入侵檢測系統(tǒng)發(fā)展簡述

摘要：入侵檢測系統(tǒng)是目前信息安全系統(tǒng)中的一個重要組成部分，該文簡述了其二十多年的主要發(fā)展歷程，對其使用的技術(shù)以及未來的發(fā)展方向進(jìn)行了簡要介紹。

關(guān)鍵詞：入侵檢測；入侵檢測系統(tǒng)；IDES；DIDS

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)34-1942-02

Review on the Development of Intrusion Detection System

MA Jun

(School of Electronics and Information，Jiangsu University of Science and Technology，Zhenjiang 212003，China)

Abstract: Intrusion detection system is one of the critical compositions in information assurance system. In this paper we give a review of the development of the intrusion system in that 20 years. We also take a brief introduction on the intrusion detection techniques and the development in the future.

Key words: intrusion detection; intrusion detection system;IDES;DIDS

1 引言

在當(dāng)前的信息時代，隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，計算模式由傳統(tǒng)的以單機(jī)為主的模式向基于網(wǎng)絡(luò)的分布式模式轉(zhuǎn)化，而由此引發(fā)的網(wǎng)絡(luò)入侵的風(fēng)險性也隨之大大增加，網(wǎng)絡(luò)安全與信息安全問題成為了人們高度重視的問題。

早期對于網(wǎng)絡(luò)安全主要采取的是保護(hù)的手段，其核心思想是構(gòu)建一個絕對安全的系統(tǒng)，所采取的主要技術(shù)手段有數(shù)據(jù)加密、認(rèn)證授權(quán)、訪問控制、安全審計、安全內(nèi)核等，但是這些技術(shù)存在有以下不足：

1) 設(shè)計和實(shí)現(xiàn)絕對安全的系統(tǒng)是不可能的，即不可能構(gòu)建絕對安全的系統(tǒng)，同時，對于已經(jīng)投入使用的系統(tǒng)，將其升級為“安全”的系統(tǒng)也是代價極高且不可能實(shí)現(xiàn)的；

2) 數(shù)據(jù)加密方法有其自身的弱點(diǎn)，同時，密碼有可能丟失或被有入侵企圖的用戶破譯；

3) 即便是一個真正安全的系統(tǒng)，也無法阻止系統(tǒng)的合法用戶濫用授權(quán)；

4) 對于訪問控制策略，系統(tǒng)實(shí)施的訪問控制策略的層次與系統(tǒng)的效率成反比關(guān)系，即訪問控制機(jī)制越嚴(yán)格，系統(tǒng)的效率就越低。

因為保護(hù)手段存在有上述種種的局限性，所以近年來，在重視保護(hù)技術(shù)發(fā)展的同時，入侵檢測技術(shù)得到了人們更多的關(guān)注，得到了長足的發(fā)展。

2 入侵檢測系統(tǒng)的發(fā)展歷程

入侵檢測技術(shù)就是采取技術(shù)手段發(fā)現(xiàn)入侵和入侵企圖，以便采取有效的措施來堵塞漏洞和修復(fù)系統(tǒng)，使用入侵檢測技術(shù)具有入侵檢測功能的網(wǎng)絡(luò)安全系統(tǒng)稱為入侵檢測系統(tǒng)。

2.1 入侵檢測概念的提出

1980年，James Anderson在為美國空軍所做的技術(shù)報告中首次提出了入侵檢測的概念，提出可以通過審計蹤跡來檢測對文件的非授權(quán)訪問，并給出了一些基本術(shù)語的定義，包括威脅、攻擊、滲透、脆弱性等等。

Anderson報告將入侵劃分為外部闖入、內(nèi)部授權(quán)用戶的越權(quán)使用和濫用三種，同時提出使用基于統(tǒng)計的檢測方法，即針對某類會話的參數(shù)，例如連接時間、輸入輸出數(shù)據(jù)量等，在對大量用戶的類似行為作出統(tǒng)計的基礎(chǔ)上得出平均值，將其作為代表正常會話的閾值，檢測程序?qū)挼南嚓P(guān)參數(shù)與對應(yīng)的閾值進(jìn)行比較，當(dāng)二者的差異超過既定的范圍時，這次會話將被當(dāng)作異常。

