基于在線網(wǎng)絡(luò)考試的入侵偵測系統(tǒng)的分析

錢 琴

(延安職業(yè)技術(shù)學(xué)院，陜西 延安 716000 )

近幾年來隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展進步，使得世界的信息化日新月異，網(wǎng)絡(luò)上的互動也日益頻繁。由于互聯(lián)網(wǎng)無邊界的特性，衍生了許多網(wǎng)絡(luò)上的問題，其中網(wǎng)絡(luò)考試的公平性是一直為人所詬病的。由于Internet與寬頻網(wǎng)絡(luò)的普及，再加上網(wǎng)絡(luò)Lastmile建設(shè)已漸趨完美，使得人們對網(wǎng)絡(luò)的使用率愈來愈高，各種網(wǎng)絡(luò)應(yīng)用非常興盛，若能夠設(shè)計出一套專屬家用型或是小型局域網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)即時監(jiān)控機制，并且透過Web－base來呈現(xiàn)，將可以使網(wǎng)絡(luò)在線考試的管理者不再局限在考場、教室，管理者只需透過網(wǎng)絡(luò)就可知道學(xué)生在校的考試狀況，從而達到行動式監(jiān)控考試。

目前信息產(chǎn)業(yè)界有種類繁多的網(wǎng)絡(luò)認證考試，例如 Microsoft的 MCP、MCSE、MCDBA 等;Sun的SCSA、SCNA、SCJP 等;Cisco的 CCNA、CCNP、CCIE、CCDBA等，皆是通過網(wǎng)絡(luò)即時出題，即時作答，考完后隨即得知成績，迅速又便捷，可是畢竟仍是使用傳統(tǒng)舊式的人工監(jiān)考方式，加上也無網(wǎng)絡(luò)監(jiān)控管理機制，因此，仍舊無法得知考生是否有在網(wǎng)絡(luò)上作弊的嫌疑。

近年來網(wǎng)絡(luò)學(xué)習(xí)是知識經(jīng)濟發(fā)展的動力，有了網(wǎng)絡(luò)之后，通過系統(tǒng)化的規(guī)劃設(shè)計，就可將學(xué)習(xí)環(huán)境虛擬建立在服務(wù)器上。學(xué)習(xí)者只要透過一般的瀏覽器或閱讀器(Reader)，便可以不受時空限制地上線學(xué)習(xí)，教師也可以隨時隨地通過在線來編撰教材與教授課程，根據(jù)各種在線教學(xué)活動，了解學(xué)習(xí)者的進度與成果。這種方法影響了傳統(tǒng)的教學(xué)方式，也將成為企業(yè)未來培訓(xùn)學(xué)習(xí)的新典范;然而網(wǎng)絡(luò)學(xué)習(xí)的評估方式忽略了在線考試的監(jiān)控，也因此促成了本研究的重要動機。

1 入侵偵測系統(tǒng)的分析

自從Anderson在1980年提出IDS(Intrusion Detection System，入侵檢測系統(tǒng))入侵偵測系統(tǒng)的技術(shù)報告后，入侵偵測系統(tǒng)的研究至今已超過二十年。根據(jù)Graham的定義，“入侵行為”意指:“某人(通常被稱為Hacker或Cracker)企圖潛入或濫用(Misuse)系統(tǒng)”;而“入侵偵測系統(tǒng)”意指:“負責(zé)偵測這些入侵行為的系統(tǒng)”。Theuns則定義入侵偵測是使用自動及智慧型的工具，即時偵測入侵者意圖。這樣的工具稱之為入侵偵測系統(tǒng)IDS(Intrusion Detection System)。一般而言，入侵偵測系統(tǒng)就是一種網(wǎng)絡(luò)安全監(jiān)測工具，根據(jù)分析系統(tǒng)稽核檔或網(wǎng)絡(luò)封包內(nèi)容，即時偵測出對系統(tǒng)所進行的攻擊行為，并回報給系統(tǒng)管理者，加強維護系統(tǒng)的安全［1］。

