淺析入侵檢測(cè)系統(tǒng)存在問題及發(fā)展趨勢(shì)

摘要：入侵檢測(cè)（Intrusion Detection，ID）是對(duì)入侵行為的檢測(cè)，即對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。入侵檢測(cè)能夠?qū)τ诿嫦蛴?jì)算機(jī)和網(wǎng)絡(luò)資源的惡意行為的識(shí)別和響應(yīng)，它不僅能夠檢測(cè)來自外部的入侵行為，同時(shí)也能檢測(cè)倒內(nèi)部用戶的入侵活動(dòng)。自1980年提出入侵檢測(cè)概念起，入侵檢測(cè)系統(tǒng)逐步在實(shí)際中得到了較為廣泛的應(yīng)用，但仍有一些問題有待進(jìn)一步解決。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)；網(wǎng)絡(luò)安全；發(fā)展趨勢(shì)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2009)04-0796-02

Analysis on Problem of Inbreak Detection System and Trend of Development

CONG Hui-yuan

(Tianjin University of Traditional Chinese Medicine，Tianjin 300193，China)

Abstract: Intrusion detection is the act of intrusion detection， the invasion attempt， the ongoing invasion or intrusion has occurred to identify the process. Intrusion detection to the computer and network resources for the malicious acts of recognition and response， not only to detect intrusions from outside， but also can detect internal users down the invasion of Events. Since 1980， put forward the concept of intrusion detection， the intrusion detection system gradually in practice a relatively wide range of applications， but there are still some issues to be further addressed.

Key words: intrusion detection system; network security; development trends

1 前言

互聯(lián)網(wǎng)是一種開放的面向所有用戶的技術(shù)，互聯(lián)網(wǎng)在提供信息共享并給我們帶來極大便利的同時(shí)，其自身的安全問題也日益突顯。每年全球因安全問題導(dǎo)致的損失已經(jīng)可以用萬億美元的數(shù)量級(jí)來計(jì)算，我國也有數(shù)億美元的經(jīng)濟(jì)損失。信息安全直接影響著國家、企業(yè)及個(gè)人的利益。隨著網(wǎng)絡(luò)開放性、共享性及互聯(lián)程度的擴(kuò)大，使得網(wǎng)絡(luò)與信息系統(tǒng)的安全與保密問題顯得越來越重要。目前，如何保護(hù)好自己的信息不受侵犯及如何有效地預(yù)防他人非法入侵等一系列信息安全課題已經(jīng)引起國內(nèi)外有關(guān)人士的熱切注視，并且己經(jīng)發(fā)展成為一個(gè)有相當(dāng)規(guī)模的產(chǎn)業(yè)。在網(wǎng)絡(luò)化、信息化進(jìn)程不可逆轉(zhuǎn)的形勢(shì)下，如何最大限度地減少或避免因信息泄漏、破壞所造成的經(jīng)濟(jì)損失，是擺在我們面前一項(xiàng)成為刻不容緩的重要課題。所以，必須采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)對(duì)入侵攻擊的進(jìn)行檢測(cè)與防范、堵塞安全漏洞，才能保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)提供安全的信息服務(wù)。盡管對(duì)網(wǎng)絡(luò)安全的重視越來越高，但危及網(wǎng)絡(luò)安全的攻擊事件日趨頻繁。網(wǎng)絡(luò)安全是一個(gè)綜合、立體的工程，雖然某項(xiàng)技術(shù)在不斷完善和成熟，但各種安全技術(shù)都有針對(duì)性，都是針對(duì)某個(gè)領(lǐng)域或某一方面進(jìn)行的安全防護(hù)。當(dāng)前，各種攻擊行為更加多元化、復(fù)雜化，網(wǎng)絡(luò)安全事件的發(fā)生頻率不斷增加，尤其是大規(guī)模蠕蟲和攻擊，網(wǎng)絡(luò)安全問題日益突出。僅僅依靠單一的某一種網(wǎng)絡(luò)安全技術(shù)已經(jīng)不能滿足保障整個(gè)網(wǎng)絡(luò)安全的需求，因此要建立一個(gè)完整的網(wǎng)絡(luò)安全體系，需要綜合應(yīng)用多種安全技術(shù)，從不同的角度、層次上進(jìn)行安全防護(hù)，構(gòu)筑縱深防御體系，將風(fēng)險(xiǎn)程度減至最低。防火墻和身份認(rèn)證負(fù)責(zé)把黑客擋在門外，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，使黑客“進(jìn)不來”；訪問控制技術(shù)負(fù)責(zé)控制對(duì)信息的讀寫，使黑客“拿不走”重要信息；信息加密技術(shù)使黑客“看不懂”獲得的信息。而要及時(shí)的發(fā)現(xiàn)入侵攻擊，就需要入侵檢測(cè)技術(shù)；在發(fā)現(xiàn)黑客后，通過相應(yīng)的響應(yīng)技術(shù)，及時(shí)終止攻擊行為。網(wǎng)絡(luò)安全技術(shù)己從單純的檢測(cè)網(wǎng)絡(luò)攻擊和防御入侵者于系統(tǒng)之外，轉(zhuǎn)變?yōu)榉雷o(hù)、檢測(cè)、響應(yīng)與恢復(fù)、等多種技術(shù)的融合。

