入侵檢測系統(tǒng)模型的設(shè)計(jì)與實(shí)踐

【文章摘要】

該課題論述了網(wǎng)絡(luò)安全的必要性，設(shè)計(jì)并實(shí)現(xiàn)了入侵檢測系統(tǒng)模型。入侵檢測系統(tǒng)的實(shí)現(xiàn)可以對網(wǎng)絡(luò)安全進(jìn)行檢測，及時(shí)發(fā)現(xiàn)入侵行為并發(fā)出警報(bào)，采取有效措施進(jìn)行處理。該課題論述了網(wǎng)絡(luò)入侵檢測系統(tǒng)的組成模塊及入侵信息檢測技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了入侵檢測系統(tǒng)模型。

【關(guān)鍵詞】

入侵檢測系統(tǒng)；網(wǎng)絡(luò)；網(wǎng)絡(luò)監(jiān)測

1 入侵及入侵檢測的定義

1.1入侵定義

入侵定義：在未經(jīng)授權(quán)的情況下，通過網(wǎng)絡(luò)蓄意訪問信息、篡改信息等不良行為使資源的完整性、可用性、機(jī)密性遭到破壞。

1.2入侵檢測定義

入侵檢測：入侵檢測是針對入侵行為的一種檢測手段。入侵檢測主要是針對計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)中的某些關(guān)鍵點(diǎn)而言的，通過收集并分析所獲得的信息來判斷是否存在非法入侵現(xiàn)象。入侵檢測系統(tǒng)能夠有效地發(fā)現(xiàn)對信息系統(tǒng)的惡意攻擊、試圖篡改信息等非法行為，并采取措施阻止這種非法攻擊，有效地防止惡意攻擊的發(fā)生和擴(kuò)大。

2 網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，它早已滲透到生活、軍事、政治等多種領(lǐng)域。Internet的開放性、跨國性給人們帶來便利的同時(shí)，也存在很大的安全隱患。網(wǎng)絡(luò)安全對銀行、軍事等重要環(huán)節(jié)尤為重要。ISO對計(jì)算機(jī)系統(tǒng)安全做了如下定義：保護(hù)計(jì)算機(jī)的軟、硬件及其數(shù)據(jù)，即使遭到偶然和蓄意攻擊時(shí)，系統(tǒng)也不會(huì)遭到破壞、泄露、更改，以此來確保網(wǎng)絡(luò)數(shù)據(jù)保密性、完整性。

現(xiàn)如今，常用的網(wǎng)絡(luò)安全技術(shù)包括：訪問控制、防火墻、數(shù)據(jù)加密、VPN虛擬專用網(wǎng)等。其中防火墻技術(shù)使用最為廣泛，計(jì)算機(jī)互聯(lián)網(wǎng)有三分之一受其保護(hù)，防火墻是Internet與內(nèi)部網(wǎng)絡(luò)之間的屏障，它起到過濾作用，只有合法的數(shù)據(jù)流才能通過防火墻，以此來確保系統(tǒng)的安權(quán)。網(wǎng)絡(luò)管理者通過監(jiān)管、控制網(wǎng)絡(luò)訪問者來進(jìn)行網(wǎng)絡(luò)訪問。針對用戶采用不同級別的系統(tǒng)訪問權(quán)限，防治用戶訪問非法信息、網(wǎng)站等，確保信息、資源的安全性。數(shù)據(jù)加密技術(shù)可以將需要保密的重要信息通過加密轉(zhuǎn)換成一些在外人看來沒有意義的數(shù)據(jù)，想要得到原始數(shù)據(jù)只能用密碼打開。VPN虛擬專用網(wǎng)是在兩個(gè)通信點(diǎn)之間建立通道，將加密的傳輸數(shù)據(jù)封裝在IP包中，數(shù)據(jù)不會(huì)被竊取盜用，適合用于遠(yuǎn)程操作。

3 組成入侵檢測系統(tǒng)的模塊

一般的入侵檢測系統(tǒng)被分為以下幾大模塊：信息采集模塊、入侵信息檢測引擎、用戶界面。有的系統(tǒng)可能還包括信息存儲(chǔ)、安全知識庫等模塊，安全知識庫可以提高完善安全檢測，信息存儲(chǔ)可以使數(shù)據(jù)分析能力得到提高。幾大功能模塊詳情如下：

3.1信息采集模塊

信息采集模塊收集可能攜帶入侵行為的數(shù)據(jù)，確保系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等信息的安全。數(shù)據(jù)的采集設(shè)備是不同網(wǎng)段的傳感器或者是不同主機(jī)的代理。過濾并預(yù)處理采集到的數(shù)據(jù)，并將數(shù)據(jù)送到入侵信息分析引擎，進(jìn)行下一步處理。

3.2入侵信息檢測引擎

將信息采集模塊采集到的數(shù)據(jù)送到入侵信息檢測引擎，計(jì)算機(jī)已經(jīng)預(yù)先設(shè)定了算法，調(diào)用這些算法對數(shù)據(jù)進(jìn)行分析，以此來判斷是否有非法入侵操作并且進(jìn)一步判斷入侵行為屬于何種類別。當(dāng)引擎判斷有入侵操作時(shí)就會(huì)產(chǎn)生一個(gè)警告信號并把信號傳送到用戶界面，網(wǎng)絡(luò)管理人員通過界面顯示的內(nèi)容做出下一步處理。

3.3用戶界面模塊

通過用戶界面可以清楚地看到入侵信息檢測引擎檢測到的入侵信號，方便管理員對入侵行為的排查、處理工作的開展。

4 入侵分析技術(shù)

入侵信息分析引擎是入侵檢測系統(tǒng)的核心，該課題針對入侵信息分析引擎技術(shù)做了詳細(xì)的論述。入侵信息引擎技術(shù)主要包括異常檢測、誤用檢測。