根據(jù)Sobirey［2］所收集整理的IDS 入侵偵測系統(tǒng)共有92種。雖然各式各樣的IDS入侵偵測系統(tǒng)不斷的因應(yīng)市場需求而產(chǎn)生，但針對其運作模式Network－based與Host－based分別作如下論述。

1.1 網(wǎng)絡(luò)型入侵偵測系統(tǒng)

網(wǎng)絡(luò)型入侵偵測系統(tǒng)(Network－Based IDS)主要是涉及擷取網(wǎng)絡(luò)中所有封包，然后根據(jù)所擷取的封包作分析與偵測的動作;網(wǎng)絡(luò)型入侵偵測系統(tǒng)以記錄并分析網(wǎng)路封包的方式來偵測入侵行為，其主要建置在網(wǎng)路的骨干上。單一的網(wǎng)絡(luò)型入侵偵測系統(tǒng)便可監(jiān)聽大量的網(wǎng)路資訊。網(wǎng)絡(luò)型入侵偵測系統(tǒng)通常包含一組監(jiān)聽裝置，用于監(jiān)聽記錄網(wǎng)路封包并將所偵測到疑似攻擊的封包回報到單一獨立的管理控制臺(Management Console)［3］。大多數(shù)的入侵偵測系統(tǒng)是處在隱形模式(Stealth Mode)下運作，所以對攻擊者而言，在偵測這些系統(tǒng)的存在以及其所部署的位置是非常困難的。此類的IDS入侵偵測系統(tǒng)有:NSM(Network Security Monitor)、DIDS(Distributed Intrusion Detection System)、NFR(Network Flight Recorder)等等。主要有下列優(yōu)點:

(1)成本較低。

(2)可偵測到主機式入侵偵測系統(tǒng)偵測不到的攻擊行為。

(3)駭客消除入侵證據(jù)較為困難。

(4)作業(yè)系統(tǒng)獨立。

(5)即時監(jiān)控、即時回應(yīng)。

(6)惡意企圖事先偵測。

由于僅需在局域網(wǎng)絡(luò)中增設(shè)一臺監(jiān)視主機，因此無需更動網(wǎng)絡(luò)結(jié)構(gòu)中的網(wǎng)絡(luò)作業(yè)系統(tǒng)。但相對的，網(wǎng)絡(luò)型入侵偵測系統(tǒng)也有其一定的缺點如下:

(1)若網(wǎng)絡(luò)的型態(tài)過大，網(wǎng)絡(luò)型入侵偵測系統(tǒng)往往會漏失掉許多封包，無法完全監(jiān)控網(wǎng)絡(luò)上所有流通的封包數(shù)［4］。

(2)若要擷取大型網(wǎng)絡(luò)上的流量并處理分析，往往需要更有效率的CPU處理速度，以及更大的記憶體空間。

(3)如果封包已經(jīng)加密，則網(wǎng)絡(luò)型入侵偵測系統(tǒng)就無法調(diào)查其中的內(nèi)容，可能會錯失包含在封包中的某些攻擊信息。

(4)對在攻擊者直接坐在受害者主機前的攻擊行為是無能為力的。

1.2 主機式入侵偵測系統(tǒng)

主機式入侵偵測系統(tǒng)(Host－based IDS)發(fā)展始在80年代早期，通常只觀察、稽核系統(tǒng)日志檔是否有惡意的行為，用以防止類似事件再發(fā)生。主要是以本機電腦系統(tǒng)上的稽核資料(Auditdata)為基礎(chǔ)所進行的入侵偵測工作，主機式入侵偵測系統(tǒng)主要是靠記錄并分析該主機上的各項活動程序以偵測是否有不適當(dāng)?shù)拇嫒⌒袨椤＝逵蛇@樣的方式來判斷該主機上某個特定的處理程序或使用者是否正在進行可疑的攻擊行為。這類的IDS入侵偵測系統(tǒng)有:Computer Watch、Discovery、Haystack、IDES(Intrusion－Detection Expert System)、MIDAS(MulticsIntrusion Detection and Alerting System)等等。在WindowsNT/2000的環(huán)境下，通常可以根據(jù)監(jiān)測系統(tǒng)、事件及安全日志檢視器中所記載的內(nèi)容來加以過濾、比對，從中發(fā)現(xiàn)出可疑的攻擊行為;在UNIX環(huán)境下，則監(jiān)督系統(tǒng)日志。當(dāng)有事件發(fā)生時，主機式入侵偵測系統(tǒng)即作入侵行為的比對，若有符合，則由回應(yīng)模組通知系統(tǒng)管理員，以對攻擊行為進行適當(dāng)?shù)姆磻?yīng)。

