入侵檢測系統性能與魯棒性分析

張 毅， 梅 挺

(成都醫學院 人文信息管理學院 計算機教研室，四川 成都 610081)

0 引言

入侵檢測技術提供了用于發現入侵攻擊與合法用戶權的一種方法，自1980年，Anderson首先提出了入侵檢測的概念以來，入侵檢測技術已被廣泛應用于網絡安全防御中。從獲取數據的角度來說，入侵檢測體統可以分為基于主機的和基于網絡的兩種。基于主機的入侵檢測系統它主要分析主機內部的活動，從操作系統和安全審計系統的日志獲取信息，同時分析主機的系統調用以及文件系統完整性，并對所得的信息進行處理[1]。如果發現入侵，它將會給以適合的響應。基于網絡的入侵檢測系統以網絡數據包為數據源。它通常利用工作在混雜模式下的網絡適配器來實時監視并分析流經網絡的數據流。它可以分析一個網段中的所有數據包，進行實時分析和響應。而且，基于網絡的入侵檢測系統具有操作系統無關性，可以單獨安裝不會增加主機的負載。

一個典型的入侵檢測系統(IDS)的基本構成如圖1所示。

圖1 通用入侵檢測模型

如圖1所示的通用入侵檢測系統模型中，主要由以下幾大部分組成。

數據收集器（又可稱為探測器）：主要負責收集數據。探測器的輸入數據流包括任何可能包含入侵行為線索的系統數據。比如說網絡數據包、日志文件和系統調用記錄等。探測器將這些數據收集起來，然后發送到檢測器進行處理。

檢測器（又可稱為分析器或檢測引擎），負責分析和檢測入侵的任務，并發出警報信號。

知識庫：提供必要的數據信息支持。例如用戶歷史活動檔案，或者檢測規則集合等。

控制器：根據警報信號，人工或自動作出反應動作。

另外，絕大多數的入侵檢測系統都會包含一個用戶接口組件，用于觀察系統的運行狀態合輸出信號，并對系統行為進行控制。

隨著IDS廣泛應用和推廣后，對IDS進行測試和評估也十分必要。不論是IDS的設計者還是使用者都希望有方便的工具，合理的方法對IDS進行科學，公正并且可信地測試和評估。對于IDS的研制和開發者來說，對各種IDS進行經常性的評估，可以及時了解技術發展的現狀和系統存在的不足，從而將研究重點放在關鍵的技術問題上，減少系統的不足，提高系統的性能；而對于IDS的使用者來說，由于他們對IDS依賴程度越來越大，所以也希望通過評估來選擇適合自己需要的產品，避免各IDS產品宣傳的誤導。

1 入侵檢測系統形式化描述

根據計算機信息安全的定義，本文對IDS系統的安全性能給出形式化的描述：[2]

定義1 IDS系統安全是指傳感器向控制臺發送的信息，數據文件存儲的規則和記錄的數據信息以及控制臺向管理員發送的響應信息等的機密性、完整性和可用性。其實：它可用＜S,I,U＞三元組來進行形式化定義：

S：是指信息的機密性，即只能有授權用戶訪問信息以及對IDS中有用信息進行加密處理；

I：是指信息的完整性，即指防止 IDS系統中存儲與傳輸的信息被修改、復制和破壞，以及保證信息交換的內容與順序均證實有效且不可否認；

U：是指信息的可用性，即IDS系統資源和信息能夠持續有效地工作，以及授權用戶可以在需要的時間、從需要的地方、以需要的方式來訪問跟蹤相應資源。

如果針對三元組中的任何一個元素進行相應地操作，則會對IDS系統中信息資源的安全性產生威脅。

定義2 IDS系統安全度是指IDS系統在特定的環境或條件下，在一定的時間內，不會發生針對IDS系統信息的機密性、完整性以及可用性進行破壞活動或事件的概率。

若以E表示特定的環境，t表示給定的時間，設系統從0時刻開始運行，直到T時刻發生入侵IDS系統的事件，則：。即表示IDS系統在特定的環境E下的、正常工作到時刻t時的概率。

