入侵檢測系統誤報率和漏報率的改善方法研究

郭　浩　汪學明

摘要：現有入侵監測系統存在誤報率和漏報率較高的問題，本文對幾種降低IDS誤報率和漏報率的方法進行研究，通過將這幾種方法相互結合，能有效提高入侵檢測系統的運行效率并能大大簡化安全管理員的工作，從而保證網絡安全的運行。

關鍵字：入侵檢測；協議分析；模式匹配；智能關聯a

中圖分類號:TP393.08文獻標示碼:A

1引言

入侵檢測技術是繼“防火墻”、“數據加密”等傳統安全保護措施后新一代的安全保障技術，它對計算機和

網絡資源上的惡意使用行為進行識別和響應，不僅檢測來自外部的入侵行為，同時也監督內部用戶的未授權活動。但是隨著網絡入侵技術的發展和變化以及網絡運用的不斷深入，現有入侵檢測系統暴露出了諸多的問題。特別是由于網絡流量增加、新安全漏洞未更新規則庫和特殊隧道及后門等原因造成的漏報問題和IDS攻擊以及網絡數據特征匹配的不合理特性等原因造成的誤報問題，導致IDS對攻擊行為反應遲緩，增加安全管理人員的工作負擔，嚴重影響了IDS發揮實際的作用。

本文針對現有入侵監測系統誤報率和漏報率較高的問題，對幾種降低IDS誤報率和漏報率的方法進行研究。通過將這幾種方法相互結合，能有效提高入侵檢測系統的運行效率并能大大簡化安全管理員的工作，從而保證網絡

安全的運行。

2入侵檢測系統

入侵是對信息系統的非授權訪問及（或）未經許可在信息系統中進行操作，威脅計算機或網絡的安全機制（包括機密性、完整性、可用性）的行為。入侵可能是來自外界對攻擊者對系統的非法訪問，也可能是系統的授權用戶對未授權的內容進行非法訪問，入侵檢測就是對企圖入侵、正在進行的入侵或已經發生的入侵進行識別的過程。入侵檢測系統IDS（Intrusion Detection System）是從多種計算機系統機及網絡中收集信息，再通過這些信息分析入侵特征的網絡安全系統。

現在的IDS產品使用的檢測方法主要是誤用檢測和異常檢測。誤用檢測是對不正常的行為進行建模，這些行為就是以前記錄下來的確認了的誤用或攻擊。目前誤用檢測的方法主要是模式匹配，即將每一個已知的攻擊事件定義為一個獨立的特征，這樣對入侵行為的檢測就成為對特征的匹配搜索，如果和已知的入侵特征匹配，就認為是攻擊。異常檢測是對正常的行為建模，所有不符合這個模型的事件就被懷疑為攻擊。現在異常檢測的主要方法是統計模型，它通過設置極限閾值等方法，將檢測數據與已有的正常行為比較，如果超出極限閾值，就認為是入侵行為。

入侵檢測性能的關鍵參數包括：（1）誤報：實際無害的事件卻被IDS檢測為攻擊事件。（2）漏報：攻擊事件未被IDS檢測到或被分析人員認為是無害的。

3降低IDS誤報率方法研究

3.1智能關聯

智能關聯是將企業相關系統的信息（如主機特征信息）與網絡IDS檢測結構相融合，從而減少誤報。如系統的脆弱性信息需要包括特定的操作系統（OS）以及主機上運行的服務。當IDS使用智能關聯時，它可以參考目標主機上存在的、與脆弱性相關的所有告警信息。如果目標主機不存在某個攻擊可以利用的漏洞，IDS將抑制告警的產生。

智能關聯包括主動和被動關聯。主動關聯是通過掃描確定主機漏洞；被動關聯是借助操作系統的指紋識別技術，即通過分析IP、TCP報頭信息識別主機上的操作系統。

3.1.1被動指紋識別技術的工作原理

被動指紋識別技術的實質是匹配分析法。匹配雙方一個是來自源主機數據流中的TCP、IP報頭信息，另一個是特征數據庫中的目標主機信息，通過將兩者做匹配來識別源主機發送的數據流中是否含有惡意信息。通常比較的報頭信息包括窗口（WINDOWSIZE）、數據報存活期（TTL）、DF(dontfragment)標志以及數據報長（Totallength）。