主機式入侵偵測系統(tǒng)有下列的優(yōu)點:

(1)確定駭客是否成功入侵。

(2)監(jiān)測特定主機系統(tǒng)活動。

(3)較適合有加密及網(wǎng)絡(luò)交換器(Switch)的環(huán)境。

(4)不需另外增加硬體設(shè)備。

(5)監(jiān)控系統(tǒng)特定主要軟件。

(6)近乎即時監(jiān)控、即時回應(yīng)。

然而主機式入侵偵測系統(tǒng)也具有某些功能上的限制:

(1)各種作業(yè)系統(tǒng)有各種不同的稽核紀錄檔，因此必須針對各不同主機、不同版本或完全不同的作業(yè)平臺安裝各種主機式入侵偵測系統(tǒng)。

(2)入侵者可能經(jīng)由其他系統(tǒng)漏洞入侵系統(tǒng)并得到系統(tǒng)管理者的權(quán)限，導(dǎo)致主機式入侵偵測系統(tǒng)失去其效用。

(3)主機式入侵偵測系統(tǒng)可能會因為DoS(Denial of Service)而失去作用。

(4)主機式入侵偵測系統(tǒng)并不能用來作網(wǎng)絡(luò)的監(jiān)測與掃描主機所在的整個局域網(wǎng)，因為僅能看到經(jīng)由該主機所接收到的網(wǎng)絡(luò)封包資訊。

(5)由于當(dāng)主機式入侵偵測系統(tǒng)處在監(jiān)測狀態(tài)也消耗主機的系統(tǒng)資源，也會影響被監(jiān)測主機本身的功能。

2 入侵偵測系統(tǒng)的偵測技術(shù)

目前入侵偵測系統(tǒng)所使用的偵測技術(shù)主要分為兩種方式∶不當(dāng)使用偵測方式(Misuse Detection)及異常使用偵測方式(Anomaly Detection)［5］。不當(dāng)使用偵測方式目前廣泛地被各大入侵偵測系統(tǒng)的廠商所采用;而異常使用偵測方式目前尚在研究階段，主要為入侵偵測系統(tǒng)研究機構(gòu)以及少數(shù)廠商所采用。

3.1 不當(dāng)使用偵測方式

不當(dāng)使用偵測方式又可被稱為“特征比對”方式(signature－based)，主要是以比對的方式將所偵測到的可疑攻擊行為與系統(tǒng)事先所定義的入侵攻擊模式資料庫進行分析比對，而入侵攻擊模式資料庫中則詳細定義著各種入侵攻擊方式的特征資料(attackpattern/signature)，一旦比對出相似的入侵攻擊模式，便將其視為是一種入侵攻擊行為。采用此方式的入侵偵測系統(tǒng)必須事先進行設(shè)定微調(diào)以得到最高的效能及準確的偵測率。

優(yōu)點:

(1)不當(dāng)使用偵測方式的入侵偵測系統(tǒng)在偵測攻擊行為上非常有效率而且不會產(chǎn)生過多的誤判警訊(falsepositive)。

(2)不當(dāng)使用偵測方式的入侵偵測系統(tǒng)能夠快速并可靠地偵測出特定的攻擊手法，能有效的幫助資訊安全人員迅速地整理出正確的應(yīng)對之策。

