄并由探測(cè)器產(chǎn)生警報(bào)。

本系統(tǒng)設(shè)計(jì)體系結(jié)構(gòu)包括：入侵檢測(cè)體系和入侵檢測(cè)配置文件。

1）入侵檢測(cè)體系由探測(cè)器體系結(jié)構(gòu)和控制器體系結(jié)構(gòu)兩個(gè)主要組件構(gòu)成。

探測(cè)器體系結(jié)構(gòu)如圖1所示。探測(cè)器平臺(tái)是提供網(wǎng)絡(luò)流量的實(shí)際分析，探測(cè)器從被監(jiān)視的網(wǎng)絡(luò)中直接捕捉數(shù)據(jù)包，通過(guò)監(jiān)視接口對(duì)這些數(shù)據(jù)包進(jìn)行入侵檢測(cè)分析處理，定位潛在的入侵行為，監(jiān)視接口轉(zhuǎn)發(fā)任何入侵告警到流量檢測(cè)，流量檢測(cè)根據(jù)已配置的特征設(shè)置分發(fā)消息，由管理器創(chuàng)建適當(dāng)?shù)腁CL并把它應(yīng)用到網(wǎng)絡(luò)防火墻的特定端口。日志服務(wù)是向探測(cè)器上的各種日志文件寫入錯(cuò)誤、命令和告警條目。數(shù)據(jù)分析提供數(shù)據(jù)和文件管理，把日志文件轉(zhuǎn)移到數(shù)據(jù)庫(kù)分級(jí)區(qū)域，提供離線存檔，以及避免文件系統(tǒng)填充和覆蓋已存儲(chǔ)文件的例程處理。配置文件傳送是從控制器向探測(cè)器傳送配置文件。

控制器體系結(jié)構(gòu)如圖2所示。控制器平臺(tái)是入侵檢測(cè)系統(tǒng)的管理系統(tǒng)，包括：告警管理、遠(yuǎn)程探測(cè)器設(shè)置、事件處理和數(shù)據(jù)庫(kù)功能。探測(cè)器通過(guò)自己的流量檢測(cè)守護(hù)進(jìn)程向控制器轉(zhuǎn)發(fā)消息，控制器上的流量檢測(cè)守護(hù)進(jìn)程隨后把消息路由到合適的目的地。

數(shù)據(jù)庫(kù)接口接收來(lái)自探測(cè)器的事件，并把它們放置到告警數(shù)據(jù)庫(kù)中，同時(shí)也處理事件通知。事件查看系統(tǒng)為探測(cè)器告警進(jìn)行告警顯示，提供實(shí)時(shí)的事件查看。安全管理接口把探測(cè)器數(shù)據(jù)傳送到有意義的信息中，同時(shí)也能向其他服務(wù)轉(zhuǎn)發(fā)告警。控制代理向探測(cè)器獲取新的或者經(jīng)更新的配置信息。

2）入侵檢測(cè)配置文件是入侵檢測(cè)系統(tǒng)中每個(gè)守護(hù)進(jìn)程的配置信息，由令牌(token)構(gòu)建，令牌是重要的可配置參數(shù)。令牌表示特定配置參數(shù)的名字，可以控制入侵檢測(cè)系統(tǒng)的操作。在配置文件中包含很多的令牌：數(shù)據(jù)包捕捉設(shè)備令牌、內(nèi)部網(wǎng)絡(luò)令牌、通用特征令牌、TCP或UDP連接令牌、字符串特征令牌、ACL特征令牌、監(jiān)視令牌、特征過(guò)濾令牌、設(shè)備管理和攔阻令牌。

3）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署如圖3所示。

該系統(tǒng)由兩個(gè)探測(cè)器和一個(gè)控制器平臺(tái)組成。探測(cè)器執(zhí)行網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)監(jiān)視，監(jiān)視網(wǎng)絡(luò)邊界，發(fā)往以及來(lái)自不被信任網(wǎng)絡(luò)的全部數(shù)據(jù)流對(duì)于探測(cè)器都是可見的，可以有效地監(jiān)視進(jìn)入校園網(wǎng)的數(shù)據(jù)流以及在校園網(wǎng)內(nèi)部流動(dòng)的數(shù)據(jù)流。控制器提供管理軟件，用以配置、記錄并顯示由探測(cè)器產(chǎn)生的報(bào)警。

3 入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)

