入侵檢測(cè)技術(shù)研究綜述

◆張橋 卜佑軍 胡靜萍 張穌榮

（1.中國(guó)人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 河南 450002；2.鄭州大學(xué)中原網(wǎng)絡(luò)安全研究院 河南450001）

信息網(wǎng)絡(luò)的快速發(fā)展為人們的工作和生活提供了很大的便利。但與此同時(shí)，網(wǎng)絡(luò)中大規(guī)模的攻擊、入侵行為也越來(lái)越多，如何維護(hù)網(wǎng)絡(luò)的安全成為一大難題。傳統(tǒng)的安全防護(hù)手段如防火墻、信息加密等已經(jīng)滿足不了當(dāng)前的需求。入侵檢測(cè)作為一項(xiàng)重要的動(dòng)態(tài)安全防護(hù)手段應(yīng)運(yùn)而生，有效地填補(bǔ)了之前安全防護(hù)技術(shù)的不足之處，開(kāi)啟了防火墻之后的第2道防火線，入侵檢測(cè)技術(shù)已成為一個(gè)重要的課題。

1 入侵檢測(cè)的概念和模型

1.1 概念[1]

JnamesP.Aderson早在20世紀(jì)80年代初期就給出了入侵的定義：入侵是指未經(jīng)授權(quán)而企圖讀取、修改系統(tǒng)信息，使系統(tǒng)不再牢靠甚至不能運(yùn)行[1]。Heady將入侵定義為企圖毀壞信息的完整性、機(jī)密性及可用性的行為[2]。Smaha[3]則站在分類的角度指出入侵的6種類型：（1）試圖闖入；（2）偽裝攻擊；（3）安全控制；（4）系統(tǒng)滲透；（5）拒絕服務(wù)；（6）惡意使用。入侵檢測(cè)是對(duì)入侵行為的發(fā)覺(jué)，通過(guò)采集、分析網(wǎng)絡(luò)或系統(tǒng)中的一些重要節(jié)點(diǎn)的信息，來(lái)發(fā)覺(jué)系統(tǒng)中違背安全計(jì)策的活動(dòng)和被攻擊的痕跡。

1.2 模型

D.E.Denning[4]在1986年給出了入侵檢測(cè)的基礎(chǔ)模型，該模型主要由主體、對(duì)象、審計(jì)記錄、行為輪廓、異常記錄、活動(dòng)規(guī)則6個(gè)部分組成。如圖1所示，此模型主要是依據(jù)審計(jì)數(shù)據(jù)形成系統(tǒng)的行為輪廓，并依據(jù)輪廓變動(dòng)的差距來(lái)發(fā)覺(jué)入侵。

圖1入侵檢測(cè)模型

因不同的入侵檢測(cè)系統(tǒng)（IDS）具有差異性，兩個(gè)不同的入侵檢測(cè)系統(tǒng)的模塊無(wú)法進(jìn)行通信和數(shù)據(jù)共享，且不能在同一臺(tái)主機(jī)上并存，若要考證或改善某一部分的功能就必須從頭構(gòu)建整個(gè)IDS，而無(wú)法使用現(xiàn)有的系統(tǒng)和構(gòu)件。為了解決IDS之間無(wú)法相互通信和并存的難題，Chen[5]等給出了一個(gè)公用的模型CIDF（common intrusion detection framework）。該通用模型將IDS分為事件產(chǎn)生器（event generators）、事件分析器（event analyzers）、響應(yīng)單元（response units）、事件數(shù)據(jù)庫(kù)（event databases）4個(gè)部分，如圖2所示。其中，IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件；event generators從計(jì)算環(huán)境中收集事件，并將這些事件轉(zhuǎn)換成由CISL（common intrusion specification language）定義的通用格式GIDO（generalized intrusion detection objects）傳送給其他組件；event analyzers解析收到的GIDO并生成分析結(jié)果；response units根據(jù)得到的分析結(jié)果采用一定的措施，比如報(bào)警處理等；event databases用于儲(chǔ)存GIDO的中間或最終結(jié)果。

