網絡入侵檢測探索

摘要：防止網絡入侵是網絡安全中重中之重的問題，很多政府機關、企事業單位信息的泄露都是由于網絡黑客的入侵。這樣，提高網絡入侵檢測的能力，就提上了日程。該文對網絡入侵檢測從理論到實際進行了大體的闡述，并重點討論了入侵檢測系統的結構，使其有了很大的實用性。

關鍵詞：網絡；入侵；snort

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)36-3036-02

Cross-domain Communication Invading Checkout is Explored

LI Shui-lian

(Lianyingong Port Finance and Economics Branch Institute， Jiangsu Province Unites Occupation Technology College， Lianyungang 222003， China)

Abstract: preventing that the cross-domain communication from invading is the question of the most important in the cross-domain communication safety， and it all is owing to invading of cross-domain communication hacker that a lot of government mechanisms and enterprise and institution information are let out. So， raises the cross-domain communication invading the ability which tested， and put forward the programme. What the invading checkout of this text， article， etc. to the cross-domain communication in be in progress roughly from theory to reality expounds， and lay equal stress on a little discussing the structure invading the checkout system， and makes his have very big practical nature.

key words: cross-domain; communication; invading and snort

1 引言

隨著信息化建設的深入以及電子商務的開展，信息化已經成為我國各類型企業降低成本、提高效率、提高競爭力的有效武器。計算機互聯網得到高速發展和廣泛應用的同時，網絡安全特別是網絡入侵問題變得越來越嚴重。因此，開展網絡安全特別是入侵攻擊與防范技術的研究，開發急需的、高效實用的網絡入侵檢測系統，對計算機網絡的發展和網絡信息的建設與應用都具有重要意義。

入侵檢測是指在特定的網絡環境中發現和識別未經授權的或惡意的攻擊和入侵，并對此作出反應的過程。它從計算機系統的若干關鍵點收集信息，并分析這些信息，看是否有違反安全策略的行為和遭到攻擊者的跡象。它具有監視分析用戶和系統的行為、審計系統配置和漏洞、評估敏感系統和數據的完整性、識別攻擊行為、對異常行為進行統計、自動地收集和系統相關的補丁、進行審計跟蹤識別違反安全策略的行為、使用誘騙服務器記錄黑客行為等功能，使系統管理員可以較有效地監視、審計、評估自己的系統。入侵檢測是在不影響網絡性能的情況下對網絡進行監測，是一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護。入侵檢測是對防火墻的有益補充，二者相互結合共同幫助系統對付網絡攻擊。

2 入侵檢測的模型

對一個成功的入侵檢測系統來講，它應該能夠使系統管理員時刻了解網絡系統（包括程序、文件和硬件設備等）的任何變更；為網絡安全策略的制訂提供指南；它應該管理、配置簡單，從而使非專業人員非常容易地獲得網絡安全；入侵檢測的規模應根據網絡威脅、系統構造和安全需求的改變而改變；入侵檢測系統在發現入侵后，會及時作出響應，包括切斷網絡連接、記錄事件和報警等。在此，介紹兩種具有典型意義的入侵檢測模型。

2.1 Denning模型

Denning模型由Denning1987年提出（如圖1）。該模型由主體、對象、審計記錄、活動輪廓、異常記錄、活動規則6個主要部分構成。

它是基于這樣一個假設：由于襲擊者使用系統的模式不同于正常用戶的使用模式，通過監控系統的跟蹤記錄，可以識別襲擊者異常使用系統的模式，從而檢測出襲擊者違反系統安全性的情況。它最大的缺點是沒有包含己知系統漏洞或攻擊方法的知識，而這些知識在某些情況下是非常有用的。

2.2 CIDF模型

隨著技術的發展，通用入侵檢測構架（Common Intrusion Detection Framework簡稱CIDF）組織，試圖將現有的入侵檢測系統標準化，CIDF闡述了一個入侵檢測系統的通用模型（一般稱為CIDF模型）。它將一個入侵檢測系統分為以下四個組件：

事件產生器(Event Generators)：從整個計算機環境中獲得事件，并向系統其它部分提供此事件。

事件分析器(Event analyzers)：分析得到的事件并產生分析結果。

響應單元(Response units)：對分析結果做出反應的功能單元，它可以做出切斷連接、修改文件屬性等強烈反應。

事件數據庫(Event databases)：用于存儲GIDO以便需要的時候使用，它可以是復雜的數據庫也可以是簡單的文本文件。

CIDF將通信機制分成了三層模型:GDIO層、消息層和協商傳輸層。從而保證了各個組件之間的通信安全和效率。

3 入侵檢測系統的分析方法

在入侵檢測領域中，入侵檢測技術基本上被劃分為兩個大類，它們分別是誤用檢測(Misuse Detection)技術和異常檢測(^nomalyoetection)技術。

3.1 誤用檢側

誤用檢測也稱特征檢測或基于知識的檢測，指運用已知攻擊方法，根據己定義好的入侵模式，通過判斷這些入侵模式是否出現來檢測。但系統依賴性強，且檢測受己知知識的限制。此外，難檢檢測出內部人員的入侵行為。