2 入侵檢測(cè)系統(tǒng)的歷史背景

自1980年提出入侵檢測(cè)概念起，入侵檢測(cè)系統(tǒng)逐步在實(shí)際中得到了較為廣泛的應(yīng)用，但仍有一些問題有待進(jìn)一步解決?？偟貋碚f，主要有以下問題：

1） 自適應(yīng)差

傳統(tǒng)的入侵檢測(cè)系統(tǒng)在開發(fā)時(shí)沒有考慮特定網(wǎng)絡(luò)環(huán)境的需求，而網(wǎng)絡(luò)上的數(shù)據(jù)是隨著網(wǎng)絡(luò)應(yīng)用的變化而改變的，網(wǎng)絡(luò)術(shù)在發(fā)展，網(wǎng)絡(luò)設(shè)備變得復(fù)雜化、多樣化，這就意味著系統(tǒng)不能根據(jù)數(shù)據(jù)的變化自適應(yīng)的修改檢測(cè)模式。所以，需要入侵檢測(cè)產(chǎn)品能動(dòng)態(tài)調(diào)整，適應(yīng)不同環(huán)境需求。

2） 誤報(bào)、漏報(bào)率問題

由于事先定義的模式很難精確地劃分正常行為和入侵行為之間的界限，入侵檢測(cè)的誤報(bào)率一直居高不下，使得系統(tǒng)管理員疲于應(yīng)付，增加了管理員的負(fù)擔(dān)，降低了對(duì)真正報(bào)警的敏感度。當(dāng)有新的攻擊方法產(chǎn)生和新漏洞發(fā)布時(shí)，入侵檢測(cè)系統(tǒng)的攻擊特征庫不能及時(shí)更新，一些新的入侵行為將不能被系統(tǒng)偵測(cè)，而產(chǎn)生漏報(bào)。漏報(bào)及誤報(bào)的發(fā)生，都會(huì)對(duì)入侵檢測(cè)系統(tǒng)的可用性產(chǎn)生相當(dāng)?shù)挠绊憽?/p>

3） 處理速度上的瓶頸

在入侵檢測(cè)系統(tǒng)中，截獲網(wǎng)絡(luò)中每一個(gè)數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征，需要花費(fèi)大量的時(shí)間和系統(tǒng)資源。如果處理速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，必然影響到檢測(cè)準(zhǔn)確性和有效性。當(dāng)前，大部分百兆、千兆IDS產(chǎn)品的性能指標(biāo)與實(shí)際要求還存在很大差距。隨著核心網(wǎng)絡(luò)帶寬容量和用戶對(duì)帶寬要求的迅速增加，高速網(wǎng)絡(luò)環(huán)境下系統(tǒng)對(duì)數(shù)據(jù)包捕獲與分析的能力都會(huì)顯著降低。如何提高入侵檢測(cè)速度以適應(yīng)高帶寬、高流量網(wǎng)絡(luò)已經(jīng)成為亟待解決的問題。

4） 入侵檢測(cè)系統(tǒng)的互動(dòng)能力

在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能使用了多種IDS，甚至還有防火墻、漏洞掃描等其它類別的安全設(shè)備，這些IDS之間以及IDS和其它安全組件之間，如何交換信息，共同協(xié)作來發(fā)現(xiàn)攻擊，并阻止攻擊，是關(guān)系整個(gè)系統(tǒng)安全性的重要因素。