根據(jù)入侵檢測(cè)體系結(jié)構(gòu)的設(shè)計(jì)，我們選用符合設(shè)計(jì)要求的Cisco入侵檢測(cè)產(chǎn)品，控制器選用CSPM(Cisco Secure Policy Manager)為控制器平臺(tái)，安裝在一臺(tái)操作系統(tǒng)為Windows Server2000的PC機(jī)上， PC機(jī)基本配置： 1.4GHz Pentium IV處理器、512MBRAM、8GB自由硬盤空間、10/100Mbps網(wǎng)絡(luò)接口卡。CSPM提供了大量的軟件能力：策略服務(wù)器、策略管理器、策略代理、策略代理——監(jiān)視器、策略監(jiān)視器，可以收集審計(jì)記錄，為被管理設(shè)備更新配置文件，根據(jù)需要產(chǎn)生預(yù)定的報(bào)告等等。CSPM安裝采用客戶端——服務(wù)器配置，能夠?qū)⑦h(yuǎn)程管理功能擴(kuò)展到多臺(tái)主機(jī)。定義一個(gè)帳號(hào)登錄CSPM，并設(shè)置口令，這個(gè)帳號(hào)就是安裝CSPM時(shí)的Windows NT 帳號(hào)。設(shè)置本地IP地址、服務(wù)端口和主要策略數(shù)據(jù)庫(kù)密鑰導(dǎo)出文件。在安裝CSPM完成之后，可以在CSPM內(nèi)配置其他帳號(hào)，讓不同的人訪問(wèn)這個(gè)軟件。安裝并配置PostOffice協(xié)議（郵局協(xié)議），郵局協(xié)議是一種專有協(xié)議，它在探測(cè)器和控制器平臺(tái)之間提供了一種通信工具，使用UDP協(xié)議端口45000，可以發(fā)送命令、錯(cuò)誤、命令日志、告警、IP日志、重定向和心跳(Heartbeat)等類型的消息。

兩臺(tái)探測(cè)器選用Cisco IDS-4230，性能100Mbps，處理器雙Pentium IV 1. 4GHz，存儲(chǔ)器512MB，監(jiān)視NICFE/SFDDI/DFDDI。接入網(wǎng)絡(luò)后，通過(guò)控制器平臺(tái)進(jìn)行配置。使用缺省帳號(hào)root或netrangr登錄到探測(cè)器上，運(yùn)行sysconfig-sensor腳本，進(jìn)行IP配置、網(wǎng)絡(luò)訪問(wèn)控 制、配置通信參數(shù)、創(chuàng)建最初的配置文件、配置系統(tǒng)日期、時(shí)間和時(shí)區(qū)、改變口令等，建立安全通信。將CSPM主機(jī)添加到拓?fù)渲校駽SPM控制器中添加兩個(gè)探測(cè)器，選擇策略分發(fā)點(diǎn)，保存并更新配置，將配置文件推入探測(cè)器中。

控制器平臺(tái)和探測(cè)器安裝并配置完成后，入侵檢測(cè)系統(tǒng)就可以使用了，網(wǎng)絡(luò)中的兩個(gè)探測(cè)器都向CSPM主機(jī)報(bào)告警報(bào)和其他事件。這些警報(bào)幫助我們了解互聯(lián)網(wǎng)絡(luò)中存在的問(wèn)題，及時(shí)有效地保護(hù)網(wǎng)絡(luò)運(yùn)行的安全。

4 結(jié)論

網(wǎng)絡(luò)安全是目前計(jì)算機(jī)領(lǐng)域的一個(gè)熱門的研究課題，入侵檢測(cè)是解決網(wǎng)絡(luò)安全的一個(gè)有力的措施。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從國(guó)外的入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。在實(shí)驗(yàn)環(huán)境中對(duì)原型系統(tǒng)進(jìn)行了訓(xùn)練和測(cè)試，該系統(tǒng)具備較理想的功能，并在實(shí)踐中實(shí)現(xiàn)了其基本的入侵檢測(cè)功能。

該系統(tǒng)對(duì)IDS自身的攻擊無(wú)法檢測(cè)，和其他系統(tǒng)一樣，IDS本身也存在許多安全漏洞，如果對(duì)IDS攻擊成功，則直接導(dǎo)致報(bào)警失靈。另外，還有一些其他具體問(wèn)題的技術(shù)和算法有待進(jìn)一步的研究和充實(shí)。

參考文獻(xiàn)：

[1] 石志國(guó).計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].北京：清華大學(xué)出版社，2007.

[2] 曹大元.入侵檢測(cè)技術(shù)[M].北京:人民郵電出版社，2007.

[3] 韓東海，王超，李群.入侵檢測(cè)系統(tǒng)及實(shí)例剖析[M].清華大學(xué)出版社，2002.

[4] 戴英俠，連一峰，王航.系統(tǒng)安全與入侵檢測(cè)[M].北京:清華大學(xué)出版社，2002.

[5] 恭靜鋒，寧宇鵬，閻慧.入侵檢測(cè)技術(shù)[M].北京:機(jī)械工業(yè)出版社，2004.

[6] 李昀，李偉華.分布式入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用，2003，39(4):1-3.

[7] 湛成偉.網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)淺析[J].重慶工學(xué)院學(xué)報(bào)，2006，(8):34-36.