入侵檢測系統(tǒng)研究分析

摘要：入侵檢測是保障現(xiàn)代網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一。對于像軍隊這樣對安全要求很高的網(wǎng)絡(luò)，入侵檢測技術(shù)以及系統(tǒng)將會起到至關(guān)重要的作用。本文對入侵檢測的基本概念、方法以及發(fā)展趨勢進行了分析與研究。

關(guān)鍵詞：入侵檢測；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)25-1434-02

The Analysis of Intrusion Detection System

ZHOU You， MU Xiao-ke

(Chongqing Communication Institute，Chongqing 400035，China)

Abstract: Intrusion detection is one of the key technology to ensuring network security， especially in military network. The basic theory， detection methods and its trend are studied in this paper.

Key words: intrusion detection; network security; network attacking

隨著計算機以及網(wǎng)絡(luò)的迅猛發(fā)展，系統(tǒng)自身的安全問題也凸顯出來，為了更好的保護系統(tǒng)的安全，我們需要采用不同的技術(shù)措施和手段來對系統(tǒng)進行檢測和監(jiān)控，現(xiàn)如今已經(jīng)有許多的防御技術(shù)，如數(shù)字簽名，數(shù)據(jù)加密，防火墻以及各種殺毒軟件等，這些都是保障系統(tǒng)安全的手段。但在使用的過程仍然存在各種問題，各種工具的使用存在著一種局限性，有的在使用性上就存在很大問題。例如殺毒軟件就是一種被動的防御。再有就是系統(tǒng)本身就存在各種各樣的漏洞，而且有時候為了系統(tǒng)的使用的方便，所以從設(shè)計上就是從簡單化開始，所以設(shè)計出絕對安全的系統(tǒng)是不可能的。所以由于系統(tǒng)不可避免的存在在漏洞，保護系統(tǒng)安全得到另一種技術(shù)也就應(yīng)運而生，那就是入侵檢測技術(shù)。

1 入侵檢測系統(tǒng)概述

入侵檢測(Intrusion Detection)，顧名思義，便是對入侵行為的發(fā)覺。是為了保證計算機系統(tǒng)的安全而設(shè)計配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中得若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(Intrusion Detection System．簡稱IDS)。入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡(luò)活動進行實時檢測，許多情況下由于可以記錄和禁止網(wǎng)絡(luò)活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻、路由器配合工作 IDS掃描當前網(wǎng)絡(luò)的活動，監(jiān)視和記錄網(wǎng)絡(luò)的流量，從而根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。

2 入侵檢測方法

入侵檢測根據(jù)其采用的技術(shù)可分為：異常檢測系統(tǒng)和誤用檢測系統(tǒng)。根據(jù)系統(tǒng)所監(jiān)測的對象分為：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。根據(jù)系統(tǒng)的工作方式分為：離線檢測系統(tǒng)和在線檢測系統(tǒng)。離線檢測系統(tǒng)是非實時工作的系統(tǒng)。它在事后分析審計事件，從中檢查入侵活動。在線檢測系統(tǒng)：在線檢測系統(tǒng)是實時聯(lián)機的檢測系統(tǒng)。它包含對實時網(wǎng)絡(luò)數(shù)據(jù)包分析，實時主機審計分析。根據(jù)體系結(jié)構(gòu)分為：集中式入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。集中式入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)的主要區(qū)別在于分析部件而不是數(shù)據(jù)收集部件。整個系統(tǒng)的分析部件是位于單臺主機上的稱為集中式系統(tǒng)；分析部件分布于不同的主機上稱為分布式系統(tǒng)。根據(jù)對入侵的反應(yīng)分為：主動式入侵檢測系統(tǒng)和被動式入侵檢測系統(tǒng)。如果入侵檢測系統(tǒng)在檢測到入侵時采取了積極的措施。如關(guān)閉服務(wù)程序，就稱該系統(tǒng)為主動式入侵檢測系統(tǒng)。反之，如果它只是產(chǎn)生了一些警報信息就稱為被動式入侵檢測系統(tǒng)。而目前常用的入侵檢測方法就是異常檢測和誤用檢測。

