基于網(wǎng)絡(luò)的入侵檢測(cè)模型和方法研究

胡莉萍

（浙江橫店影視職業(yè)學(xué)院，東陽(yáng) 322118）

0 引言

信息網(wǎng)絡(luò)如今已成為全世界范圍內(nèi)的一個(gè)信息交換和資源共享的平臺(tái)，它有著開(kāi)發(fā)和共享這個(gè)特性，但是這個(gè)特性也成了信息網(wǎng)絡(luò)的先天安全缺陷。另一方面，網(wǎng)絡(luò)上的黑客站點(diǎn)很多，黑客們的攻擊手段也很高明。而我們國(guó)家在這個(gè)方面的法律法規(guī)卻相對(duì)比較滯后。因此很多大公司都曾被黑客入侵。信息安全問(wèn)題已不容我們忽視。本論文將對(duì)網(wǎng)絡(luò)安全中的入侵檢測(cè)問(wèn)題進(jìn)行研究，提出以入侵檢測(cè)為核心的動(dòng)態(tài)的網(wǎng)絡(luò)安全解決方案。

1 入侵檢測(cè)通用模型

入侵檢測(cè)技術(shù)是從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)若干關(guān)鍵點(diǎn)中收集分析相關(guān)信息，通過(guò)分析來(lái)得出系統(tǒng)或網(wǎng)絡(luò)是否已經(jīng)被攻擊或已存在安全隱患，同時(shí)要作出響應(yīng)的一種動(dòng)態(tài)安全防御技術(shù)。它有實(shí)時(shí)性、動(dòng)態(tài)檢測(cè)性和主動(dòng)防御性，可以彌補(bǔ)靜態(tài)防御工具的缺點(diǎn)，如可將防火墻和入侵檢測(cè)系統(tǒng)結(jié)合起來(lái)使用來(lái)共同抵擋網(wǎng)絡(luò)內(nèi)外的攻擊。

1987年Dorothy E.Denning提出了名為IDES的入侵檢測(cè)模型。該模型由六個(gè)部分組成：主體（指在目標(biāo)系統(tǒng)上活動(dòng)的實(shí)體）、對(duì)象即客體、審計(jì)記錄（主體對(duì)客體實(shí)施操作時(shí)系統(tǒng)產(chǎn)生的數(shù)據(jù)）、活動(dòng)檔案（主體相對(duì)于客體的正常行為用度量和統(tǒng)計(jì)模型來(lái)表示）、異常記錄和活動(dòng)規(guī)則（條件和動(dòng)作）。

Denning模型定義了事件計(jì)數(shù)器、資源測(cè)量器、間隔定時(shí)器這3種度量。并提出了可操作模型、多變量模型、時(shí)間序列模型、均值和標(biāo)準(zhǔn)差模型和馬爾可夫過(guò)程模型這5種統(tǒng)計(jì)模型。Denning模型會(huì)對(duì)系統(tǒng)審計(jì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析從而得出單個(gè)用戶或一組用戶的正常的行為特征，模型通過(guò)將這些正常的行為特征與系統(tǒng)中的審計(jì)數(shù)據(jù)進(jìn)行比較，如果不相同的內(nèi)容超過(guò)了規(guī)定的范圍就可得出是有入侵了。這個(gè)模型成了其后的許多異常檢測(cè)方法的基礎(chǔ)。該模型如圖1所示。

圖1 Denning入侵檢測(cè)模型

2 層次化入侵檢測(cè)模型

現(xiàn)今比較常見(jiàn)和成熟的是來(lái)源于誤用檢測(cè)和異常檢測(cè)的層次化入侵檢測(cè)模型。誤用檢測(cè)往往是針對(duì)非安全行為，而異常檢測(cè)則針對(duì)安全行為，層次化入侵檢測(cè)模型則既可以通過(guò)對(duì)攻擊行為的分析檢測(cè)出已知入侵，同時(shí)又可以通過(guò)對(duì)安全策略庫(kù)和疑似入侵的行為進(jìn)行模式匹配來(lái)檢測(cè)出未知入侵種類。