其中，T是從0時刻開始，系統運行到發生故障時的時間。根據定義， (,)MEt具有如下性質：

① (,0)1E = ，即在 0時刻，系統尚未遭受到任何入侵事件的攻擊，系統安全度最高；

② M(E,∞ ) = 0 ，即在無限遠的時刻，系統必定將受到入侵；

③ 在時間區間(0，+∞)上， (,)MEt是單調下降的，即隨著時間的增加，IDS系統的安全度則相應降低。

定義3 IDS系統入侵度是指在特定的環境或條件下，在一個確定的時間內，發生針對于IDS系統安全性的破壞活動或事件的概率，記為 (,)NEt。由定義可知：，即：

因此， (,)NEt具有與 (,)MEt相似的性質：

① N(E , 0) = 0 ，即在0時刻，系統無入侵事件發生，IDS系統入侵度為0；

② N(E,∞) = 1 ，即在無限遠的時刻，系統必定將受到入侵，入侵度為1；

③ 在時間區間(0，+∞)上， (,)NEt是單調上升的，即隨著時間的增加。

IDS系統發生入侵活動或事件的概率相應增加，系統入侵度也相應增加。因此，如何有效地提高IDS系統的安全度，并有效地降低IDS系統的入侵度，則是保證IDS系統安全可靠的重要途徑。

2 影響入侵檢測系統性能主要因素

入侵檢測系統的性能分析主要考慮檢測系統的有效性、效率和可用性。有效性研究檢測機制的檢測精確度和系統檢測結果的可信度，它是開發設計和應用IDS的前提和目的，是檢測評估IDS的主要指標，效率則從檢測機制的處理數據的速度以及經濟性的角度來考慮，也就是側重檢測機制性能價格的改進。[3]可用性主要包括系統的可擴展性、用戶界面的可用性，部署配置程度等方面。有效性是開發設計和應用IDS的前提和目的，因此也是測試評估IDS的主要指標，但效率和可用性對IDS的性能也起很重要的作用。效率和可用性的要求也體現與IDS設計的各個環節中。

IDS的檢測率、虛警率和檢測可信度是其性能的重要指標。檢測率是指被監控系統在收到入侵攻擊時，檢測系統能夠正確報警的概率。虛警率是指檢測系統在檢測時出現虛驚的概率。檢測可信度也就是檢測系統檢測結果的可信程度，這是測試評估IDS的最重要的指標。

在測試評估IDS的具體實施過程中，除了要IDS的檢測率和虛警率之外，往往還會單獨考慮與這兩個指標密切相關的一些因素，比如能檢測的入侵特征數量、IP碎片重組能力、TCP流重組能力。顯然，能檢測的入侵特征數量越多，檢測率也就越高。此外，由于攻擊者為了加大檢測的難度甚至繞過IDS的檢測，常常會發送一些特別設計的分組。為了提高IDS檢測率降低IDS的虛警率，IDS常常需要采取一些相應的措施，比如對于各種逃避方式增加一些預處理器等。因為分析單個的數據分組會導致許多誤報和漏報，所以增強IDS對數據流的重組能力可以提高檢測的精確度。IP碎片重組的評測標準有三個性能：能重組的最大IP分片數；能同時重組的IP分組數；能進行重組的最大IP數據分組的長度，TCP流重組是為了對完整的網絡對話進行分析，它是網絡IDS對應用層進行分析的基礎。如：檢查郵件內容、檢查FTP傳輸的數據，禁止訪問有害網站，判斷非法HTTP請求等。這兩個能力都會直接影響IDS的檢測可信度。

除此之外，影響IDS性能的還有延遲時間、資源占有率、負荷能力和報警響應能力等。延遲時間指的是在攻擊發生至IDS檢測到入侵之間的延遲時間，延遲時間的長短直接關系著入侵攻擊破壞的程度。資源的占有率即系統在達到某種檢測有效性時對資源的要求情況。通常，在同等檢測有效性的前提下，對資源的要求越低，IDS的性能越好，檢測入侵的能力也就越強。負荷能力是其設計的負荷能力，在超出負荷能力的情況下，性能會出現不同程度的下降。比如，在正常情況下IDS可檢測到某攻擊但在負荷大的情況下可能就檢測不出該攻擊，考察檢測系統的負荷能力就是觀察不同大小的網絡流量、不同強度的 CPU內存等系統資源的使用對 IDS的關鍵指標（比如檢測率、虛警率）的影響。日志、報警、報告以及響應能力。日志能力是指檢測系統保存日志的能力、按照特定要求選取日志內容的能力。報警能力是指在檢測到入侵后，向其它部件、人員發送報警信號的能力以及在報警中附加信息的能力。報告能力是指產生入侵行為報告、提供查詢報告、創建和保存報告的能力。響應能力是指在檢測到入侵后進一步處理的能力，這包括阻斷入侵、跟蹤入侵者、記錄入侵證據等。

3 IDS魯棒性分析

魯棒性是指系統中存在的可以被入侵者利用的弱點和缺陷，以及系統對某一個特定的威脅、攻擊或危險事件的敏感性和受其威脅或攻擊的可能性。IDS系統作為一種對入侵活動進行檢測的軟件和硬件的集合，其自身也必然存在著漏洞和弱點。[4]為了衡量IDS系統魯棒性以及抗攻擊能力的強弱，下面對IDS系統魯棒度進行分析。

