入侵檢測相關技術的研究

摘要：首先對入侵檢測技術的研究背景進行闡述，然后對入侵檢測系統的有關技術、網絡入侵檢測技術、評價入侵檢測系統的指標和CIDF標準框架進行了深入研究。其中對于入侵檢測系統詳細地講解了基于主機的入侵檢測系統和基于網絡的入侵檢測系統；對于入侵檢測技術深入講解了誤用檢測技術、異常檢測技術和混合檢測技術；對于入侵檢測性能指標詳細講解了漏報和誤報、系統負荷、檢測延遲時間和抗攻擊能力。最后對網絡入侵檢測技術的未來發展方向進行了展望。

關鍵詞：入侵檢測系統； 入侵檢測技術； 性能指標； 體系結構

中圖分類號：TP393.08 文獻標識碼：A文章編號：2095-2163（2013）02-0062-04

0引言

隨著互聯網的迅速普及與高速發展，互聯網已經進入了全球的各個行業，以及普通家庭。可以說，當今的互聯網已是無所不在、且高效全能。只是互聯網在給人們的生活、工作帶來可見便利的同時，如何保證網絡信息的安全和網絡設備的安全也日益成為當前人們關注的熱點與焦點。

據不完全統計，全球每20秒就會發生一起黑客事件，且由于網絡安全問題，每年只是給美國造成的經濟損失就高達100億美元以上[1]。另據報導可知，信息竊取正以250%的速度增長，并且98%的知名公司都經歷了網絡入侵事件[2-3]。因此，如何防范網絡安全已經成為學術界和工業界一個迫在眉睫的重大問題，而其中一項關鍵技術就是網絡入侵檢測技術。

1網絡入侵檢測系統（IDS）

當前的網絡安全技術，主要有防火墻技術、殺毒軟件和入侵檢測技術，其中入侵檢測技術是防范黑客攻擊的主要方式。形象地說，防火墻是網絡安全防范的第一道閘門，而入侵檢測系統是位于防火墻后面的第二道安全閘門，入侵檢測系統的有效性對于網絡設備的安全起著至關重要的決定性作用。入侵檢測系統檢測入侵攻擊行為的過程是，首先由數據采集模塊將收集到的主機數據或網絡數據進行預處理，解析其中關鍵數據信息，然后將經過預處理的數據傳至入侵檢測模塊，由其根據入侵規則庫或機器學習方法分析是否發生了入侵攻擊行為，最后將分析判斷結果交至響應模塊，響應模塊再根據安全的危險等級進行所需的相應處理。

根據采集數據的不同，入侵檢測系統可分為三類，基于主機的入侵檢測系統（HIDS）、基于網絡的入侵檢測系統（NIDS）和混合類型的入侵檢測系統（HNIDS）[4]。

1.1基于主機的入侵檢測系統

HIDS是通過對主機的審計記錄和日志文件進行分析來判斷是否發生了入侵行為。如果日志文件中出現了異常的活動記錄，則入侵行為可能發生或已經成功入侵了本臺計算機。系統檢測到入侵行為的發生后，要迅速啟動相應的響應程序。而當文件系統發生變化時，HIDS則對新的記錄與攻擊規則進行匹配，如果匹配成功，則向管理員發出警報，以便采取需要的保護措施。

HIDS的優點是監控粒度較細、配置靈活、對網絡流量不敏感、無需增加額外的硬件資源等。其缺點是需占用主機的資源，消耗服務器額外的計算資源和存儲資源，并且其移植性較差，因此使用范圍較為有限。

1.2基于網絡的入侵檢測系統（NIDS）

NIDS監聽網絡中的數據包，對于經過IDS網卡的所有數據包都進行采集，通過協議分析技術，逐層解析由MAC層到傳輸層的各層數據包，并對各層數據包的頭部內容實現了精確分析，且與現有的入侵規則庫匹配或者利用機器學習、數據挖掘技術來發現入侵行為。

HIDS的優點是檢測速度快、實時性較好、系統的隱蔽性高、需要的監測資源較少、可移植性好、且不占用主機資源。但其缺點是，只能監測IDS系統所在的網段，檢測粒度較粗，在交換環境中難以進行配置。第2期于海濤，等：入侵檢測相關技術的研究智能計算機與應用第3卷

1.3混合類型的入侵檢測系統（HNIDS）

為了彌補基于主機的入侵檢測系統和基于網絡的入侵檢測系統的自身缺點，同時集成了兩者各自的優點，并將其有機地結合起來，就形成了混合類型的入侵檢測系統。HIDS既可以檢測出網絡的攻擊行為，又能夠用發現日志系統和審計記錄中的異常行為。

2入侵檢測技術

根據分析數據的方式不同，入侵檢測分為誤用（Misuse）入侵檢測和異常（Anomaly）入侵檢測[5]，因其各有優缺點，故在此基礎上，提出混合入侵檢測技術，實現了兩者的取長補短，獲得了進一步的完善。