誤用檢測(cè)和異常檢測(cè)相結(jié)合就構(gòu)成了層次化的模型，這種模型通過(guò)對(duì)入侵行為的逐步分析和處理，可以將大多數(shù)的攻擊行為檢測(cè)出來(lái)，層次化入侵檢測(cè)模型分為入侵行為檢測(cè)和入侵結(jié)果檢測(cè)兩部分，整個(gè)過(guò)程主要分成入侵特征提取和入侵行為分析。層次化入侵檢測(cè)模型如圖2所示，攻擊特征的提取和行為分析都結(jié)合在層次化入侵檢測(cè)模型的整個(gè)體系結(jié)構(gòu)中，其中入侵特征提取代表了基于知識(shí)的入侵檢測(cè)思想和入侵行為分析則代表基于行為的檢測(cè)思想，入侵特征提取用于檢測(cè)未知入侵和入侵行為分析則用于監(jiān)控已知的入侵。層次化入侵檢測(cè)模型如圖2所示。

圖2 層次化入侵檢測(cè)體系結(jié)構(gòu)

3 CIDF通用入侵檢測(cè)框架

CIDF由美國(guó)加州大學(xué)戴維斯分校計(jì)算機(jī)安全實(shí)驗(yàn)室于1997年初提出。CIDF將入侵檢測(cè)系統(tǒng)分為4個(gè)基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)，以上這4個(gè)組件中的事件指系統(tǒng)需要分析的數(shù)據(jù)如網(wǎng)絡(luò)中的數(shù)據(jù)包或從系統(tǒng)日志中得到的信息。這些組件之間采用統(tǒng)一入侵檢測(cè)對(duì)象GIDO這個(gè)標(biāo)準(zhǔn)格式進(jìn)行數(shù)據(jù)交換，因此這些組件在其他環(huán)境中只需要將典型的環(huán)境特征轉(zhuǎn)換為GIDO格式就可以使用。雖然CIDF標(biāo)準(zhǔn)并沒(méi)有正式確立，但各IDS廠商都在按照CIDF進(jìn)行信息交換的標(biāo)準(zhǔn)化工作。

1）事件產(chǎn)生器

事件產(chǎn)生器負(fù)責(zé)從整個(gè)計(jì)算環(huán)境中收集數(shù)據(jù)也就是相關(guān)事件（Event），并將這些數(shù)據(jù)轉(zhuǎn)換成GIDO格式傳送給其他組件。

2）事件分析器

事件分析器的任務(wù)是分析從其他組件收到的CIDF的GIDO，并將得到的分析結(jié)果傳送給其他組件。

3）事件數(shù)據(jù)庫(kù)

事件數(shù)據(jù)庫(kù)負(fù)責(zé)存儲(chǔ)系統(tǒng)需要的時(shí)候使用的各種中間和最終事件的數(shù)據(jù)。

4）響應(yīng)單元

響應(yīng)單元是對(duì)分析結(jié)果做出諸如威脅報(bào)警、殺死相關(guān)進(jìn)程等反應(yīng)的功能單元。

CIDF的體系結(jié)構(gòu)如圖3所示。

圖3 CIDF的體系結(jié)構(gòu)

4 入侵檢測(cè)方法

1）誤用檢測(cè) (Misuse Detection)。

誤用檢測(cè)將所有觀測(cè)到的和目標(biāo)對(duì)象有關(guān)的用戶行為同通過(guò)分析各種已知的攻擊方法、手段和漏洞組建起來(lái)的入侵模式庫(kù)進(jìn)行比較，如果發(fā)現(xiàn)其行為與入侵模式庫(kù)的某種入侵模式匹配，就可判定是入侵行為。這種方法準(zhǔn)確度較高，因此目前幾種商用的IDS如Snort、Bro基本都使用它。當(dāng)然它也存在一定的缺陷，那就是對(duì)入侵特征模式庫(kù)太過(guò)依賴，如果模式庫(kù)本身并不完整或不能得到及時(shí)更新，那么就很容易發(fā)生漏報(bào)事件，另外隨著入侵行為的添加，模式庫(kù)的容量也會(huì)不繼擴(kuò)大，這也必然會(huì)加重系統(tǒng)的負(fù)擔(dān)和降低發(fā)現(xiàn)入侵行的效率。目前常用的誤用檢測(cè)技術(shù)有專家系統(tǒng)（Expert Systems）、模式匹配（Pattern Matching）和基于Petri網(wǎng)分析的濫用入侵檢測(cè)方法等。一種比較典型的誤用入侵檢測(cè)系統(tǒng)模型如圖4所示。