圖2 CIDF模型

2 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)分為兩類：異常入侵檢測(cè)（anomaly detection）和誤用異常檢測(cè)（misuse detection）。異常入侵檢測(cè)亦稱基于行為或活動(dòng)的入侵檢測(cè)，它的條件是對(duì)象的正常行為和異常行為，這是可區(qū)分的、有明顯差別的。異常檢測(cè)首先為對(duì)象的正常行為創(chuàng)立行為輪廓，當(dāng)檢測(cè)到與其相差程度大的行為時(shí)，即視為入侵。異常檢測(cè)具有檢測(cè)系統(tǒng)中未知攻擊的能力，但其困難之處在于怎樣描述正常行為的輪廓模型和確定異常的基準(zhǔn)值，所以誤報(bào)率較高。誤用入侵檢測(cè)亦稱為基于規(guī)則的檢測(cè)，它的條件是所有的入侵都能夠被表達(dá)為模式或特征，若判定審計(jì)數(shù)據(jù)中出現(xiàn)了這些被定義好的模式則將其視為入侵。誤用入侵檢測(cè)主要在于如何表示入侵的特征以準(zhǔn)確無(wú)誤地區(qū)分入侵行為和正常行為，該方法的亮點(diǎn)是能夠明確地標(biāo)出入侵的類型，且擁有較低的誤報(bào)率和較高的正確率。不足之處是該方法的漏報(bào)率高，因?yàn)樗荒馨l(fā)現(xiàn)已有的攻擊，對(duì)系統(tǒng)中的未知攻擊卻束手無(wú)策；實(shí)時(shí)更新與維護(hù)特征庫(kù)也比較困難。異常入侵檢測(cè)和誤用入侵檢測(cè)這兩種檢測(cè)各有其優(yōu)點(diǎn)和不足之處，因此，在實(shí)際使用中往往聯(lián)合使用這兩種方法。

2.1 異常入侵檢測(cè)

2.1.1 基于神經(jīng)網(wǎng)絡(luò)的異常入侵檢測(cè)

神經(jīng)網(wǎng)絡(luò)是一種模擬大腦神經(jīng)元連接特征、呈層次結(jié)構(gòu)的數(shù)學(xué)模型。每層包括不同數(shù)目的神經(jīng)元，神經(jīng)元間通過(guò)加權(quán)的連接相互作用。通過(guò)調(diào)整神經(jīng)元間的權(quán)重使神經(jīng)網(wǎng)絡(luò)具有學(xué)習(xí)、自適應(yīng)能力，且大量神經(jīng)元的互連結(jié)構(gòu)與連接權(quán)值的分布使神經(jīng)網(wǎng)絡(luò)有較好的容錯(cuò)處理能力。因此，神經(jīng)網(wǎng)絡(luò)能夠很好地適用于入侵檢測(cè)技術(shù)。

