計算機網絡安全與入侵檢測技術淺談

摘 要：計算機網絡的安全已成為國家與國防安全的重要組成部分，而入侵檢測技術是保證計算機網絡安全的核心技術之一。本文在研究入侵檢測概念的基礎上，對入侵檢測的過程進行了分析，并進行了分類，提出了入侵檢測技術的發展趨勢。

關鍵詞：入侵檢測；網絡攻擊：網絡安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2013） 18-0000-01

一、入侵檢測的歷史

入侵檢測可追溯到1986年，SRI的Dorothy首次將入侵檢測的概念作為一種計算機安全防御措施提出，并建立了一個獨立于系統、程序應用環境和系統脆弱性的通用入侵檢測系統模型。90年代以前，SRI以及Los Alamos實驗室都主要是針對主機IDS進行研究，分別開發了IDES、Haystack等入侵檢測系統。1990年，UCD設計的網絡安全監視器標志著入侵檢測系統的研究進入網絡領域。網絡IDS的研究方法主要有兩種：一是分析各主機的審計數據，并分析各主機審計數據之間的關系；二是分析網絡數據包。由于90年代因特網的發展及通信和網絡帶寬的增加，系統的互連性已經有了顯著提高，于是人們開始試圖將主機和網絡IDS集成。分布式入侵檢測系統（DIDS）最早試圖將基于主機的方法和網絡監視方法集成在一起。可見，入侵檢測系統的發展主要經歷了三個階段：主機IDS的研究、網絡IDS的研究、最后將主機和網絡IDS集成。

二、入侵檢測的概念

入侵檢測的定義為：識別針對計算機或網絡資源的惡意企圖和行為，并對此作出反應的過程。入侵檢測系統（intrusion detection system，簡稱IDS）則是完成如上功能的獨立系統。入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前進行攔截和響應入侵，能很好地彌補防火墻的不足，從某種意義上說是防火墻的補充。

三、入侵檢測的過程分析

入侵檢測的過程分為三部分：信息收集、信息分析和結果處理

信息收集：入侵檢測的第一步是信息收集，內容包括系統、網絡、數據及用戶活動的狀態和行為。而且，需要在計算機網絡系統中的若干不同關鍵點的不同網段和不同主機收集信息，這除了盡可能地擴大檢測范圍外，還有一個重要的因素就是從一個來源的信息有可能看不出一點，但是從幾個來源的信息的不一致性卻是可疑行為或入侵的最好標識。入侵檢測利用的信息一般來自以下四個方面：系統和網絡日志文件；目錄和文件中的不期望的改變；程序執行中的不期望行為；物理形式的入侵信息。

信息分析：對上述四類收集到的信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

結果處理：當檢測到入侵，就產生預先定義的響應，也可采取相應的措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的警告。

四、入侵檢測的分類

（一）按照檢測原理劃分

對各種事件進行分析，從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上分為兩類：基于異常行為的入侵檢測和基于特征的入侵檢測。其中，基于特征的入侵檢測又叫誤用檢測。

1.基于異常行為的入侵檢測

基于異常行為的入侵檢測技術則是先定義一組系統“正常”情況的數值，如CPU利用率、內存利用率、文件校驗等，然后將系統運行時的數值與所定義的正常情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的正常情況，對用戶要求比較高。其優點是 ：具有抽象系統正常行為從而監測系統異常行為的能力，這種能力不受系統以前是否知道這種入侵與否的限制，所以能夠檢測新的入侵行為。其缺點是：若入侵者了解到了檢測規律，可使用逐漸改變系統指標的方法逃避檢測；另外檢測效率也不高，檢測時間較長。

2.基于特征的入侵檢測

基于特征的入侵檢測是指將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單，如通過字符串配以尋找一個簡單的條目或指令；也可以很復雜，如利用正規的數學表達式來表示安全狀態的變化。一般來講，一種進攻模式可以用一個過程或一個輸出來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

（二）按照檢測對象劃分

按照檢測對象劃分，入侵檢測一般可分為主機型、網絡型兩大類。

1.基于主機的入侵檢測系統

基于主機的入侵檢測系統通常是安裝在被重點檢測的主機之上，主要是對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑，就會向系統管理員報警或者做出適當的響應。

主機入侵檢測系統的優點：

主機入侵檢測系統對分析可能的攻擊行為非常有用。舉例來說，有時候它除了指出入侵者試圖執行一些危險的命令之外，還能分辨出入侵者干了什么事：他們運行了什么程序、打開了那些文件、執行了那些系統調用。