窗口大小（wsize）指輸入數據緩沖區大小，它在TCP會話的初始階段由OS設定。數據報存活期指數據報在被丟棄前經過的跳數（hop）；不同的TTL值可以代表不同的操作系統（OS），TTL=64，OS=UNIX；TTL=12，OS=Windows。DF字段通常設為默認值，而OpenBSD不對它進行設置。數據報長是IP報頭和負載（Payload）長度之和。在SYN和SYNACK數據報中，不同的數據報長代表不同的操作系統，60代表Linux、44代表Solaris、48代表Windows2000。

IDS將上述參數合理組合作為主機特征庫中的特征（稱為指紋）來識別不同的操作系統。如TTL=64，初步判斷OS=Linux/OpenBSD；如果再給定wsize的值就可以區分是Linux還是OpenBSD。因此，（TTL，wsize）就可以作為特征庫中的一個特征信息。

3.1.2 被動指紋識別技術工作流程

具有指紋識別技術的IDS系統通過收集目標主機信息，判斷主機是否易受到針對某種漏洞的攻擊，從而降低誤報率。它的工作流程如圖1所示。

因此當IDS檢測到攻擊數據包時，首先查看主機信息表，判斷目標主機是否存在該攻擊可利用的漏洞；如果不存在該漏洞，IDS將抑制告警的產生，但要記錄關于該漏洞的告警信息作為追究法律責任的依據。這種做法能夠使安全管理員專心處理由于系統漏洞產生的告警。

3.2告警泛濫抑制

IDS產品使用告警泛濫抑制技術可以降低誤報率。在利用漏洞的攻擊勢頭逐漸變強之時，IDS短時間內會產生大量的告警信息；而IDS傳感器卻要對同一攻擊重復記錄，尤其是蠕蟲在網絡中自我繁殖的過程中，這種現象最為重要。

所謂“告警泛濫”是指短時間內產生的關于同一攻擊的告警。IDS可根據用戶需求減少或抑制短時間內同一傳感器針對某個流量產生的重復告警。這樣。網管人員可以專注于公司網絡的安全狀況，不至于為泛濫的告警信息大傷腦筋。告警泛濫抑制技術是將一些規則或參數（包括警告類型、源IP、目的IP以及時間窗大小）融入到IDS傳感器中，使傳感器能夠識別告警飽和現象并實施抵制操作。有了這種技術，傳感器可以在告警前對警報進行預處理，抑制重復告警。例如，可以對傳感器進行適當配置，使它忽略在30秒內產生的針對同一主機的告警信息；IDS在抑制告警的同時可以記錄這些重復警告用于事后的統計分析。

3.3告警融合

該技術是將不同傳感器產生的、具有相關性的低級別告警融合成更高級別的警告信息，這有助于解決誤報和漏報問題。當與低級別警告有關的條件或規則滿足時，安全管理員在IDS上定義的元告警相關性規則就會促使高級別警告產生。如掃描主機事件，如果單獨考慮每次掃描，可能認為每次掃描都是獨立的事件，而且對系統的影響可以忽略不計；但是，如果把在短時間內產生的一系列事件整合考慮，會有不同的結論。IDS在10min內檢測到來自于同一IP的掃描事件，而且掃描強度在不斷升級，安全管理人員可以認為是攻擊前的滲透操作，應該作為高級別告警對待。例子告訴我們告警融合技術可以發出早期攻擊警告，如果沒有這種技術，需要安全管理員來判斷一系列低級別告警是否是隨后更高級別攻擊的先兆；而通過設置元警告相關性規則，安全管理員可以把精力都集中在高級別警告的處理上。元警告相關性規則中定義參數包括時間窗、事件數量、事件類型IP地址、端口號、事件順序。

4降低IDS漏報率方法研究

4.1特征模式匹配方法分析

模式匹配是入侵檢測系統中常用的分析方法，許多入侵檢測系統如大家熟知的snort等都采用了模式匹配方法。

單一的模式匹配方法使得IDS檢測慢、不準確、消耗系統資源，并存在以下嚴重問題：

（1）計算的負載過大，持續該運算法則所需的計算量極其巨大。

（2）模式匹配特征搜索技術使用固定的特征模式來探測攻擊，只能探測明確的、唯一的攻擊特征，即便是基于最輕微變換的攻擊串都會被忽略。

（3）一個基于模式匹配的IDS系統不能智能地判斷看似不同字符串／命令串的真實含義和最終效果。在模式匹配系統中，每一個這樣的變化都要求攻擊特征數據庫增加一個特征記錄。這種技術攻擊運算規則的內在缺陷使得所謂的龐大特征庫實際上是徒勞的，最后的結果往往是付出更高的計算負載，而導致更多的丟包率，也就產生遺漏更多攻擊的可能，特別是在高速網絡下，導致大量丟包，漏報率明顯增大。