2.1誤用檢測技術

誤用檢測的實現前提是通過對各種已知的攻擊行為和入侵手段進行分析，求得攻擊行為和入侵行為的特征，由此形成入侵規則庫。在進行入侵檢測時，首先對主機的日志數據、審計記錄或網絡數據進行預處理，然后與規則庫中的入侵規則進行匹配，如果匹配成功則說明發生了入侵行為。該方面的研究大部分集中在如何提高規則庫的精度和提升規則匹配的速度。對于規則庫的生成主要采用語言分析方法、專家系統；而規則匹配則主要采用字符串匹配的技術。

由誤用檢測的過程可以看出，其不足表現在只能檢測已知的攻擊模式，對于未知的入侵行為則無能為力。當出現新的漏洞攻擊時，就只能采用人工的方法或機器學習系統，而將新的入侵模式增加至入侵規則庫中，因此需要對規則庫進行定期更新，由此則入侵檢測將滯后于新的入侵行為，較易出現入侵行為漏報的情況。

2.2異常檢測技術

異常檢測是通過數據分析技術，發現未知的攻擊模式和攻擊行為，通常是判斷與正常行為的偏離程度來確定是否發生了入侵行為，因而無需預先生成入侵規則庫。異常檢測采用的技術主要有統計分析模型、神經網絡、免疫系統方法、基于貝葉斯的推測理論、文件完備性檢查。由異常檢測的過程分析可知，異常檢測中存在著會出現檢測誤判的情況。另外，異常檢測雖然不需要事先建立基于入侵行為特征的入侵規則庫，但是卻需要事先建立用戶正常行為的模式規則庫，加之用戶的正常行為也在時刻發生著變化，所以異常檢測多會面臨著正常行為模式定期更新的問題。

2.3混合檢測技術

混合檢測技術綜合了誤用檢測和異常檢測的優點，克服了各自的缺點，因而既能檢測已知的入侵行為，也能檢測未知的入侵行為，極大地降低了入侵行為誤報和漏報的比例。

3數據挖掘在入侵檢測中的應用

在進行入侵規則庫的生成和未知入侵行為檢測時，大多數采用數據挖掘的理論。實現過程主要采用分類分析法、關聯規則分析、時序分析和聚類算法。其中，分類分析是預先確定幾個類別，形成一個分類器，對主機數據或網絡數據進行分類，判斷是正常行為還是入侵行為。關聯規則分析是根據數據字段之間的規則和聯系展開分析，判斷是否發生了入侵行為。序列分析是進行不同數據記錄之間的相關性分析，并根據數據記錄之間的時間順序，判斷入侵行為是否發生。聚類算法是常用的入侵挖掘算法，該方法通過聚類技術對數據進行分類，由于入侵行為的數量遠遠低于正常用戶行為，在聚類所劃分的類別中，如果某個類別中的數據成員數量低于某個閾值，則認為該類中數據是入侵行為。由于聚類算法對于初始中心選擇比較敏感，所以需要對初始聚類中心的選擇進行優化，防止聚類陷入局部最優解，從而提高聚類的劃分質量，文獻[6，7]都是根據智能啟發算法對初始聚類中心進行優化，使聚類算法跳出局部最優解，獲得全局最優的聚類劃分，從而提高入侵檢測的精度。

4入侵檢測的系統評價指標

入侵檢測系統的主要指標有：

（1）漏報和誤報。誤報是將正常的行為誤檢成入侵行為，而漏報是將入侵行為檢測成正常行為，造成入侵行為的漏報。目前有2個指標用于衡量漏報和誤報，分別是：檢測率和誤報率，檢測率是檢測到的入侵行為與實際的入侵行為數量的比值，而誤報率則是正常行為檢測成入侵行為的數量與實際正常行為的比值。檢測率越高、誤報率越低，則說明檢測越好[8]。檢測率和誤報率之間本身就是一對矛盾，當提高檢測率，誤報率也會隨之提高，因此對于檢測率和誤報率之間的權衡折中一直是入侵檢測研究中的關注熱點。

（2）系統負荷。系統負荷是指IDS占用主機和網絡中資源。顯然，占用資源越少越好。在設計入侵檢測系統的時候，通常需要在保證入侵檢測質量的同時，還要盡量減少系統資源的占用。

（3）檢測延遲時間。檢測時間是從發生入侵行為到檢測出入侵行為所需要的時間。顯然，檢測時間越小越好。

（4）抗攻擊能力。由于IDS系統會成為入侵者的攻擊焦點，所以IDS的抗攻擊能力是IDS一個重要的性能指標。

5CIDF標準框架

為了使不同科研機構和IT公司開發的IDS入侵檢測系統能夠相互兼容，同時提高IDS系統的可擴展性，加州大學的戴維斯分校安全實驗室制定了一個入侵檢測系統的通用標準框架CIDF（Common Intrusion Detection Framework）。該框架目前已經成為入侵檢測研究的一個實施標準，對于入侵檢測的大多數研究均已基于CIDF框架[9]。CIDF的框架體系結構如圖1所示。