Anderson報告實(shí)現(xiàn)的是基于單個主機(jī)的審計，在應(yīng)用軟件層實(shí)現(xiàn)，其覆蓋面不大，并且完整性難以保證，但是其提出的一些基本概念和分析，為日后入侵檢測技術(shù)的發(fā)展奠定了良好的基礎(chǔ)。

2.2 入侵檢測模型的建立

1987年，Dorothy E. Denning在她的論文《An intrusion-detection model》中首次提出了入侵檢測系統(tǒng)的抽象模型，稱為IDES系統(tǒng)，并且首次將入侵檢測的概念作為一種計算機(jī)系統(tǒng)的安全防御措施提出。

Denning所提出的模型是一個通用的檢測模型，其不依賴于特定的系統(tǒng)和應(yīng)用環(huán)境，也不假定被檢測的攻擊類型。在此之后開發(fā)的IDS系統(tǒng)基本上都沿用了這個結(jié)構(gòu)模型，可以用圖1表示Denning提出的模型。

Denning所提出的模型采用基于規(guī)則的模式匹配進(jìn)行檢測，根據(jù)主機(jī)審計記錄數(shù)據(jù)，生成有關(guān)系統(tǒng)的若干輪廓，并對輪廓的變化差異進(jìn)行監(jiān)測以發(fā)現(xiàn)系統(tǒng)的入侵行為。

Denning模型并不關(guān)心目標(biāo)系統(tǒng)所采用的安全機(jī)制，因此也不檢測攻擊者針對已知的系統(tǒng)弱點(diǎn)進(jìn)行攻擊的特征行為，這也被認(rèn)為是其一個重大缺陷。

2.3 基于主機(jī)的入侵檢測系統(tǒng)

Denning提出她的通用檢測檢測模型后，很多機(jī)構(gòu)在上世紀(jì)80年代后期推出了一系列基于主機(jī)的入侵檢測系統(tǒng)，其中有代表性的主要有Haystack、MIDAS、IDES等。

1988年，Smaha發(fā)表《Haystack: An Intrusion DetectionSystem》，其中使用了兩種檢測方法：異常檢測、基于入侵特征的檢測，后者彌補(bǔ)了Denning模型的不足，提高了入侵檢測的準(zhǔn)確率。通過兩種檢測方法的結(jié)合，克服了兩種方法各自的缺陷。

同年，美國政府和軍方基于Multics主機(jī)開發(fā)了MIDAS系統(tǒng)，應(yīng)用于對與美國國家計算機(jī)安全中心聯(lián)網(wǎng)的大型主機(jī)進(jìn)行入侵檢測，它使用了啟發(fā)式的入侵檢測方法，形成了一個入侵檢測的專家系統(tǒng)。MIDAS系統(tǒng)將規(guī)則集分為高低兩層，由低層規(guī)則對特定類型的事件進(jìn)行歸納，并將得到的可疑事件傳遞給高層規(guī)則集，以進(jìn)一步判斷是否需要向管理員報警。

仍是在1988年，Teresa Lunt等對Denning的入侵檢測模型進(jìn)行了改進(jìn)，提出了與系統(tǒng)平臺無關(guān)的實(shí)時檢測思想，并開發(fā)出了一套IDES系統(tǒng)。該系統(tǒng)的結(jié)構(gòu)與此前的系統(tǒng)有較大差異，被檢測的目標(biāo)系統(tǒng)需要將自己產(chǎn)生的審計記錄通過網(wǎng)絡(luò)傳遞到運(yùn)行IDES的另一臺主機(jī)，由該主機(jī)通過系統(tǒng)內(nèi)部的DBMS管理審計數(shù)據(jù)庫。雖然該系統(tǒng)在結(jié)構(gòu)上具有了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的特征，但是由于其所分析的數(shù)據(jù)全部來自于主機(jī)的審計數(shù)據(jù)，因此，一般仍將其視為基于主機(jī)的入侵檢測系統(tǒng)。

2.4 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

隨著上世紀(jì)80年代中后期計算機(jī)網(wǎng)絡(luò)開始快速發(fā)展，信息系統(tǒng)的安全已不再局限于單個主機(jī)的范圍。1990年，加州大學(xué)Davis分校的L. Todd. Heberlein等開發(fā)出了NSM(Network Security Monitor)系統(tǒng)，NSM系統(tǒng)第一次直接將局域網(wǎng)上的網(wǎng)絡(luò)信息流作為審計數(shù)據(jù)來源。由于局域網(wǎng)上的通訊是廣播型，并且使用TCP/IP等標(biāo)準(zhǔn)協(xié)議，因此，不會出現(xiàn)針對異構(gòu)主機(jī)內(nèi)部審計數(shù)據(jù)進(jìn)行檢測會因格式不同造成系統(tǒng)效率下降的情況。所以，NSM系統(tǒng)對局域網(wǎng)上網(wǎng)絡(luò)通訊進(jìn)行檢測，并從中檢測出有入侵企圖的行為，不但改善了檢測效果，也提高了效率。