可見傳統的模式匹配方法已不能適應新的要求。在網絡通信中，網絡協議定義了標準的、層次化、格式化的網絡數據包。在攻擊檢測中，利用這種層次性對網絡協議逐層分析，可以提高檢測效率。因此，在數據分析時將協議分析方法和模式匹配方法結合使用，可以大幅度減少匹配算法的計算量，提高分析效率，得到更準確的檢測結果。

4.2 協議分析方法分析

在以網絡為主的入侵檢測系統中，由于把通過網絡獲得的數據包作為偵測的資料來源，所以數據包在網絡傳輸中必須遵循固定的協議才能在電腦之間相互溝通，因此能夠按照協 議類別對規則集進行分類。協議分析的原理就是根據現有的協議模式，到固定的位置取值（而不式逐一的去比較），然后根據取得的值判斷其協議連同實施下一步分析動作。其作用是非類似于郵局的郵件自動分撿設備，有效的提高了分析效率，同時還能夠避免單純模式匹配帶來的誤報。

根據以上特點，能夠將協議分析算法用一棵協議分類樹來表示，如圖2所示。

這樣，當IDS進行模式匹配時，利用協議分析過濾許多規則，能夠節省大量的時間。在任何規則中關于TCP的規則最多，大約占了50%以上，因此在初步分類后，能夠按照端口進行第二次分類。在兩次分類完成后，能夠快速比較特征庫中的規則，減少大量不必要的時間消耗。如有必要，還可進行多次分類，盡量在規則樹上分叉，盡可能的縮減模式匹配的范圍。

每個分析機的數據結構中包含以下信息：協議名稱、協議代號以及該協議對應的攻擊檢測函數。協議名稱是該協議的唯一標志，協議代號是為了提高分析速度用的編號。為了提高檢測的精確度，可以在樹中加入自定義的協議結點，以此來細化分析數據，例如在HTTP協議中可以把請求URL列入該樹中作為一個結點，再將URL中不同的方法作為子節點。

分析機的功能是分析某一特定協議的數據，得出是否具有攻擊的可能性存在。一般情況下，分析機盡可能的放到樹結構的葉子結點上或盡可能的靠近葉子結點，因為越靠近樹根部分的分析機，調用的次數越多。過多的分析機聚集在根部附近會嚴重影響系統的性能。同時葉子結點上的協議類型劃分越細，分析機的效率越高。

因此，協議分析技術有檢測快、準確、資源消耗少的特點，它利用網絡協議的高度規則性快速探測攻擊的存在。

5結束語

本文對幾種降低IDS誤報率和漏報率的方法進行分析研究，通過將這幾種方法相互結合，能有效提高入侵檢測系統的運行效率并能大大簡化安全管理員的工作，從而保證網絡安全的運行。由于方法論的問題，目前IDS的誤報和漏報是不可能徹底解決的。因此，IDS需要走強化安全管理功能的道路，需要強化對多種安全信息的收集功能，需要提高IDS的智能化分析和報告能力，并需要與多種安全產品形成配合。只有這樣，IDS才能成為網絡安全的重要基礎設施。

參考文獻:

[1]張杰，戴英俠.入侵檢測系統技術現狀及其發展趨勢[J].計算機與通信，2002(6)：28-32.

[2]唐洪英，付國瑜.入侵檢測的原理與方法[J].重慶工學院學報，2002(4)：71-73.

[3]戴連英，連一峰，王航.系統安全與入侵檢測技術[M].北京：清華大學出版社，2002(3).

[4]鄭成興.網絡入侵防范的理論與實踐[M].北京：機械工業出版社，2006：48-56.

[5]耿麥香.網絡入侵檢測技術研究[J].科技情報開發與經濟，2003，13(12)：217-218.

[6]連一峰.入侵檢測綜述[J].網絡安全技術與應用，2003(3)：47-49.