基于集成性協同性的計算機網絡入侵檢測系統模塊研究

摘要：入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。為了提高入侵檢測系統的性能，本文將集成性和協同性從而達到優化的思想引入到入侵檢測系統的實現中。

關鍵詞：集成性；協同性；計算機網絡入侵

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)15-20ppp-0c

Based on the Synergistic Integration of the Computer Network Intrusion Detection System Module Study

HU Rong1， ZHANG Yong2

(1.Guizhou Institute of Finance and Economics Network Center，Guiyang 550004，China;2.Guizhou Institute of Finance and Economics Institute of Information，Guiyang 550004，China)

Abstract:Intrusion Detection as a proactive security protection technology， provides an internal attacks， external attacks and misuse of real-time protection， the network system at risk and respond to intercept before the invasion. In order to improve the performance of intrusion detection system， the paper will be integrated and coordinated to achieve optimal thinking into the intrusion detection system in the realization.

Key words:integrated; Coordinated;Computer network invasion

1 引言

入侵檢測系統(Intrusion Detection System，簡稱IDS)作為一種主動的信息安全保障措施，是對防火墻的必要補充，它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。本文在對現有的入侵檢測系統進行分析和研究的基礎上，在入侵檢測系統中立足于方法和機制上的集成性、協同性，從而達到優化的思想引入到入侵檢測系統中，也就是基于多種檢測方法的入侵檢測系統，對不同的檢測方法進行優化、集成和協同，從而盡可能的使入侵檢測系統保持健壯性、容錯性、適應性、可擴展性，使網絡系統真正獲得較佳的結果。

2 網絡入侵檢測系統分析模塊

協議分析模塊主要是針對特定的攻擊行為所表現出來的網絡特征進行分析的。協議分析利用網絡協議的高度有序性，并結合了高速數據包捕捉、協議分析和命令解析，來快速檢測某個攻擊特征是否存在。協議分析大大減少了計算量，即使在高負載的高速網絡上，也能逐個分析所有數據包。采用協議分析技術的 IDS 能夠理解不同協議的原理，由此分析這些協議的流量，來尋找可疑的或不正常行為。對每一種協議，分析不僅僅基于協議標準，還基于協議的具體實現，因為很多協議的實現偏離了協議標準。協議分析技術觀察并驗證所有的流量，當流量不是期望值時，IDS 就發出告警。協議分析具有尋找任何偏離標準或期望值的行為的能力，因此能夠檢測到己知和未知攻擊方法。狀態協議分析就是在常規協議分析技術的基礎上，加入狀態特性分析，即不僅僅檢測單一的連接請求或響應，而是將一個會話的所有流量作為一個整體來考慮。有些網絡攻擊行為僅靠檢測單一的連接請求或響應是檢測不到的，因為攻擊行為包含在多個請求中，此時狀態協議分析技術就顯得十分必要。

協議分析和狀態協議分析技術與模式匹配技術相比，具有如下的優點：①性能提高：協議分析利用己知結構的通信協議，與模式匹配系統中傳統的窮舉分析方法相比，在處理數據幀和連接時更迅速、有效。②準確性提高：與非智能化的模式匹配相比，協議分析減少了誤警和漏警，命令解析和協議解碼技術相結合，在命令字符串到達操作系統或應用程序之前，模擬命令字符串便執行，以確定它是否具有惡意。基于狀態的分析能做到當協議分析入侵檢測系統引擎評估某個數據包時，需要考慮在這之前相關的數據。特別是對于多包（包的序列）的攻擊，可以做到較好的檢測。下面為協議分析流程：

3 網絡入侵檢測系統響應模塊

響應就是當入侵檢測系統檢測到入侵行為時所做出的反應動作。入侵檢測系統的響應分為主動響應和被動響應兩種類型。主動響應時，系統自動地或以用戶設置的方式來阻斷攻擊過程或以其它方式影響攻擊過程。它能夠阻止正在進行的攻擊，使得攻擊者不能夠繼續訪問。主動的響應是入侵檢測系統在檢測到攻擊時會對攻擊者進行反擊。被動響應為用戶提供入侵信息，由系統管理員采取適當措施。這種響應是根據緊急程度來向用戶提交信息的，雖然實時性較主動響應差，但是它比較安全，而且數據更容易維護。系統設計結合主動響應與被動響應的優點，對于那些模式庫中己經存在的較常見的攻擊類型，系統根據預先設計的動作，進行主動響應處理，對于通過異常算法檢測到的那些模式庫中沒有存在的攻擊，系統將該連接數據保存起來，做進一步處理。

4 模塊間的通信

在這個模塊中，主要采用多線程技術和進程間的套接字通信機制。模塊間的通信原理圖如下所示。

日志服務程序其實是起著一個轉發的功能，有點類似于“代理”。日志服務程序與入侵檢測模塊都設計在sensor上，它們之間采用域套接字進行本地通信。由于日志服務程序與入侵檢測模塊是本機的兩個進程，所以可以不用考慮通信的加密問題。日志服務程序與數據中心之間由于是遠程通信，所以采用可靠的面向連接的TCP套接字。如同服務端與管理中心之間的通信，日志服務程序與數據中心之間的通信也需要加密，保護日志、報警等敏感信息不被竊取和篡改，提高系統的安全性。從“模塊間的通信原理圖”中，可以看出，服務程序既要接收入侵檢測模塊發出的報警信息，還要將報警信息轉送到遠程的數據中心，這里將涉及到通信同步的問題。域套接字是本機進程間通信的一種很好的方案，具有速度快的優點。而服務程序與遠程數據中心采用TCP套接字進行通信的速度要慢些。所以，必須考慮這個“快慢”的問題，也就是通信的同步問題。采用“報警隊列”可解決這個問題。由于這個“報警隊列”是個臨界資源，接收報警信息和發送報警信息都要訪問并操作隊列，在設計時采用線程互斥鎖解決這個問題。

總之，入侵檢測系統是一種重要的安全輔助系統，是PPDR模型的重要組成部分。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發，入侵檢測逐漸受到人們的高度重視。

參考文獻：

[1] 王文奇.入侵檢測與安全防御協同控制研究[D].西北工業大學，2007.

[2] 趙鐵山.時間序列模型在入侵檢測系統中的應用研究[J].計算機工程與設計，2005(05).

[3] 范榮真.基于信息融合入侵檢測技術研究[D].浙江工業大學，2004.

[4] 黨瑞，李偉華.入侵檢測和蜜罐的聯動技術研究[D].西北工業大學，2004.

收稿日期：2008-03-22

作者簡介：胡蓉（1981-），女，碩士研究生，助教，主要研究方向：計算機網絡安全、數據庫技術；張永（1979-），男，碩士研究生，講師，主要研究方向：管理信息系統、數據庫技術及ERP系統。