3 入侵檢測(cè)系統(tǒng)的發(fā)展前景

針對(duì)于上述當(dāng)前入侵檢測(cè)系統(tǒng)的問題及新的入侵攻擊趨勢(shì)，今后的入侵檢測(cè)技術(shù)大致朝以下幾個(gè)方向發(fā)展：

1） 入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化

由于入侵檢測(cè)系統(tǒng)的市場(chǎng)在近幾年中飛速發(fā)展，許多公司也投入到這一領(lǐng)域上來。但就目前而言，入侵檢測(cè)系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)，不同IDS之間的數(shù)據(jù)交換和信息通信幾乎不可能。目前，美國國防高級(jí)研究計(jì)劃署（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組IETF的入侵檢測(cè)工作組（IDWG）對(duì)IDS規(guī)范化提出了一系列標(biāo)準(zhǔn)草案。IDWG主要負(fù)責(zé)制定入侵檢測(cè)響應(yīng)系統(tǒng)之間共享信息的數(shù)據(jù)格式和交換信息的方式，以及滿足系統(tǒng)管理的需要。DARPA提出了通用入侵檢測(cè)框架（CIDF），其最早由加州大學(xué)戴維斯分校安全實(shí)驗(yàn)室主持起草工作。CIDF主要介紹了一種通用入侵說明語言（CISL），用來表示系統(tǒng)事件、分析結(jié)果和響應(yīng)措施。為了把IDS從邏輯上分為面向任務(wù)的組件，CIDF試圖規(guī)范一種通用的語言格式和編碼方式以表示在組件邊界傳遞的數(shù)據(jù)。CIDF所做的工作主要包括四部分：IDS的體系結(jié)構(gòu)、通信體制、描述語言和應(yīng)用編程接口（API）。CIDF和IDWG的規(guī)范標(biāo)準(zhǔn)都還不成熟，目前仍在不斷地改進(jìn)和完善中，但標(biāo)準(zhǔn)化是入侵檢測(cè)系統(tǒng)發(fā)展的必然方向。

2） 分布式入侵檢測(cè)

隨著網(wǎng)絡(luò)系統(tǒng)的復(fù)雜化、大型化以及入侵行為所具有的協(xié)作性，入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)由集中向分布式發(fā)展。不同IDS之間通過共享信息，協(xié)同檢測(cè)復(fù)雜的入侵行為，如攻擊策略識(shí)別。除此之外，現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展帶來的新問題是，IDS需要進(jìn)行海量計(jì)算，因而高性能檢測(cè)算法及新的入侵檢測(cè)體系結(jié)構(gòu)也成為研究熱點(diǎn)，高性能并行計(jì)算技術(shù)將用于入侵檢測(cè)領(lǐng)域。

3） 異常檢測(cè)、混合檢測(cè)及智能化

入侵技術(shù)的不斷提高，新型攻擊方法層出不窮，為了檢測(cè)和防御未知類型攻擊。許多研究者采用了數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等不同的技術(shù)進(jìn)行新的異常檢測(cè)方法的研究。這些研究提出了多種異常檢測(cè)方法和混合檢測(cè)方法，但是由于其過高的誤報(bào)率和復(fù)雜度問題，許多模型尚未完全成熟，難以推廣。因此，今后入侵檢測(cè)方法研究的重點(diǎn)是使異常檢測(cè)方法的誤報(bào)率和混合檢測(cè)方法的復(fù)雜度能夠下降到可接受的范圍內(nèi)，使檢測(cè)系統(tǒng)具有智能化，即具有自學(xué)習(xí)能力，實(shí)現(xiàn)知識(shí)庫的不斷更新與擴(kuò)展，防范能力不斷增強(qiáng)。

4） 入侵檢測(cè)系統(tǒng)與其他安全部件的互動(dòng)

IDS盡管能夠識(shí)別并記錄攻擊，但不能及時(shí)阻止攻擊，而且IDS的誤報(bào)警造成與之聯(lián)動(dòng)的防火墻無從下手。要解決當(dāng)前的實(shí)際網(wǎng)絡(luò)安全需求，入侵檢測(cè)系統(tǒng)將與防火墻系統(tǒng)、應(yīng)急響應(yīng)系統(tǒng)等逐漸融合，形成一個(gè)綜合的信息安全保障系統(tǒng)。即使用安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)等多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)進(jìn)行保護(hù)。