NSM系統(tǒng)的出現(xiàn)，也正式標(biāo)志著入侵檢測系統(tǒng)的兩個主要類別：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)正式形成。

2.5 分布式入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)與基于主機(jī)的入侵檢測系統(tǒng)相比具有明顯的優(yōu)點(diǎn)，如實(shí)時檢測、操作系統(tǒng)獨(dú)立性、對目標(biāo)主機(jī)影響較小、隱蔽性較強(qiáng)等等，但同時其也具有較大的缺陷，如檢測范圍僅限于某一個廣播網(wǎng)段、對加密通信難以處理、易受信息欺騙等。因此，從上世紀(jì)90年代開始，基于網(wǎng)絡(luò)的入侵監(jiān)測系統(tǒng)與基于主機(jī)的入侵檢測系統(tǒng)被結(jié)合起來，逐漸形成了分布式入侵檢測系統(tǒng)。

1988年的Morris蠕蟲事件引發(fā)了公眾對于網(wǎng)絡(luò)安全的重視，美國空軍、國家安全局(NSA)和能源部(DOE)共同資助空軍密碼支持中心(AFCSC)、Lawrence-Livermore國家實(shí)驗室、加州大學(xué)Davis分校、Haystack實(shí)驗室，開展對分布式入侵檢測系統(tǒng)(DIDS)的研究，將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測方法集成到了一起。1991年，DIDS基本完成。

DIDS是入侵檢測系統(tǒng)發(fā)展史上一個里程碑式的產(chǎn)品。DIDS對數(shù)據(jù)采用分布式監(jiān)視、集中式分析，通過收集、合并來自多個主機(jī)的審計數(shù)據(jù)和檢查網(wǎng)絡(luò)通訊，能夠檢測出多個主機(jī)發(fā)起的協(xié)同攻擊。

3 入侵檢測技術(shù)

雖然在幾十年的發(fā)展過程中，入侵檢測系統(tǒng)的結(jié)構(gòu)隨著信息系統(tǒng)的結(jié)構(gòu)變化而不斷變化，但入侵檢測的方式卻基本沿用至今，主要分為兩種：異常檢測(Anomaly detection)和誤用檢測(Misuse detection)，異常檢測是抽取系統(tǒng)的靜態(tài)形式和可接受的行為特征，然后檢測對靜態(tài)形式的錯誤改動和可疑的動態(tài)行為，誤用檢測是假設(shè)入侵活動可以用一種模式來表示，檢測系統(tǒng)將檢測系統(tǒng)內(nèi)部發(fā)生的活動是否符合這些模式。

3.1 異常檢測

異常檢測分為靜態(tài)異常檢測和動態(tài)異常檢測兩種，靜態(tài)異常檢測在檢測前保留一份系統(tǒng)靜態(tài)部分的特征表示或者備份，在檢測中，若發(fā)現(xiàn)系統(tǒng)的靜態(tài)部分與以前保存的特征或備份之間出現(xiàn)了偏差，則表明系統(tǒng)受到了攻擊或出現(xiàn)了故障。動態(tài)異常檢測所針對的是行為，在檢測前需要建立活動簡檔文件描述系統(tǒng)和用戶的正常行為，在檢測中，若發(fā)現(xiàn)當(dāng)前行為和活動簡檔文件中的正常行為之間出現(xiàn)了超出預(yù)定標(biāo)準(zhǔn)的差別，則表明系統(tǒng)受到了入侵。

3.2 誤用檢測

誤用檢測主要針對使用已知的攻擊技術(shù)進(jìn)行攻擊的情況，使用一個行為序列，稱為“入侵場景”來確切地描述一個已知的入侵方式，若系統(tǒng)檢測到該行為序列完成，則意味著一次入侵發(fā)生。早期的誤用檢測系統(tǒng)使用規(guī)則來描述所要檢測的入侵，但由于規(guī)則組織上存在缺陷，所以造成規(guī)則數(shù)量過大，且難以解釋和修改。為了克服這一缺點(diǎn)，后來的入侵檢測系統(tǒng)使用了基于模型和基于狀態(tài)轉(zhuǎn)化的規(guī)則組織方法。