4.1誤用檢測

誤用檢測是將已知的非法攻擊的特征提取出來，并將這些特征收集到特征數(shù)據(jù)庫進(jìn)行整合管理，當(dāng)檢測到的入侵模式與數(shù)據(jù)庫中存儲(chǔ)的非法入侵行為相匹配時(shí)，判斷系統(tǒng)出現(xiàn)非法入侵性行為。這種誤用檢測具有判斷正確率高、漏報(bào)率也高的特點(diǎn)，因?yàn)楹芏嗳肭中袨殡y以建立入侵模型，無法收入到數(shù)據(jù)庫中，另外還有很多入侵是無法預(yù)估的，致使很多入侵行為無法囊括到數(shù)據(jù)庫中，所以誤用檢測漏報(bào)率較高。

4.2異常檢測

異常檢測是通過檢測用戶行為、資源的使用情況，以此來判斷是否有非法入侵行為的發(fā)生。異常檢測可以檢測到未曾出現(xiàn)過的非法入侵行為，但是這種檢測具有準(zhǔn)確率低的缺點(diǎn)，很有可能導(dǎo)致誤檢，因?yàn)檫@種不依賴具體模式進(jìn)行判斷的檢測，針對改變頻繁的數(shù)據(jù)、資源、行為等，它沒有一個(gè)固定的界限劃分正常、非正常的范圍。

入侵分析引擎通過采用誤用檢測、異能檢測相結(jié)合的方式評判是否發(fā)生入侵行為，另外針對數(shù)據(jù)不同類型采取不同的檢測技術(shù)，用異能檢測技術(shù)來檢測系統(tǒng)日志，用誤用檢測技術(shù)檢測網(wǎng)絡(luò)的數(shù)據(jù)包。

5 入侵檢測系統(tǒng)的設(shè)計(jì)

針對入侵檢測系統(tǒng)的的三大模塊進(jìn)行了詳細(xì)的設(shè)計(jì)：

5.1信息采集

根據(jù)數(shù)據(jù)的來源，信息采集模塊被分成網(wǎng)絡(luò)信息采集、調(diào)用系統(tǒng)采集、系統(tǒng)日志監(jiān)控三個(gè)模塊。網(wǎng)絡(luò)信息采集模塊可以采集網(wǎng)絡(luò)的IP通信數(shù)據(jù)。調(diào)用系統(tǒng)采集模塊用來采集系統(tǒng)調(diào)用的序列號。日志監(jiān)控系統(tǒng)可以實(shí)時(shí)監(jiān)控某些關(guān)鍵日志。

5.2入侵信息分析引擎

針對不同的數(shù)據(jù)源采取不同的方式分析處理，所以入侵信息分析系統(tǒng)設(shè)計(jì)了不同的數(shù)據(jù)分析引擎進(jìn)行數(shù)據(jù)的分析。入侵信息分析引擎可以被分成網(wǎng)絡(luò)信息分析引擎、系統(tǒng)調(diào)用分析引擎、用戶分析引擎。網(wǎng)絡(luò)信息分析引擎可以檢測系統(tǒng)是否發(fā)生非法攻擊，其中攻擊被分成分布式攻擊、探測攻擊、拒絕服務(wù)攻擊三種。系統(tǒng)調(diào)用分析引擎分析針對的是系統(tǒng)的子程序，當(dāng)發(fā)現(xiàn)系統(tǒng)調(diào)用子程序時(shí)發(fā)生異常，判斷發(fā)生入侵行為。用戶界面分析引擎針對的是內(nèi)部，當(dāng)用戶出現(xiàn)越權(quán)行為時(shí)，用戶分析引擎對其進(jìn)行檢測。

5.3入侵警告與用戶界面

在入侵信息分析引擎判斷系統(tǒng)發(fā)生了入侵行為之后，就會(huì)向用戶界面發(fā)送一個(gè)預(yù)警信號，網(wǎng)絡(luò)管理員通過可視化的用戶界面即可方便快速的得到報(bào)警信號。在該課題設(shè)計(jì)的系統(tǒng)中將報(bào)警信號分為了幾個(gè)等級。一級紅色警報(bào)規(guī)定為入侵信息分析引擎肯定此時(shí)產(chǎn)生了非法入侵行為；二級黃色警報(bào)規(guī)定了入侵信息分析引擎判斷可能發(fā)生了入侵行為；另外出現(xiàn)一些輕度異常現(xiàn)象，將檢測到的信息存入到入侵檢測系統(tǒng)的日志中，方便網(wǎng)絡(luò)管理員以后的檢查。一級、二級警報(bào)通過窗口完成，當(dāng)出現(xiàn)此種警報(bào)時(shí)會(huì)向管理員彈出對話窗，其內(nèi)容包括判斷結(jié)論和一些與入侵相關(guān)的信息，方便管理員的分析判斷。

6 總結(jié)

目前的網(wǎng)絡(luò)仍存在很多的安全隱患，該課題中我們設(shè)計(jì)并實(shí)現(xiàn)了入侵檢測系統(tǒng)的模型，實(shí)現(xiàn)較為完整的保護(hù)功能，入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全的一個(gè)重要分支，還需要進(jìn)一步得到完善。

【參考文獻(xiàn)】

[1]劉偉.基于移動(dòng)代理的事業(yè)單位網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)，2012.

[2]高亮.數(shù)據(jù)挖掘中貝葉斯算法在入侵檢測中的應(yīng)用[D].蘭州交通大學(xué)，2013.

【作者簡介】

宋偉，1984.10，男，西安人，本科，助理工程師，研究方向：入侵檢測，數(shù)據(jù)挖掘。