4 發(fā)展計(jì)劃

目前大多數(shù)網(wǎng)絡(luò)安全產(chǎn)品提供商都致力于建設(shè)具有自我保護(hù)能力、自我防御能力、自我愈合能力的網(wǎng)絡(luò)系統(tǒng)，并提出了一系列發(fā)展計(jì)劃。比如Symantec的主動(dòng)性安全基礎(chǔ)架構(gòu)、Cisco的自防御網(wǎng)絡(luò)、華為3Com的端點(diǎn)準(zhǔn)入防御等，這些提法和概念都集中體現(xiàn)了從整體、立體、多層次和主動(dòng)防御的思想，并提升了安全管理的重要性，認(rèn)為應(yīng)在不同層次上加強(qiáng)網(wǎng)絡(luò)安全的管理，通過綜合多種網(wǎng)絡(luò)安全技術(shù)使網(wǎng)絡(luò)能夠抵御各種安全威脅，使得網(wǎng)絡(luò)自身能從各個(gè)方面抵御有害的行為。在這些技術(shù)方案中，Cisco提出的自防御網(wǎng)絡(luò)(Self-Defending Network)計(jì)劃，其目標(biāo)是提高網(wǎng)絡(luò)發(fā)現(xiàn)、防御和對(duì)抗安全威脅的能力，具有自防御能力的網(wǎng)絡(luò)將如同具有免疫能力的人體，能夠自動(dòng)免受網(wǎng)絡(luò)病毒、黑客的侵害。自防御網(wǎng)絡(luò)的基本概念就是網(wǎng)絡(luò)本身能夠?qū)W(wǎng)絡(luò)中發(fā)生的有害行為進(jìn)行響應(yīng)，以防止、隔離或減輕有害行為對(duì)網(wǎng)絡(luò)運(yùn)行的損害。它是一種綜合的網(wǎng)絡(luò)安全手段，主要包括：

1） 及時(shí)準(zhǔn)確地發(fā)現(xiàn)有害行為（入侵攻擊、病毒）：包括病毒/漏洞檢測(cè)、入侵檢測(cè)、防火墻等技術(shù)手段；

2） 對(duì)有害行為的合理、及時(shí)、自動(dòng)響應(yīng)：可以采用包括封鎖、隔離等手段，制止有害行為及避免其行為的擴(kuò)大；

3） 修復(fù)：幫助用戶恢復(fù)其已知漏洞、遭受攻擊而產(chǎn)生的損害。

這些方案也都體現(xiàn)著統(tǒng)一威脅管理(Unified Threat Management，UTM)的概念，UTM指由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能，它將多種安全特性集成于一個(gè)硬件設(shè)備之中，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。UTM設(shè)備可以減少與安全功能相關(guān)的采集，安裝，管理支出，確保企業(yè)網(wǎng)絡(luò)的連續(xù)性和可用性，為安全威脅提供有效的防御。UTM概念的提出，是對(duì)以往單薄的安全機(jī)制的一次深刻改變，主要體現(xiàn)在：

1） 用戶需求的整合。網(wǎng)絡(luò)的安全建設(shè)從發(fā)現(xiàn)問題后再修補(bǔ)的“產(chǎn)品疊加型”的被動(dòng)防御方式向以“風(fēng)險(xiǎn)管理”為核心的主動(dòng)防御進(jìn)行過渡；安全產(chǎn)品從“孤立”的產(chǎn)品形式向“集中管理”形式逐步過渡。

2） 技術(shù)的整合。一是硬件技術(shù)的發(fā)展，如ASIC、NP等硬件技術(shù)的快速發(fā)展促進(jìn)了安全技術(shù)的整合；二是多種安全技術(shù)的融合，如防火墻、VPN、IPS、防病毒、防垃圾郵件等在安全網(wǎng)關(guān)技術(shù)上的融合；防病毒、反間諜、防攻擊、IE監(jiān)控、VPN在終端上的融合等等。

參考文獻(xiàn)：

[1] 唐正軍.入侵檢測(cè)技術(shù)導(dǎo)論[M].北京:機(jī)械工業(yè)出版社，2004.

[2] 黎鷹，李亮.入侵檢測(cè)系統(tǒng)的現(xiàn)狀與發(fā)展[J].信息安全與通信保密，2006，(11):97-102.

[3] 羅敏，張煥國，王麗娜.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)人侵檢測(cè)技術(shù):研究綜述[J].計(jì)算機(jī)科學(xué)，2003.

[4] 崔曉垣.網(wǎng)絡(luò)入侵防御系統(tǒng)研究[J].信息安全與通信保密.2005，(03):109-111.