淺析當前網絡入侵檢測系統的方案研究

劉秀平甘肅大學

?

淺析當前網絡入侵檢測系統的方案研究

劉秀平
甘肅大學

摘要：隨著互聯網絡的廣泛應用，網絡信息量迅速增長，網絡安全問題日趨突出。入侵檢測作為網絡安全的重要組成部分，已成為目前研究的熱點，本文介紹了入侵檢測系統的概念、功能、模式及分類，指出了當前入侵檢測系統存在的問題并提出了改進措施。在基于網絡的計算機應用給人們生活帶來方便的同時，網上黑客的攻擊活動正以每年1O倍的速度增長，因此，保證計算機系統、網絡以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

1　入侵檢測系統的概念

防火墻作為一種邊界安全的手段，在網絡安全保護中起著重要作用，其主要功能石控制對網絡的非法訪問，通過監視、限制、更改通過網絡的數據流，一方面盡可能屏蔽內部網的拓撲結構，另一方面對內屏蔽外部危險站點，以防范外對內的非法訪問。然而，由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，為了彌補防火墻存在缺陷，引入了入侵檢測IDs(Intrusion Detection System)技術。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網絡性能的情況下，通過對網絡的檢測，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提供對內部攻擊、外部攻擊和誤操作的實時保護。

入侵檢測定義為識別為被授權使用的計算機系統和有合法權利使用系統但卻濫用特權的過程。即通過對計算機網絡或系統中的若干關鍵點收集信息并對其進行分析，從而發現是否有違反安全策略的行為和被入侵的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(IDS)。一個入侵檢測產品通常由兩部分組成，即傳感器與控制臺。傳感器負責采集數據、分析數據并生成安全時間；控制臺主要起到中央管理作用。商品化的產品通常提供圖形界面的控制臺，這些控制臺基本上都支持Windows NT平臺。

入侵檢測系統的主要功能有：1、監視、分析用戶及系統活動；2、核查系統配置和漏洞；3、識別已知進攻并向相關人員報警；4、統計分析異常行為：5、評估重要系統和數據的完整性；6、操作系統日志管理，并識別違反安全策略的用戶活動。

2　入侵檢測系統模型及分類

隨著技術的發展，后來人們又提出了基于規則的檢測方法。通用入侵檢測架構(CIDF)組織，試圖將現有的入侵檢測系統標準化，闡述了一個入侵檢測系統分為以下4個組件：事件產生器、事件分析器、相應單元和事件數據庫，同時將需要分析的數據統稱為事件。事件可以是基于網絡的數據包，也可以是基于主機的系統日志中的信息。事件產生器的目的是從整個計算機環境中獲得事件，并向系統其他部分提供此事件：事件分析器分析得到的事件并產生分析結果；響應單元則是隊分析結果做出反應的功能單元，它可以做出切斷連接、修改文件屬性等強烈反應；事件數據庫是存放各種中間和最終數據地方的通稱，它可以是復雜的數據庫也可以是簡單的文本文件對入侵檢測系統主要從數據源、檢測方法、分布形式、響應方式等方面分類，其中前兩種為主要的分類方式。

按照數據來源分類：

1、網絡型：網絡型入侵檢測系統部署在網絡設備節點上，優點是能夠檢測基于協議的攻擊，攻擊者不易轉移證據；檢測實時性強，無需改動網絡拓撲，對外透明，能降低本身守攻擊的可能性；可在幾個關鍵點上配置并觀察多個系統。主要缺點是對于加密信道和某些基于加密信道的應用層協議無法實現數據解密，不能起到監視作用；無法得到主機系統的實時狀態信息，檢測復雜攻擊的準確率低；在實時檢測中，需對每個數據包都進行協議解析和模式匹配，系統開銷大。

2、主機型：主機型入侵檢測系統部署在主機上，監視分析主機審計記錄以檢測入侵，效率高，能準確定位入侵并進一步分析。有點是不需要額外的硬件，可用于加密以及交換環境，對網絡流量不敏感，檢測粒度細，目標明確集中，可監測敏感文件、程序或端口。缺點是占用主機資源，依賴于系統可靠性，可移植性差，只能檢測針對本機的攻擊，不適合檢測基于網絡協議的攻擊，數據源主要包括系統審計信息、系統日志信息、內核信息、應用審計信息、系統目標信息。