主機入侵檢測系統通常情況下比網絡入侵檢測系統誤報率要低，因為檢測在主機上運行的命令序列比監測網絡流更簡單，系統的復雜性也少得多。

主機入侵檢測系統的缺點：

主機入侵檢測系統安裝在我們需要保護的設備上。舉例來說，當一個數據庫服務器要保護時，就要在服務器本身上安裝入侵檢測系統，這會降低應用系統的效率。

主機入侵檢測系統的另一個問題是它依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能，則必需重新配置，這將會給運行中的業務系統帶來不可預見的性能影響。

2.基于網絡的入侵檢測系統

基于網絡的入侵檢測系統以網絡包作為分析數據源。它通常利用一個工作在混雜模式下的網卡來實時監視并分析通過網絡的數據流。它的分析模塊通常使用模式匹配、統計分析等技術來識別攻擊行為。一旦檢測到了攻擊行為，IDS的響應模塊就做出適當的響應。比如報警、切斷相關用戶的網絡連接等。不同入侵檢測系統在實現時采用的響應方式也可能不同，但通常都包括通知管理員、切斷連接、記錄相關的信息以提供必要的法律依據等。

網絡入侵檢測系統的優點：

網絡入侵檢測系統能夠檢測那些來自網絡的攻擊，它能夠檢測到超過授權的非法訪問。

一個網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器CPU、I/O與磁盤等資源的使用，不會影響業務系統的性能。

網絡入侵檢測系統近年內有向專門的設備發展的趨勢，安裝這樣的一個網絡入侵檢測系統非常便宜，只需將定制的設備接上電源，做很少一些配置，將其連接到網絡上即可。

網絡的入侵檢測系統的弱點：

網絡入侵檢測系統只檢查它直接連接的網段通訊，不能檢測在不同網段的網絡包，在使用交換以太網的環境中就會出現監測范圍的局限。而安裝多臺網絡入侵檢測系統的傳感器會使部署整個系統的成本大大增加。

網絡入侵檢測系統為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現一些復雜的需要大量計算與分析時間的攻擊監測。

五、入侵檢測技術的發展趨勢

在入侵檢測技術發展的同時，入侵技術也在更新，黑客組織已經將如何繞過入侵檢測系統或攻擊入侵檢測系統作為研究重點。因此，從主體上講，目前除了完善常規的、傳統的技術外，入侵檢測技術應重點加強與統計分析相關技術的研究。許多學者在研究新的檢測方法，如采用自動代理的主動防御方法，將免疫學原理應用到入侵檢測的方法等，其主要發展方向可以概括為：

（1）發布式入侵檢測。這個概念有兩層含義：第一層，即針對發布式網絡攻擊的檢測方法；第二層，即使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。發布式系統是現代IDS主要發展方向之一，它能夠在數據收集、入侵分析和自動響應方面最大限度地發揮系統資源的優勢，其設計模型具有很大的靈活性。

（2）智能化入侵檢測。即使用智能化方法與手段來進行入侵檢測。所謂的智能化方法，現階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化，利用專家系統的思想來構建IDS也是常用的方法之一。

（3）網絡安全技術相結合。結合防火墻、PKIX、安全電子交易等網絡安全技術與電子商務技術，提供完整的網絡安全保障。

六、總結

入侵檢測技術盡管是計算機網絡安全的重要組成部分，但它不是一個完全的計算機網絡系統安全解決方案，它不能替代其他安全技術如：訪問控制、身份識別與認證、加密、防火墻、病毒的檢測與清除等的功能。但可以將它與其他安全技術、如防火墻技術、安全網管技術等增強協作，以增加其自身的動態靈活反應及免疫能力，為我們提供更加安全的網絡環境。

參考文獻：

[1]姚小蘭.網絡安全管理與技術防護[M].清華大學出版社，2002，4.

[2]戴英俠.系統安全與入侵檢測[M].北京理工大學出版社，2002，3.

[3]唐正軍，李建華.入侵檢測技術[M].清華大學出版社，2002，5.

[4]薛靜峰.入侵檢測系統分析[M].機械工業出版社，2004，4.

[5]唐正軍.網絡入侵檢測系統的設計與實現[M].電子工業出版社，2002，4.

[作者簡介]張昆（1973.1-），男，遼寧沈陽市人，現就職于中航工業黎明，2010年晉升為高級工程師，畢業于東北大學計算機及應用專業，主要從事企業信息系統網絡安全方面研究。