典型的有以下幾種：

專家系統：通過將安全專家的知識表示成IF一THEN 規則形成專家知識庫，然后，運用推理算法進行檢測入侵。

模式匹配：將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。

模型推理：結合腳本攻擊推理出入侵行為是否出現。其中有關攻擊者行為的知識被描述為:攻擊者的目的，攻擊者達到此目的的可能行為步驟，以及對系統的特殊使用。根據這些知識建立攻擊腳本庫，腳本由攻擊行為組成。

統計檢測分析：常用的檢測值有審計事件的數量、間隔時間、資源消耗情況。主要有操作模型、方差模型、多元模型、馬爾可夫過程模型、時間序列模型這5種。

狀態轉換分析：將狀態圖應用于入侵行為的分析.狀態轉換法是將入侵過程看做一個行為序列，這個行為序列導致從初始狀態轉入侵狀態。

3.2 異常檢測

異常檢測根據使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體的行為是否出現來檢測，所以也被稱為基于行為的入侵檢測。基于行為的入侵檢測與系統相對無關，通用性較強，它甚至可能檢測出以前從未出現過的攻擊方法，不像基于知識的檢測那樣受已知脆弱性的限制。但因為不能對整個系統內的所有用戶進行為全面的描述，況且每個用戶的行為是經常改變的，所以它的主要缺陷在于誤檢率很高，典型的有以下幾種：

統計分析：檢測器根據用戶網絡的特征為每個用戶建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，從而判斷是否有異常行為。用于描述特征的變量類型有操作密度、審計記錄分布、范疇尺度、數值尺度。

神經網絡：模擬生物的神經結構以及其處理信息的方式來進行計算的一種算法，適用不精確模型。基于神經網絡的入侵檢測系統具有普遍性，可以對多個用戶采用相同的檢測措施。它可以通過自學習從要分析的數據中提取正常用戶或系統活動的特征模式，而不必對大量的數據進行存儲，精簡了系統的設計。

4 入侵檢測系統的結構分析

snort是一個強大的清量級的網絡入侵檢測系統。它具有實時數據流量分析和日志ip網絡數據包的能力，能夠進行協議分析，對內容搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進行實時警報。此外，snort具有很好的擴展性和可移植性。事實上，目前流行的很多實用IDS系統大多不同程度上從Snor中吸取營養，特別是它的程序模塊結構，很值得借鑒。人們可以從分析Snort著手，對相關的模塊進行改進，添加上自己所需功能的代碼，來開展新的課題研究。

Sniffer即嗅探器：Snort沒有自己的捕包工具，它使用一個外部的捕包程序庫Libpcap從物理鏈路上進行捕包。Libpcap可以運行在任何一種流行的硬件和操作系統的組合中，這使得Snort成為一個真正的與平臺無關的應用程序。

預處理器：以可插入模塊的形式存在于Sniffer和檢測引擎之間。這種插件機制使程序具有很強的擴展性，模塊性強，程序易讀。

檢測引擎：Snort的核心部件，主要功能是規則分析和特征檢測。當數據包從預處理器送過來后，檢測引擎依據預先設置的規則檢查數據包，一旦發現數據包中的內容和某條規則相匹配，就通知報警模塊。

Snort的規則在邏輯上分為兩部分：規則頭（Rule Header）和規則選項（Rule Option）。 規則頭中包含的是所有規則所共有的一些屬性，規則選項則是包含修改檢測的一些選項。例如，在已經給出的snort庫文件中45條CGI-BIN探測檢測規則，它們有共同的目的IP地址和端口。為了加快檢測進程，這些共同的資源將被放在同一個規則頭中，而它們各自獨立的檢測信號則保存在規則選項結構中。

5 結束語

隨著技術的進步和應用環境的變化，入侵檢測技術也出現了一些新的發展動向，具體發展的趨勢如下：

1) 分布式入侵檢測。這個概念有兩層含義：第一層，即針對分布式網絡攻擊的檢測方法；第二層即使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。

2) 智能化入侵檢測。即使用智能化的方法與手段來進行入侵檢測。所謂的智能化方法，現階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。

3) 全面的安全防御方案。即使用安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估，然后提出可行的全面解決方案。

4) IPs入侵防御系統。即由被動的入侵檢測向主動的防御去發展，IPS能夠進行實時監控，具備智能處理功能，可以主動阻截和轉發數據包。

5) 高速化、硬件化。網絡基礎設施建設的飛速發展預示著下一代網絡必然是高速寬帶網，因此有必要提高IDS的處理速度來滿足應用要求。這其中零拷貝技術、硬件化的探測器、負載平衡技術都值得考慮。

參考文獻：

[1] Pegioannj L.Development of an Architecture for Packer Capture and Network Traffic Analysis[C].Politecnico di Rorino，2000.

[2] 宋勁松.網絡入侵檢測:分析、發現和報告攻擊[M].北京:國防工業出版社，2005.

[3] 卿斯漢.安全協議20年研究進展[J].軟件學報，2003，14(10):1740-1752.

[4] 黃慧.針對黑客攻擊網絡的預防措施[J].網絡安全技術與應用，2006(1):27，41-44.

[5] 藍天明.基于神經網絡的入侵檢測技術的研究[D].南昌大學，2006.