2）異常檢測(cè)（Anomaly Detection）

異常檢測(cè)技術(shù)首先將不符合對(duì)象正常、合法的所有活動(dòng)判定為入侵行為，為了判定這種不正常現(xiàn)象，異常檢測(cè)技術(shù)得對(duì)正常狀態(tài)下的系統(tǒng)行為建立起行為模型，但建立模型的過(guò)程是復(fù)雜且動(dòng)態(tài)變化的，在已建立起行為模型的基礎(chǔ)上，將從系統(tǒng)中觀測(cè)到的與目標(biāo)對(duì)象相關(guān)的活動(dòng)與之進(jìn)行比較就可得出哪些是可疑的入侵行為。異常檢測(cè)技術(shù)存在著許多不確定性和誤警率也較高，這種技術(shù)目前還主要停留在研究階段，但這一思想的本質(zhì)對(duì)我們研究和設(shè)計(jì)NIDS有著十分重要的作用。比較成熟的異常檢測(cè)技術(shù)有統(tǒng)計(jì)分析（Statistioal Measures）和神經(jīng)網(wǎng)絡(luò)技術(shù)（Neural Networks）。當(dāng)然還有其它的一些異常檢測(cè)方法，如基于數(shù)據(jù)挖掘（DataMining）的、基于計(jì)算機(jī)免疫學(xué)的異常檢測(cè)方法等。一種比較典型的異常入侵檢測(cè)系統(tǒng)模型如圖5所示。

圖5 一種比較典型的異常入侵檢測(cè)系統(tǒng)模型

圖6 基于Agent的入侵檢測(cè)模型

3) 智能入侵檢測(cè)模型

誤用檢測(cè)的智能性要求較低，它主要用于對(duì)已知行為進(jìn)行檢測(cè)，而異常檢測(cè)對(duì)智能的要求則較高，它主要針對(duì)未知入侵。入侵檢測(cè)系統(tǒng)通過(guò)單個(gè)主機(jī)和監(jiān)視模塊收集數(shù)據(jù)，收集后再由一個(gè)中心處理器來(lái)完成檢測(cè)。智能化入侵檢測(cè)模型一般是使用神經(jīng)網(wǎng)絡(luò)、遺傳算法等智能化手段來(lái)進(jìn)行入侵特征的辨識(shí)與泛化。基于Agent的入侵檢測(cè)模型如圖6所示。

5 結(jié)束語(yǔ)

入侵檢測(cè)是對(duì)網(wǎng)絡(luò)靜態(tài)防御技術(shù)的一種有效彌補(bǔ)工具，它能提供對(duì)網(wǎng)絡(luò)內(nèi)外部攻擊的實(shí)時(shí)保護(hù)。設(shè)計(jì)和實(shí)現(xiàn)有效的入侵檢測(cè)模型是建立IDS的關(guān)鍵。入侵檢測(cè)技術(shù)也正與其它學(xué)科如數(shù)據(jù)挖掘、人工智能等交融匯合形成了新的入侵檢測(cè)技術(shù)，并對(duì)網(wǎng)絡(luò)安全起著新的更強(qiáng)的保護(hù)作用。入侵檢測(cè)模型的發(fā)展必將會(huì)逐步走向豐富化、智能化和多元化。

[1] 張鵬, 趙輝.關(guān)于入侵檢測(cè)模型的研究與分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2009, 03.

[2] 王麗薔.基于黑客行為特征的入侵檢測(cè)研究[D].解放軍信息工程大學(xué).2009, 10.

[3] 羅騰.基于協(xié)議分析的入侵檢測(cè)系統(tǒng)研究與設(shè)計(jì)[J].中國(guó)新技術(shù)新產(chǎn)品.2010, 07.

[4] 武明.Agent技術(shù)在入侵檢測(cè)中的應(yīng)用研究[D].電子科技大學(xué).2004, 02.

[5] 張家超, 王全善.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究[J].連云港職業(yè)技術(shù)學(xué)院學(xué)報(bào)(綜合版).2004, 03.

[6] 馬星亮.基于CORBA的分布式入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)[D].武漢科技大學(xué).2008, 04.

[7] 滿紅芳, 宿超, 馬春清.基于Agent的分布式入侵檢測(cè)系統(tǒng)模型的研究與設(shè)計(jì)[J].山東電大學(xué)報(bào).2006, 02.

[8] 李勇, 李建, 曾銀.數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用[J].山西電子技術(shù).2006, 12.

[9] 劉秀麗.基于網(wǎng)絡(luò)的智能化入侵檢測(cè)系統(tǒng)模型研究[D].南京航空航天大學(xué).2007, 12.

[10] 郝文江.黑客入侵檢測(cè)模型研究[J].吉林公安高等專科學(xué)校學(xué)報(bào).2009, 12.