Debar等人[6]于1992年首次將神經(jīng)網(wǎng)絡(luò)應(yīng)用到入侵檢測(cè)中，自此，應(yīng)用神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)逐漸興起。文獻(xiàn)[7]中，吳峻給出一種基礎(chǔ)的檢測(cè)模型，該模型基于BP神經(jīng)網(wǎng)絡(luò)及特征選擇能夠高效地對(duì)攻擊模式進(jìn)行學(xué)習(xí)，可以有效地識(shí)別各種入侵。文獻(xiàn)[8]中，作者通過(guò)限制玻爾茲曼機(jī)對(duì)檢測(cè)模型結(jié)構(gòu)進(jìn)行降維，使用BP網(wǎng)絡(luò)獲取數(shù)據(jù)的最優(yōu)表示，利用支持“向量機(jī)”檢測(cè)網(wǎng)絡(luò)入侵，為入侵檢測(cè)提供了一種新的思路。文獻(xiàn)[9]中，Staudemeyer首次將LSTM（Long Short Term Memory network）應(yīng)用于入侵檢測(cè)，將KDD99數(shù)據(jù)集上的41個(gè)特征輸入到LSTM構(gòu)建的入侵檢測(cè)模型中，判斷是否為入侵。文獻(xiàn)[10]中，Kim等也使用LSTM在KDD99數(shù)據(jù)集上進(jìn)行了入侵檢測(cè)實(shí)驗(yàn)，獲得了較高的準(zhǔn)確率。Kim等人[11]首先使用多個(gè)LSTM建立系統(tǒng)調(diào)用的語(yǔ)言模型，然后組合LSTM，通過(guò)求由LSTM得出的異常值的均值來(lái)判斷是否發(fā)生了入侵。文獻(xiàn)[12]中，Wang等人將CNN（Convolutional Neural Networks）用于入侵檢測(cè)模型，首先通過(guò)將字節(jié)轉(zhuǎn)換為像素的方式將流量轉(zhuǎn)換為圖片，再將圖片輸入到CNN中進(jìn)行訓(xùn)練與分類。使用私有數(shù)據(jù)集進(jìn)行測(cè)試實(shí)驗(yàn)結(jié)果顯示，該模型的二分類和多分類的檢測(cè)準(zhǔn)確率高達(dá)100%和99.17%。

目前利用神經(jīng)網(wǎng)絡(luò)來(lái)檢測(cè)入侵工作的基本上都是使用KDD99等現(xiàn)有的數(shù)據(jù)集進(jìn)行特征學(xué)習(xí)，然而這些特征不足以概括數(shù)據(jù)的全部特點(diǎn)，將來(lái)可以考慮從原始數(shù)據(jù)的特征入手來(lái)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，提升其檢測(cè)能力。另外，神經(jīng)網(wǎng)絡(luò)訓(xùn)練時(shí)間普遍較長(zhǎng)，如何在保證檢測(cè)準(zhǔn)確率的前提下更加高效地訓(xùn)練神經(jīng)網(wǎng)絡(luò)是目前的一個(gè)難點(diǎn)。

2.1.2 基于模式預(yù)測(cè)的異常入侵檢測(cè)

該方法的前提是假定事件的序列符合某種特定的模式，而不是任意的。Teng和Chen提出了一種基于時(shí)間的推斷方法，利用時(shí)間規(guī)則來(lái)描述對(duì)象的正常行為模式所具有的特征，依據(jù)已發(fā)生事件對(duì)未來(lái)事件進(jìn)行預(yù)測(cè)[13]。規(guī)則通過(guò)觀察用戶行為歸納、學(xué)習(xí)產(chǎn)生，包括已發(fā)生事件和右側(cè)隨后發(fā)生事件。如果已發(fā)生的事件序列符合左側(cè)規(guī)則，而隨后發(fā)生的事件明顯與根據(jù)規(guī)則預(yù)測(cè)到的事件偏差較大，那么系統(tǒng)就可以依據(jù)這種偏差來(lái)發(fā)現(xiàn)異常，判定入侵行為的發(fā)生。此方法對(duì)用戶復(fù)雜多變的行為有良好的適應(yīng)性，具有較強(qiáng)的時(shí)序模式，且容易發(fā)現(xiàn)試圖訓(xùn)練系統(tǒng)的入侵行為，但該方法無(wú)法檢測(cè)用戶行為不在規(guī)則庫(kù)的入侵。

2.1.3 基于數(shù)據(jù)挖掘的異常入侵檢測(cè)