異常檢測方法的基本思想是入侵活動與正常活動有比較明顯的差別，異常檢測系統(tǒng)通常根據(jù)用戶或程序的正常行為進行統(tǒng)計分析，建立用戶或程序的正常行為輪廓。用戶或程序的輪廓通常定義為各種行為參數(shù)及其閥值的集合。用于描述正常行為的范圍。如果檢測階段觀察到的行為與己知的正常行為輪廓差異較大（高于某個設(shè)定的閥值），則將當前行為判決為異常來處理。異常檢測方法的關(guān)鍵在于如何描述及建立系統(tǒng)的正常行為輪廓。異常檢測方法由于不需要對每種入侵行為進行定義，能有效檢測未知的新攻擊方式；由于正常用戶和網(wǎng)絡(luò)的行為變化很大，系統(tǒng)的誤報率較高。異常檢測方法需要大量的系統(tǒng)事件記錄“訓練集”。其具體方法又有基于統(tǒng)計學方法的異常檢測系統(tǒng)、預期模式生成法、神經(jīng)網(wǎng)絡(luò)方法、基于數(shù)據(jù)挖掘技術(shù)的異常檢測系統(tǒng)。

誤用檢測方法是目前商業(yè)化入侵檢測系統(tǒng)中使用的主要方法，其基本思想是每一種入侵行為都能精確地按某種方式編碼成固定模式。誤用檢測系統(tǒng)對已知的攻擊行為進行特征分析，得到相應(yīng)的攻擊行為輪廓并將其編碼為檢測規(guī)則。如果當前的行為與攻擊檢測規(guī)則一致，則將當前行為判決為人侵。誤用檢測方法的關(guān)鍵是如何準確實現(xiàn)對已知攻擊行為的特征分析及精確編碼。松的攻擊輪廓模型雖然有利于檢測到攻擊的變體，但也容易導致高的報警率；而緊的攻擊輪廓模型雖然能夠保證較低的報警率。但同時對于變體攻擊及新的攻擊行為的檢測能力也被減弱。誤用檢測是對每一種攻擊進行分析和編碼以實現(xiàn)檢測；為了能夠檢測到新出現(xiàn)的攻擊樣式。系統(tǒng)必須不斷地升級知識庫，但這樣會耗費大量的人力和物力資源。解決問題的不同方式從一定程度上劃分了基于誤用的入侵檢測系統(tǒng)的類型，主要有專家系統(tǒng)、模式匹配(特征分析)、按鍵監(jiān)視、模型推理、狀態(tài)轉(zhuǎn)換、Petric網(wǎng)狀態(tài)轉(zhuǎn)換等。

3 入侵檢測系統(tǒng)模型建立

第一步，獲取libpeap和tcpdump。

第二步，構(gòu)建并配置探測器，實現(xiàn)數(shù)據(jù)采集功能。

第三步，建立數(shù)據(jù)分析模塊。

第四步，構(gòu)建控制臺子系統(tǒng)。

第五步，構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)。

第六步，聯(lián)調(diào)，一個基本的IDS搭建完畢。

以上幾步完成之后．一個IDS的最基本框架已被實現(xiàn)。但要使這個IDS順利地運轉(zhuǎn)起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是聯(lián)調(diào)工作所要解決的問題。首先，要實現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的通信，二者之間是雙向的通信。控制管理中心顯示、整理數(shù)據(jù)采集分析中心發(fā)送過來的分析結(jié)果及其他信息，數(shù)據(jù)采集分析中心接收控制管理中心發(fā)來的配置、管理等命令。注意確保這二者之間通信的安全性，最好對通信數(shù)據(jù)流進行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報信息查詢、網(wǎng)絡(luò)事件重建等。聯(lián)調(diào)通過之后，一個基本的IDS就搭建完畢。后面要做的就是不斷完善各部分功能，尤其是提高系統(tǒng)的檢測能力。