缺點:

(1)不當(dāng)使用偵測方式的入侵偵測系統(tǒng)必須經(jīng)過手動微調(diào)設(shè)定以偵測各種不同的攻擊，因此必須經(jīng)常不斷地更新最新的入侵攻擊方式特征資料，以便有效地偵測最新的攻擊行為。

(2)大部份不當(dāng)使用偵測方式的入侵偵測系統(tǒng)刻意地縮小入侵攻擊方式特征的定義范圍，以避免偵測到不同版本的一般攻擊行為。其目的是為了提高偵測的準確率，但卻犧牲了偵測的彈性空間。

3.2 異常使用偵測方式

異常使用偵測方式又可被稱為“政策比對”方式(policy－based)。異常使用偵測方式的入侵偵測系統(tǒng)以識別不尋常的主機或網(wǎng)路運作行為的方式來偵測是否有攻擊行為發(fā)生。此種方式以觀察攻擊行為不同于一般使用狀態(tài)的相異處來進行偵測。通常需事先建立正常使用狀態(tài)下的基準線(baseline)，再對網(wǎng)路系統(tǒng)上的各種活動進行比對是否有別于一般正常狀態(tài)下的使用。很可惜的是因為技術(shù)層面上的瓶頸，采用此方式的入侵偵測系統(tǒng)一般來說產(chǎn)生過多的誤判警訊，因為一般的使用者行為及網(wǎng)路上的各項活動是非常難掌握的。另外，研究學(xué)者強烈地認為「異常使用」偵測方式的入侵偵測系統(tǒng)將有效地提供偵測未知攻擊方式的能力，有別于不當(dāng)使用偵測方式的入侵偵測系統(tǒng)僅能對已知的攻擊方式做偵測。

優(yōu)點:

(1)異常使用偵測方式的入侵偵測系統(tǒng)以偵測不尋常的行為模式的方式，因此不需要經(jīng)過特定的微調(diào)設(shè)定即可偵測到各種不同的攻擊行為，而且也不需要如不當(dāng)使用偵測方式一般，需經(jīng)常性地更新及維護入侵攻擊模式資料庫。

(2)異常使用偵測方式入侵偵測系統(tǒng)所收集的資訊可以提供給不當(dāng)使用偵測方式入侵偵測系統(tǒng)用來作各種入侵攻擊方式特征的定義。

缺點:

(1)異常使用偵測方式通常會產(chǎn)生大量的錯誤警訊，主要是因為使用者行為及網(wǎng)路活動之不可預(yù)測的天性。

(2)異常使用偵測方式通常需要大量經(jīng)過篩選的系統(tǒng)事件記錄，以便確實地描述一般行為的特征。

3 結(jié)束語

由于本研究尚未評估 Snort［6］、EtherReal、Network Security Monitor、Network Flight Recorder 等其它具封包偵測技術(shù)的入侵偵測系統(tǒng)，因此，若能以此系統(tǒng)搭配各種封包偵測技術(shù)，再統(tǒng)計出最佳執(zhí)行效率與最低封包遺失率，將可有效提升系統(tǒng)的功能與可信度。

［1］楊忠勇.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的研究［D］.西安:西北工業(yè)大學(xué)，2007.

［2］M.Sobirey，“Currently 92 Intrusion Detection Systems”，http://www － rnks.informatik.tu － cottbus.de/～ sobirey/ids.html.2001.

［3］黎喜權(quán).無線局域網(wǎng)中入侵檢測系統(tǒng)研究［J］.長沙:湖南大學(xué)，2006.

［4］張旋.基于無線網(wǎng)絡(luò)的入侵檢測系統(tǒng)研究［C］.武漢:武漢理工大學(xué)，2006.

［5］馬麗.基于行為的入侵防御系統(tǒng)研究［D］.北京:北京林業(yè)大學(xué)，2007.

［6］凌曉明.基于Snort的分布式入侵檢測系統(tǒng)［J］.濟南:山東大學(xué)，2006.