異常入侵檢測(cè)實(shí)質(zhì)上是對(duì)審計(jì)數(shù)據(jù)的處理，目的在于建立系統(tǒng)或用戶正常行為的模式，利用這些模式對(duì)當(dāng)前的系統(tǒng)或用戶行為進(jìn)行比較，通過(guò)判斷兩者的偏離程度來(lái)檢測(cè)入侵。如何從大量的審計(jì)數(shù)據(jù)中提取具有代表性的行為特征對(duì)行為進(jìn)行描述是異常入侵檢測(cè)的關(guān)鍵，但數(shù)量龐大的審計(jì)記錄若唯獨(dú)依靠人工察覺(jué)其中的異常現(xiàn)象及記錄之間的相互關(guān)系是很困難的。針對(duì)此問(wèn)題，Lee和Stolfo等把數(shù)據(jù)挖掘融入入侵檢測(cè)中，從大量的審計(jì)數(shù)據(jù)中獲取有價(jià)值的知識(shí)，這些知識(shí)被表現(xiàn)為概念，規(guī)則，模式等形式[14-16]。該方法能夠處理數(shù)量龐大的數(shù)據(jù)并能對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)、解析，但實(shí)時(shí)入侵檢測(cè)效果不理想。

2.1.4 基于文本分類的異常入侵檢測(cè)

Liao和Vemuri給出了基于文本分類的異常入侵檢測(cè)方法，該方法的思想是將系統(tǒng)中的調(diào)用看成“文檔中的字”，系統(tǒng)調(diào)用的集合就產(chǎn)生了一個(gè)“文檔”[17]。然后對(duì)每個(gè)文檔采用K-nearest neighbor算法，依據(jù)文檔的相像程度來(lái)檢測(cè)系統(tǒng)中有異常的調(diào)用，進(jìn)而發(fā)覺(jué)入侵。

2.2 誤用入侵檢測(cè)

2.2.1 基于專家系統(tǒng)的誤用入侵檢測(cè)

該方法把安全專家的經(jīng)驗(yàn)表達(dá)為if-then形式的規(guī)則知識(shí)庫(kù)，利用推理方法來(lái)發(fā)覺(jué)攻擊行為，主要針對(duì)對(duì)象是有特征的攻擊行為。該方法的顯著特點(diǎn)是從問(wèn)題解決的描述中分離出了系統(tǒng)的控制推理，將輸入的信息放到if-then語(yǔ)法環(huán)境中，if中的內(nèi)容表示攻擊特征，then中的內(nèi)容表示系統(tǒng)采用的響應(yīng)手段。當(dāng)if判定為真時(shí)，專家系統(tǒng)就能判定有入侵活動(dòng)出現(xiàn)，并做出響應(yīng)。

專家系統(tǒng)的不足之處是不能處理不確定性；不能處理連續(xù)有序的數(shù)據(jù)；另外專家系統(tǒng)的有效性取決于知識(shí)庫(kù)的完整性，但在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中建立和維護(hù)完整的知識(shí)庫(kù)往往是不可能的，且在審計(jì)記錄中獲取狀態(tài)行為與語(yǔ)言環(huán)境也是比較困難的。

2.2.2 基于狀態(tài)遷移的誤用入侵檢測(cè)

該方法是以“狀況圖”表示攻擊特征，系統(tǒng)不同時(shí)刻的特征對(duì)應(yīng)狀況圖中的不同形態(tài)。入侵開(kāi)始前的系統(tǒng)狀況對(duì)應(yīng)于初始形態(tài)，入侵成功時(shí)的系統(tǒng)狀況對(duì)應(yīng)于入侵形態(tài)。狀態(tài)遷移分析將入侵定義為：入侵是由從系統(tǒng)的初始形態(tài)到入侵形態(tài)的一連串活動(dòng)構(gòu)成，攻擊者實(shí)施一系列動(dòng)作，使系統(tǒng)狀態(tài)從初始狀態(tài)遷移到入侵狀態(tài)。文獻(xiàn)[18-19]中IDS就采用了狀態(tài)遷移分析法。

2.2.3 基于鍵盤監(jiān)控的誤用入侵檢測(cè)

