計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究

陳曉安

（齊魯理工學(xué)院，山東濟(jì)南，250200）

0 引言

隨著車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能和自動(dòng)化技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)環(huán)境迅速改變，網(wǎng)絡(luò)數(shù)據(jù)逐步增多，在我國(guó)不斷推進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)信息化和智能化發(fā)展進(jìn)程的過(guò)程中，計(jì)算機(jī)網(wǎng)絡(luò)體系在國(guó)民經(jīng)濟(jì)發(fā)展和人們?nèi)粘Ｉ钪械膽?yīng)用已逐步拓寬，計(jì)算機(jī)系統(tǒng)也從單純的傳統(tǒng)模式下獨(dú)立主機(jī)系統(tǒng)發(fā)展成為相互連接、相互影響的復(fù)雜的開放式系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在不斷發(fā)展過(guò)程中，為社會(huì)經(jīng)濟(jì)發(fā)展和提升日常生活便捷度做出了應(yīng)有貢獻(xiàn)。在此背景下，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的探討與研究，能夠提高計(jì)算機(jī)網(wǎng)絡(luò)安全和信息技術(shù)處理水平，因此，本文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的探討和分析，也就具備重要理論意義和現(xiàn)實(shí)價(jià)值。

1 入侵檢測(cè)技術(shù)原理

在計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行的過(guò)程中，計(jì)算機(jī)網(wǎng)絡(luò)的一組數(shù)據(jù)符號(hào)呈現(xiàn)出某一特質(zhì)，而當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)被外在攻擊者攻擊后，該組數(shù)據(jù)往往會(huì)留下部分痕跡，該類痕跡和計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行時(shí)產(chǎn)生的數(shù)據(jù)混合，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)則是對(duì)該類數(shù)據(jù)進(jìn)行檢測(cè)，在一組數(shù)據(jù)中找到攻擊者攻擊行為造成的混合數(shù)據(jù)，通過(guò)觀察數(shù)據(jù)是否有被入侵的痕跡發(fā)現(xiàn)計(jì)算機(jī)是否被入侵。當(dāng)數(shù)據(jù)組存在被入侵的痕跡時(shí)，報(bào)警顯示計(jì)算機(jī)網(wǎng)絡(luò)體系存在被入侵行為。根據(jù)該原理，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)主要分為數(shù)據(jù)獲取和檢測(cè)技術(shù)兩大部分。利用兩部分的相互配合查明計(jì)算機(jī)網(wǎng)絡(luò)是否被外在攻擊者攻擊。

通常情況下，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)檢測(cè)的數(shù)據(jù)是計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行時(shí)產(chǎn)生的諸多數(shù)據(jù)對(duì)象，而計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)主要研究該組數(shù)據(jù)中可能反映外在攻擊者入侵事件發(fā)生和檢測(cè)技術(shù)在分析該類數(shù)據(jù)時(shí)的適用性，以達(dá)到高效的檢測(cè)效果。根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)發(fā)生的具體時(shí)間，可將其分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩大類，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理如圖1 所示。

圖1 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理圖

2 入侵檢測(cè)系統(tǒng)框架模型

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)利用計(jì)算機(jī)互聯(lián)網(wǎng)小組工作中部分安全事件報(bào)警的標(biāo)準(zhǔn)格式，在規(guī)范計(jì)算機(jī)網(wǎng)絡(luò)術(shù)語(yǔ)使用的前提下，為計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)輸出的安全事故的信息多樣性提供更多可能，其整個(gè)入侵檢測(cè)系統(tǒng)框架模型如圖2 所示。由圖可知，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)反映了計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)的功能要求和邏輯關(guān)系，而在網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn)過(guò)程中負(fù)責(zé)的功能各有不同，往往依賴于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)負(fù)擔(dān)任務(wù)和所處的工作環(huán)境。因此，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)往往包括傳感器、分析器和管理器等獨(dú)立設(shè)備，利用設(shè)備中的不同功能完成計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)過(guò)程中的信息收集、數(shù)據(jù)分析和事件響應(yīng)三大步驟。

圖2 入侵檢測(cè)系統(tǒng)框架模型

3 入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

3.1 基于主機(jī)入侵檢測(cè)系統(tǒng)