定義4 IDS系統的魯棒度是指在一定的時間和條件范圍內，IDS系統對某種特定漏洞的敏感度，以及針對該漏洞對IDS系統產生入侵的可能性，即：

其中，敏感度 S v(E)是指IDS系統能夠被檢測或察覺出系統所存在的漏洞及遭到相關的入侵和破壞行為，以及IDS系統被破壞到什么程度才會造成系統失效或死機的一種衡量指標；而可能性也就是指針對這種漏洞V的入侵度 N v(E,t)。因此，IDS系統的魯棒度 D (V , 5,E,t)表示在一定的時間與環境下，IDS系統對漏洞或入侵的敏感度與利用該漏洞所進行入侵度的乘積。由于 S v(E)是一個與時間無關且只與系統自身環境有關的量，所以 S v(E)在任何時刻均為一個不為0的量，即魯棒度的性質與入侵度的性質相似：

實踐表明，針對IDS系統的入侵活動是不可避免的，但是為了有效地降低系統入侵率以及魯棒度，提高系統的感知度是首要的解決方案，即增強IDS系統對漏洞的檢測能力，以及針對這些漏洞進行入侵的活動和事件的響應能力。[5]另外，增強系統的自身修復能力、容錯能力與抗攻擊能力，以及減少系統的開銷也是IDS設計的重要內容。

IDS體系結構的魯棒性主要包括三個方面：平臺結構漏洞、通信協議的漏洞以及IDS系統自身的魯棒性。其中平臺結構漏洞以及通信協議的漏洞主要是指支持IDS的操作系統平臺以及IDS進行數據通信過程中所使用的協議所存在的安全漏洞，大量的文獻對此已做出了深入的研究；而IDS系統體系結構自身的安全性已成為業界關注的核心，盡管 CIDF體系結構已經被大多數企業所接受，但IDS體系結構的標準仍未制定，CIDF中的四個模塊間在通信過程中傳輸的數據也會受到監聽或更改。[6]因此，為了保證IDS在數據與傳輸過程的安全性，一方面需要在傳輸過程中對數據加密；另一方面需要對IDS的不同主機間的通信進行安全認證、完整性檢驗和數字簽名，并監視網絡流量，使IDS系統達到負載平衡。另外，基于主機的入侵檢測系統采用服務器操作系統的檢測序列作為主要輸入源來檢測侵入行為，而大多數基于網絡的入侵檢測系統則以監控網絡故障作為檢測機制，但有些則用基于服務器的檢測模式和典型的入侵檢測系統靜態異常算法。早期的入侵檢測系統模型設計用來監控單一服務器，是基于主機的入侵檢測系統；近期的更多模型則集中用于監控通過網絡互連的多服務器，是基于網絡的入侵檢測系統。[7]由于 NIDS的傳感器只對本網段的通信進行過濾，而不能檢測其它網段的數據包，所以在使用交換以太網的環境中就會出現檢測范圍的局限，從而設計一個新的IDS體系結構模型并有效地部署整個系統將面臨著新的挑戰。

4 結語

雖然 IDS及其相關技術已獲得了很大的進展，但關于IDS性能檢測及其相關評測工具、標準以及測試環境等方面的研究工作還很缺乏。但是，對IDS進行定性和定量的分析，實踐意義重大。有助于更好的刻畫IDS的特征。通過測試評估，可更好地認識理解IDS的處理方法、所需資源及環境；領會各檢測方法之間的關系；可以對IDS的各項性能進行評估，確定IDS的性能級別及對運行環境的影響；最后還能利用測試和評估結果，可推斷IDS發展的趨勢，對IDS進行改善，發現系統中存在的問題并進行改進，提高系統的各項性能指標。

[1] 汪洋,龔儉.入侵檢測系統評估方法綜述[J].計算機工程與應用,2003(32):171-173.

[2] 諸葛建偉,王大為,陳昱,等.基于 D-S證據理論的網絡異常檢測方法[J].軟件學報,2006(03):463-471.

[3] 孫美鳳,龔儉,楊望.基于特征的入侵檢測系統的評估新方法[J].通信學報,2007,28(11):6-14.

[4] 陳友,沈華偉,李洋,等.一種高效的面向輕量級入侵檢測系統的特征選擇算法[J].計算機學報,2007,30(08):1398-1408.

[5] 姚君蘭.入侵檢測技術及其發展趨勢[J].信息技術,2006,30(04):172-175.

[6] 田俊峰,劉濤, 陳小祥.入侵檢測系統的評估方法與研究[J].計算機工程與應用,2008,44(09):113-117.

[7] 王永全.入侵檢測系統（IDS）的研究現狀和展望[J].通信技術,2008,41(11):39-146.