該方法是假定入侵活動(dòng)與某種確定的擊鍵序列模式相對(duì)應(yīng)，通過(guò)監(jiān)控對(duì)象的擊鍵模式并把該模式和入侵模式進(jìn)行對(duì)比來(lái)發(fā)覺(jué)入侵行為。該方法對(duì)操作系統(tǒng)有較大的依賴性，若缺少操作系統(tǒng)的支持，則難以獲取用戶的擊鍵序列模式，另外也存在相同攻擊對(duì)應(yīng)多種擊鍵方式的情況，用戶可以通過(guò)使用別名的方式代替此檢測(cè)技術(shù)。

2.2.4 基于條件概率的誤用入侵檢測(cè)

該方法是將入侵方式與事件序列相對(duì)應(yīng)，依據(jù)觀察到的事件發(fā)生狀況來(lái)判斷是否有入侵行為發(fā)生。若令ES表示事件序列，p(Intrusion)是先驗(yàn)概率，p(ES|Intrusion)是后驗(yàn)概率，p(ES)是事件出現(xiàn)的概率。則

其中，p(Intrusion)一般由相關(guān)專家給出，p(ES|Intrusion)和p(ES|?Intrusion)由入侵報(bào)告數(shù)據(jù)計(jì)算得出。于是可以得到

通過(guò)觀測(cè)事件序列推算出p(Intrusion|ES)。該檢測(cè)方法基于概率論，其缺點(diǎn)是p(Intrusion)難以給出，且事件難以滿足獨(dú)立性這一前提條件。

3 入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)

3.1 集中式結(jié)構(gòu)

集中式結(jié)構(gòu)（Centralized Architecture）包括單機(jī)集中式和網(wǎng)絡(luò)集中式。這兩種結(jié)構(gòu)中，分析數(shù)據(jù)的任務(wù)都聚集在一臺(tái)主機(jī)上完成，因此更方便全局性的檢測(cè)和決策且簡(jiǎn)化了安全管理工作。但其缺點(diǎn)也比較明顯，因數(shù)據(jù)分析工作都在一臺(tái)主機(jī)上完成，網(wǎng)絡(luò)主機(jī)的性能會(huì)成為網(wǎng)絡(luò)安全的瓶頸。

3.2 分布式結(jié)構(gòu)

分布式結(jié)構(gòu)（Hierarchical Architecture）包括層次式結(jié)構(gòu)和協(xié)同式結(jié)構(gòu)。層次式結(jié)構(gòu)在邏輯上是一個(gè)樹(shù)形的分層結(jié)構(gòu)，該結(jié)構(gòu)底層的葉節(jié)點(diǎn)負(fù)責(zé)信息采集，并進(jìn)行進(jìn)一步的集成、抽取、簡(jiǎn)化數(shù)據(jù)等預(yù)處理工作，然后把信息傳送給中間層父節(jié)點(diǎn)，父節(jié)點(diǎn)根據(jù)葉節(jié)點(diǎn)的輸出信息作進(jìn)一步的關(guān)聯(lián)分析、判斷，然后輸出結(jié)果。最高層作為一個(gè)管理控制平臺(tái)，負(fù)責(zé)整體管理和協(xié)調(diào)。層次式結(jié)構(gòu)的特點(diǎn)是可以通過(guò)從底層向高層精簡(jiǎn)信息和高層向低層簡(jiǎn)化控制的方式獲取較好的通信效果，但它的不足之處也比較明顯：根節(jié)點(diǎn)是系統(tǒng)安全的瓶頸；高層節(jié)點(diǎn)對(duì)低層節(jié)點(diǎn)具有依靠性，某個(gè)節(jié)點(diǎn)的失效就會(huì)影響上下層節(jié)點(diǎn)的協(xié)同檢測(cè)能力。