4 入侵檢測系統(tǒng)的發(fā)展方向

4.1 體系結(jié)構(gòu)由集中式向分布式轉(zhuǎn)變

隨著網(wǎng)絡(luò)系統(tǒng)的日趨大型化、復(fù)雜化，以及入侵行為的協(xié)作性，入侵檢測系統(tǒng)的體系結(jié)構(gòu)由基于主機(jī)和基于網(wǎng)絡(luò)的集中式向分布式發(fā)展，重點(diǎn)需要解決不同入侵檢測系統(tǒng)之間檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。

4.2 入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化

具有標(biāo)準(zhǔn)化接口將是入侵檢測系統(tǒng)的下一步發(fā)展方向之一，這將有利于不同類型的入侵檢測系統(tǒng)之間進(jìn)行數(shù)據(jù)交換與協(xié)同處理以及入侵檢測系統(tǒng)與其它安全產(chǎn)品之間的信息交互。IETF(Internet engineering task force)下屬的入侵檢測工作組(IDWG)已經(jīng)制定了入侵檢測消息交換格式(IDMEF)、入侵檢測交換協(xié)議(IDXP)、入侵報警(IAP)等標(biāo)準(zhǔn)，以適應(yīng)入侵檢測系統(tǒng)之間安全數(shù)據(jù)交換的需要。

4.3 安全技術(shù)綜合集成

入侵檢測系統(tǒng)能夠及時識別并記錄攻擊，但并不能實(shí)時阻止攻擊，因此，針對網(wǎng)絡(luò)的實(shí)際安全需求，需要將入侵檢測系統(tǒng)與防火墻、應(yīng)急響應(yīng)系統(tǒng)等逐漸融合，組成一個綜合性的信息安全保障系統(tǒng)。

4.4 面向應(yīng)用的入侵檢測

面向應(yīng)用層的入侵檢測也將是入侵檢測系統(tǒng)的下一步發(fā)展方向之一。因為由應(yīng)用程序所解釋的各種不同類型的數(shù)據(jù)，其語義只有在應(yīng)用層才能被理解，因此，只有入侵檢測系統(tǒng)面向應(yīng)用層，才能對其進(jìn)行理解和并進(jìn)行分析。

5 結(jié)束語

該文對入侵檢測系統(tǒng)的主要發(fā)展過程進(jìn)行了簡述，對其使用的技術(shù)以及未來的發(fā)展方向進(jìn)行了簡要介紹。隨著計算機(jī)網(wǎng)絡(luò)的快速發(fā)展，入侵檢測系統(tǒng)也面臨著許多新的課題，例如高效識別算法、協(xié)同入侵檢測體系、入侵實(shí)時響應(yīng)、數(shù)據(jù)關(guān)聯(lián)分析等。

參考文獻(xiàn)：

[1] Anderson J P.Computer Security Threat Monitoring and Surveillance[R].James P Anderson Company， Fort Washington， Pennsylvania， April 1980.

[2] Dorothy E. Denning， an intrusion-detection model[J].IEEE Transactions on Software Engineering，1987，13(2):222-232.

[3] 卿斯?jié)h，蔣建春，馬恒太，等.入侵檢測技術(shù)研究綜述[J].通信學(xué)報，2004(7):21-31.

[4] 張相鋒，孫玉芳.入侵檢測系統(tǒng)發(fā)展的研究綜述[J].計算機(jī)科學(xué)，2003(8):47-51，157.

[5] 張然，錢德沛，張文杰，等.入侵檢測技術(shù)研究綜述[J].小型微型計算機(jī)系統(tǒng)，2003(7):10-15.

[6] 徐興元，郭兆豐，潘曉東.入侵檢測系統(tǒng)研究進(jìn)展[J].電光與控制，2007(10):184-187.

[7] 李昀，李偉華.分布式入侵檢測系統(tǒng)的研究與實(shí)現(xiàn)[J].計算機(jī)工程與應(yīng)用，2003(4):4-6，11.

[8] 周建國，等.計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究[J].計算機(jī)工程，2003，29(2):9-12.