由圖1可見，CIDF體系結構各組成部分功能分析如下。

（1）事件產生器：從入侵檢測系統外的整個計算環境中獲得事件，并以CIDF gidos格式向系統的其他組件提供此事件，其中，gidos是通用入侵檢測對象（generalized intrusion detection objects，gido）格式，一個gido可以表示在一些特定時刻發生的一些特定事件，也可以表示從一系列事件中得出的一些結論，甚至還可以表示執行某個動作的指令。

（2）事件分析器：從其他組件接收gidos，對得到的數據進行分析，并產生新的gidos。

（3）響應單元：對分析結果做以預定反應的功能單元，可以終止進程、重置連接、改變文件屬性等，也可以只實現簡單的報警。

（4）事件數據庫：存放各種中間和最終數據的存儲單元的統稱，可以是數據庫格式的文件，也可以是簡單的文本文件。

6未來入侵檢測的研究方向

基于入侵檢測系統當前存在的問題和互聯網行業的發展趨勢，未來入侵檢測的主要研究方向有以下幾個方面。

6.1基于云計算平臺的入侵檢測技術

由于入侵檢測系統需要大量的計算資源和存儲資源，計算資源和存儲資源成為入侵檢測系統的瓶頸，但云計算平臺卻具有大量的計算資源和存儲資源，能夠解決入侵檢測系統中資源瓶頸的問題，提高了入侵檢測的效率和檢測實時性；另外，入侵檢測系統是攻擊的主要焦點，而云計算系統中的設備分布均隱蔽在云端，很難進行跟蹤定位，所以將入侵檢測系統部署在云端能夠隱匿入侵檢測系統的實際位置，攻擊者不易對入侵檢測系統進行跟蹤攻擊，保證了入侵檢測系統的自身安全。

6.2應用層檢測技術的研究

當前，對于網絡數據的檢測是針對MAC層、網絡層和傳輸層進行解析，判斷是否發生入侵行為，而目前入侵行為發展到通過應用層中攜帶數據對網絡和設備進行入侵攻擊，因此需要針對應用層的特點開發出能夠防范應用層的入侵攻擊行為。

6.3智能化的入侵檢測技術

由于入侵行為不斷升級變種，相應地，入侵檢測技術需要根據環境的實時變化進行動態、智能地進化與改良，以應對入侵行為的變異威脅。

6.4結合內存完整性和機密性保護方案

由于內存中數據容易遭遇非法竊取和非法篡改，并將造成巨大的損失。因此，入侵檢測系統應該能夠檢測到內存中數據是否發生了非法訪問和非法篡改。

6.5基于物聯網的入侵檢測

隨著物聯網的發展，物聯網的安全無疑會成為一個重要的問題，由于物聯網實現了物體之間的互聯，而互聯的物體本身都攜帶有大量的安全信息，那么如何保證物聯網中互聯實體的互聯安全必將成為未來入侵檢測的一個重要研究方向。

6.6基于大數據挖掘的入侵檢測技術的研究

互聯網規模的日益增長，由此產生的網絡流量也以指數級速度不斷增長，如何在海量的網絡流量大數據中快速發現入侵攻擊行為，并有效挖掘入侵攻擊的模式特征，將會成為未來入侵檢測技術研究的一個重要研究方向。

參考文獻：

[1]宗坤，徐夢. 計算機網絡安全的研究及防范措施[J]. 福建電腦，2009，10：102-103.

[2]United States General Accounting Office.Computer attacks at department of Defense Pose increasing risks[R].WashingtonD.C-GAO/AIMD-96-84 Defense Information Security， 1996.

[3]United States General Accounting Office.Opportunities for improved OMB Over sight of agency Practices[R].WashingtonD.C.：GAO/AIMD-96-110 Information Security， 1996.

[4]公安部公共信息網絡安全監察局.2006年全國信息網絡安全狀況與計算機病毒疫情調查分析報告[R].北京：計算機安全，2006.

[5]BAI Yuebin， KOBAYSHI H. Intrusion detection systems： technology and development [C]//Washington D.C： Proceedings of 17th International Conference on Advanced Information Networking and Applications， 2003：710-715.

[6]于海濤，李梓，姚念民.K-means聚類算法優化方法的研究[J].小型微型計算機系統，2012，10（33）：2273-2277.

[7]李梓，于海濤，賈美娟.基于改進模擬退火的優化K-means算法[J].計算機工程與應用，2012，48（30）：122-126.

[8]肖立中，邵志清，馬漢華等.網絡入侵檢測中的自動決定聚類數算法[J].軟件學報，2008，19（8）：2140-2148.

[9]蔣建春， 馬恒太.網絡安全入侵檢測[J].軟件學報，2000，10：1460-1466.