分布式結(jié)構(gòu)由分布在若干主機(jī)或子網(wǎng)中的若干相互平等的檢測(cè)節(jié)點(diǎn)組成。每個(gè)檢測(cè)節(jié)點(diǎn)可以根據(jù)自身所處的環(huán)境形成獨(dú)有的決策規(guī)則，節(jié)點(diǎn)之間也可以相互協(xié)作，協(xié)同處理大規(guī)模的入侵行為。該結(jié)構(gòu)優(yōu)點(diǎn)是單個(gè)或部分節(jié)點(diǎn)受攻擊或其他原因失效時(shí)對(duì)入侵檢測(cè)功能整體沒(méi)有明顯的影響；檢測(cè)節(jié)點(diǎn)之間能夠互相檢驗(yàn)和監(jiān)督，從而獲取良好的可靠性；當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí)，只需加入新的檢測(cè)節(jié)點(diǎn)，其他節(jié)點(diǎn)不需要做任何變動(dòng)，可擴(kuò)展性好。

4 入侵檢測(cè)發(fā)展趨勢(shì)

4.1 入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化

即使IDS經(jīng)歷了多年的發(fā)展，且近年來(lái)因與機(jī)器學(xué)習(xí)等新技術(shù)的結(jié)合又在網(wǎng)絡(luò)與信息安全領(lǐng)域受到廣泛的關(guān)注，但到目前為止依舊沒(méi)有一個(gè)被研究人員廣泛認(rèn)可的國(guó)際標(biāo)準(zhǔn)。目前，只有CIDF和IDWG兩個(gè)組織在進(jìn)行IDS的標(biāo)準(zhǔn)化工作，從體系結(jié)構(gòu)、通信機(jī)制、消息格式等各方面進(jìn)行IDS規(guī)范化，但進(jìn)展緩慢，尚沒(méi)有出現(xiàn)被廣泛接受的標(biāo)準(zhǔn)。因此下一代IDS的方向是擁有標(biāo)準(zhǔn)的接口。

4.2 入侵檢測(cè)系統(tǒng)的高效智能化

目前，黑客攻擊技術(shù)層出不窮，檢測(cè)技術(shù)難以跟上攻擊技術(shù)的更新速度，且入侵方式多變，信息加密等都能給檢測(cè)帶來(lái)很大的困難，所以對(duì)入侵進(jìn)行高效率的檢測(cè)也是IDS的研究熱點(diǎn)。另外，盡管與神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘等技術(shù)相結(jié)合的入侵檢測(cè)方法越來(lái)越多，但大都不夠成熟，仍需在IDS的智能化方面深入的研究。

4.3 入侵檢測(cè)系統(tǒng)的評(píng)測(cè)方法

面對(duì)功能越來(lái)越復(fù)雜的IDS，用戶需對(duì)IDS資源占用，以及自身抗攻擊性、可靠性、適應(yīng)性、準(zhǔn)確性進(jìn)行評(píng)價(jià)。設(shè)計(jì)公用的IDS測(cè)試方法和測(cè)試平臺(tái)實(shí)現(xiàn)對(duì)IDS的檢測(cè)亦是IDS的另一重要研究方向。

4.4 與其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合

IDS的功能主要是能夠發(fā)現(xiàn)入侵行為并進(jìn)行簡(jiǎn)單的報(bào)警處理，但不能及時(shí)阻止攻擊如切斷網(wǎng)絡(luò)連接等，這對(duì)一個(gè)功能完善的安全系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的。因此為解決實(shí)際網(wǎng)絡(luò)安全需求需將IDS與弱點(diǎn)分析，防火墻，應(yīng)急響應(yīng)等系統(tǒng)相融合，以形成一個(gè)全方位的安全保障系統(tǒng)。

5 結(jié)束語(yǔ)

本文簡(jiǎn)單介紹了入侵檢測(cè)的基本概念和模型，并討論了基于異常和基于誤用的入侵檢測(cè)方法，最后概括總結(jié)了入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)及發(fā)展趨勢(shì)。