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，基于主機(jī)的入侵檢測(cè)系統(tǒng)主要通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)日志、應(yīng)用程序日志等記錄文件的數(shù)據(jù)語(yǔ)言，通過(guò)比較該類記錄文件的記錄信息與外在攻擊者發(fā)生攻擊行為后呈現(xiàn)的痕跡，直接探究?jī)烧咧g的匹配性，當(dāng)兩者之間匹配程度較高時(shí)，基于主機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)向計(jì)算機(jī)系統(tǒng)管理員發(fā)出入侵報(bào)警信號(hào)并采取相應(yīng)防護(hù)措施。此時(shí)，基于主機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠更精確地判斷計(jì)算機(jī)網(wǎng)絡(luò)入侵時(shí)間，并對(duì)入侵事件作出立即反映。同時(shí)，該入侵檢測(cè)系統(tǒng)還可針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)不同操作系統(tǒng)特點(diǎn)，判別計(jì)算機(jī)應(yīng)用層的入侵。在此過(guò)程中，由于計(jì)算機(jī)網(wǎng)絡(luò)審計(jì)數(shù)據(jù)是通過(guò)收集計(jì)算機(jī)系統(tǒng)用戶行為數(shù)據(jù)而對(duì)比審查的檢測(cè)方法，因此，必須保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的審計(jì)數(shù)據(jù)不被修改。但當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)遭到外在攻擊時(shí)，該類審計(jì)數(shù)據(jù)很可能被修改，也就要求基于主機(jī)的入侵檢測(cè)系統(tǒng)必須滿足時(shí)效性要求，必須能在外在攻擊完全控制計(jì)算機(jī)系統(tǒng)并更改計(jì)算機(jī)審計(jì)數(shù)據(jù)前，完成對(duì)計(jì)算機(jī)審計(jì)數(shù)據(jù)的分析、報(bào)警。

3.2 基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)放置于計(jì)算機(jī)網(wǎng)絡(luò)層，使用計(jì)算機(jī)原始網(wǎng)絡(luò)報(bào)表文件為數(shù)據(jù)源對(duì)外在攻擊者攻擊行為痕跡進(jìn)行分析。通常情況下，利用計(jì)算機(jī)網(wǎng)絡(luò)適配器實(shí)現(xiàn)對(duì)計(jì)算機(jī)入侵檢測(cè)系統(tǒng)的實(shí)時(shí)監(jiān)控和實(shí)時(shí)分析，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)體系的數(shù)據(jù)傳輸功能，當(dāng)適配器監(jiān)測(cè)到計(jì)算機(jī)網(wǎng)絡(luò)存在外在攻擊者攻擊行為時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相應(yīng)模塊通過(guò)數(shù)據(jù)傳輸、報(bào)警以及連接中斷等方式，對(duì)外在攻擊者攻擊行為作出反應(yīng)。此時(shí)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)采集模塊則按照相應(yīng)規(guī)則從計(jì)算機(jī)網(wǎng)絡(luò)層獲取與安全事件相關(guān)的數(shù)據(jù)包，將其傳遞給基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)進(jìn)行深入分析，并進(jìn)一步將分析結(jié)果傳送給計(jì)算機(jī)管理層和資源配置模塊，根據(jù)分析結(jié)果以更有效的方式通知計(jì)算機(jī)網(wǎng)絡(luò)管理員，從而采取有效防護(hù)措施。

3.3 基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)主要分為主機(jī)探測(cè)器和入侵管理控制器兩大部分。基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)，能夠有效保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵服務(wù)器和其他具備敏感信息的系統(tǒng)元件，利用主機(jī)的系統(tǒng)資源調(diào)節(jié)功能和調(diào)用功能，判斷計(jì)算機(jī)主機(jī)系統(tǒng)是否遵循安全運(yùn)行規(guī)則。在計(jì)算機(jī)實(shí)際運(yùn)行過(guò)程中，主機(jī)探測(cè)器大多利用安全代理模式直接安裝于被保護(hù)的主機(jī)系統(tǒng)上，通過(guò)防火墻和網(wǎng)絡(luò)編輯開孔等方式，對(duì)計(jì)算機(jī)系統(tǒng)管理控制臺(tái)進(jìn)行遠(yuǎn)程實(shí)時(shí)監(jiān)管。該類集中式的控制方式，能夠有效對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行狀態(tài)監(jiān)控、狀態(tài)管理和檢測(cè)模塊的軟件更新與控制，大幅度提高基于主機(jī)監(jiān)測(cè)的分布式入侵檢測(cè)系統(tǒng)的安全性和可行性。