3、混合型：混合型入侵檢測結合了網絡入侵檢測和主機入侵檢測二者的優點，在關鍵主機上采用主機入侵檢測，在網絡關鍵節點上采用網絡入侵檢測。

按照檢測方法分類：

1、異常檢測(Anomaly Detection)：異常檢測志根據用戶行為或者資源狀況正常程度，將當前情況和輪廓(Profile)比較以發現入侵，不依賴具體行為，可發現未知攻擊。異常檢測認為入侵是異常的子集，有統計分析、非參量統計分析、專家系統、量化分析和基于規則的檢測，但關鍵在正常模式(Normal Profile)的建立及利用該模式與當前狀況比較。

2、濫用檢測(Misuse Detection)：濫用檢測方法定義入侵模式，通過模式是否出現來判斷，也稱基于知識的檢測(Knowledge Based Detection)。它依據具體攻擊特征細微變化就會使之無能為力，漏報率較高，對系統依賴性高，一致性較差，檢測范圍守已知知識局限，難以檢測內部入侵，而且將具體入侵手段抽象成知識也很困難，該方法主要有簡單模式匹配、專家系統、狀態轉移法、條件概率、擊鍵監控、信息反饋批處理分析等。

3、特征檢測(Specificati0n—Based Detection)：特征檢測定義系統輪廓，將系統行為與輪廓比較，不屬于正常行為的事件定義為入侵，該方法常采用某種特征語言定義系統的安全策略，當系統特征不能準確囊括所有的狀態時就會漏報或誤報。

3　入侵檢測系統存在的問題和改進措施

3.1面臨的主要問題

(1)誤報

誤報是入侵檢測系統將正常或合法操作作為入侵事件進行報警。假警報不但令人討厭，并且降低了入侵檢測系統的效率；而且攻擊者往往可以利用包結構偽造無威脅“正常”假警報，以誘使被攻擊方把入侵檢測系統關掉。

由于不同的網絡及主機存在不同的安全問題，不同的入侵檢測系統有各自的功能；因此沒有一個入侵檢測系統可以完全避免誤報。

(2)漏報

漏報是指入侵檢測系統將本來的入侵事件作為合法操作而放過，從而讓受保護的網絡和計算機受到攻擊。

(3)有組織的攻擊

攻擊可以來自四方八面，特別是要檢測出攻擊者花費很長時間組織策劃的高技術攻擊是一件很難的事。此外，高速網絡技術，尤其是交換技術以及加密信道技術的發展，產生的巨大通信量對數據分析也提出了新的要求。

3.2相應改進措施

從總體上講，目前除了完善常規的、傳統的技術外，入侵檢測統應重點加強與統計分析相關技術的研究。許多學者也在嘗試研究新的檢測方法，如采用自動代理主動防御方法，將免疫學原理應用到入侵檢測的方法等。其主要發展方向可以概括為：

(1)分布式入侵檢測與CIDF。傳統的入侵檢測系統一般局限于單一的主機或網絡架構，對異構系統及大規模網絡的檢測明顯不足，同時不同的入侵檢測系統之間不能協同工作。為此需要分布式入侵檢測技術與CIDF。

(2)應用層入侵檢測。許多入侵的語義只有在應用層才能理解，而目前的入侵檢測系統僅能檢測Web之類的通用協議，不能處理～Lotus Notes數據庫系統等其他的應用系統。許多基于客戶／服務器結構、中間件技術及對象技術的大型應用，需要應用層的入侵檢測保護。

(3)智能入侵檢測。目前，入侵方法越來越多樣化與綜合化，盡管已經有智能體系、神經網絡與遺傳算法應用在入侵檢測領域，但這些只是一些嘗試性的研究工作，需要對智能化的入侵檢測系統進一步研究，以解決其自學習與自適應能力。

(4)與網絡安全技術相結合。結合防火墻、PKIX、安全電子交易(SET)等網絡安全與電子商務技術，提供完整的網絡安全保障。

(5)建立入侵檢測系統評價體系。設計通用的入侵檢測測試、評估方法和平臺，實現對多種入侵檢測系統的檢測，己成為當前入侵檢測系統的另一重要研究與發展領域。評價入侵檢測系統可從檢測范圍、系統資源占用、自身的可靠性等方面進行，評價指標有：能否保證自身的安全、運行與維護系統的開銷、報警準確率、負載能力以及可支持的網絡類型、支持的入侵特征數、是否支持IP碎片重組、是否支持TCP流重組等。

4　結束語

入侵檢測系統(IDS)是近十多年發展起來的新一代安全防范技術，它通過對計算機網絡或系統中的若干關鍵點收集信息并對其進行分析，從中發現是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測、記錄、報警、響應于一體的動態安全技術，不僅能檢測來自外部的入侵行為，同時也監督內部用戶的未授權活動。

關鍵字：入侵檢測 入侵檢測系統 網絡安全