4 入侵檢測系統(tǒng)的發(fā)展趨勢

從總體上講，目前除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識別和完整性檢測)外，入侵檢測系統(tǒng)應(yīng)重點加強與統(tǒng)計分析相關(guān)技術(shù)的研究。許多學者在研究新的檢測方法，如采用自動代理的主動防御方法，將免疫學原理應(yīng)用到入侵檢測的方法等。其主要發(fā)展方向可以概括為：

1) 分布式入侵檢測與CIDF

傳統(tǒng)的入侵檢測系統(tǒng)一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的檢測明顯不足，同時不同的入侵檢測系統(tǒng)之間不能協(xié)同工作。為此，需要分布式入侵檢測技術(shù)與CIDF。

2) 應(yīng)用層入侵檢測

許多入侵的語義只有在應(yīng)用層才能理解，而目前的入侵檢測系統(tǒng)僅能檢測Web之類的通用協(xié)議，不能處理如Lotus Notes數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶／服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測保護。

3) 智能入侵檢測

目前，入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體系、神經(jīng)網(wǎng)絡(luò)與遺傳算法應(yīng)用在入侵檢測領(lǐng)域，但這些只是一些嘗試性的研究工作，需要對智能化的入侵檢測系統(tǒng)進一步研究，以解決其自學習與自適應(yīng)能力。

4) 與網(wǎng)絡(luò)安全技術(shù)相結(jié)合

結(jié)合防火墻、PKIX、安全電子交易(sEr)等網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。

5) 建立入侵檢測系統(tǒng)評價體系

設(shè)計通用的入侵檢測測試、評估方法和平臺，實現(xiàn)對多種入侵檢測系統(tǒng)的檢測，已成為當前入侵檢測系統(tǒng)的另一重要研究與發(fā)展領(lǐng)域。評價入侵檢測系統(tǒng)可從檢測范圍、系統(tǒng)資源占用、自身的可靠性等方面進行，評價指標有：能否保證自身的安全、運行與維護系統(tǒng)的開銷、報警準確率、負載能力以及可支持的網(wǎng)絡(luò)類型、支持的入侵特征數(shù)、是否支持lP碎片重組、是否支持TCP流重組等。

5 結(jié)束語

入侵檢測系統(tǒng)作為防火墻的有效補充。IDS在智能化和分布式兩個方面取得了很大的進展。資料挖掘、人工免疫、信息檢索、容錯等技術(shù)也滲透和融合到了IDS中。不過，目前還存在漏警率和虛警率較高等若干問題，告警的實時響應(yīng)差。總之，入侵檢測系統(tǒng)作為一種主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來越高，為給電子商務(wù)等網(wǎng)絡(luò)應(yīng)用提供可靠服務(wù)，而由于入侵檢測系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供安全服務(wù)，必將進一步受到人們的高度重視。建立一個完善的IDS是一個復雜的過程，因為它不僅要檢測到已知的入侵行為，還要分析出未知的入侵，當出現(xiàn)緊急狀況時要及時對入侵行為作出適當?shù)姆磻?yīng)。

參考文獻：

[1] 胡道元，閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學出版社，2004.

[2] 隆益民.網(wǎng)絡(luò)入侵及檢測[J].計算機工程與科學，2001，23(1):27-30，57.

[3] 楚狂.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京:人民郵電出版社，2000.

[4] 唐正軍.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[M].北京:電子工業(yè)出版社，2000.

[5] 唐正軍，李繼華.入侵檢測技術(shù)[M].北京:清華大學出版社，2004.

[6] 薛英花，呂述望.入侵檢測技術(shù)研究[J].計算機工程應(yīng)用，2003(01):49.