3.4 基于網(wǎng)絡(luò)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，基于網(wǎng)絡(luò)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)有效彌補(bǔ)了基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)只能保障計(jì)算機(jī)主機(jī)安全性的弊端，能對(duì)其他附加攻擊方法進(jìn)行高效管理和檢測(cè)。基于網(wǎng)絡(luò)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)主要分為網(wǎng)絡(luò)探測(cè)器和管理控制器，利用網(wǎng)絡(luò)探測(cè)器在計(jì)算機(jī)網(wǎng)絡(luò)區(qū)域收集數(shù)據(jù)信息，利用異常對(duì)比和誤用兩種方式對(duì)收集到的數(shù)據(jù)信息進(jìn)行深度分析，當(dāng)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)信息存在攻擊或異常網(wǎng)絡(luò)行為時(shí)，立即向計(jì)算機(jī)管理控制器發(fā)送警報(bào)信息。

4 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的多模式匹配算法

4.1 算法分析

目前，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中對(duì)模式匹配算法的分析主要集中于字符串模式匹配算法的研究和探討。不論是在語(yǔ)言翻譯、拼寫檢查中，還是在數(shù)字檢查或搜索引擎中，字符串模式匹配都是其重要研究?jī)?nèi)容。在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，對(duì)數(shù)據(jù)包的捕獲、預(yù)處理以及對(duì)攻擊檢測(cè)痕跡的對(duì)比分析，都依賴于字符串模式的確定和實(shí)現(xiàn)。也就是說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，在一定程度上可看作對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)包這一重要數(shù)據(jù)源的對(duì)比和分析，能通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)包中外在攻擊行為的入侵檢測(cè)方式，判別計(jì)算機(jī)網(wǎng)絡(luò)體系是否存在被攻擊行為。在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，在使用模式匹配算法時(shí)，需解決數(shù)據(jù)包提取質(zhì)量提升、模式匹配或模式刪除、模式增量匹配以及完全匹配等問(wèn)題。

4.2 改進(jìn)的多模式匹配算法

在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模式匹配算法應(yīng)用過(guò)程中，模式匹配算法的滑動(dòng)機(jī)理與函數(shù)往往具備較大局限性，且存在計(jì)算機(jī)網(wǎng)絡(luò)體系中的指針回溯問(wèn)題。基于此提出了改進(jìn)的多模式匹配算法，解決計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)過(guò)程中存在的諸多問(wèn)題。該算法主要利用計(jì)算機(jī)網(wǎng)絡(luò)模式串中某字符與與文本串中的字符匹配失敗時(shí)，匹配失敗的字符是否出現(xiàn)于模式串中為考慮標(biāo)準(zhǔn)，當(dāng)匹配失敗的字符出現(xiàn)在模式串中時(shí)，根據(jù)多模式匹配算法向后滑過(guò)一段時(shí)間和一段距離。當(dāng)匹配失敗的字符不出現(xiàn)于模式串中時(shí)，則需對(duì)待匹配的字符串中的下個(gè)字符進(jìn)行模式串的匹配，以此實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中滑動(dòng)函數(shù)的創(chuàng)建，有效簡(jiǎn)化計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)判斷過(guò)程，使計(jì)算機(jī)網(wǎng)絡(luò)檢測(cè)匹配效率得到進(jìn)一步提高。

5 結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為計(jì)算機(jī)典型的數(shù)據(jù)處理系統(tǒng)，通過(guò)對(duì)大量數(shù)據(jù)信息的對(duì)比分析，判斷計(jì)算機(jī)網(wǎng)絡(luò)是否受到外在攻擊者的攻擊。在具體的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中，利用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)主體行為以及各安全事件的分類系統(tǒng)，判別計(jì)算機(jī)系統(tǒng)是否存在惡意攻擊行為并對(duì)存在問(wèn)題進(jìn)行解決。