計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)發(fā)展

陳　杰

[摘要]計(jì)算機(jī)互聯(lián)網(wǎng)的爆炸式增長(zhǎng)以及基于因特網(wǎng)的電子商務(wù)的增加使得網(wǎng)絡(luò)安全成為網(wǎng)絡(luò)設(shè)計(jì)的一個(gè)重要因素。因此，開(kāi)展網(wǎng)絡(luò)安全特別是入侵攻擊與防范技術(shù)的研究，開(kāi)發(fā)急需的、高效實(shí)用的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和網(wǎng)絡(luò)信息的建設(shè)與應(yīng)用都具有重要意義。入侵檢測(cè)系統(tǒng)作為安全防御的第二道防線，是網(wǎng)絡(luò)防火墻的有益補(bǔ)充，它能夠用于檢測(cè)出各種形式的入侵行為，是安全防御體系的一個(gè)重要組成部分。

[關(guān)鍵詞]入侵檢測(cè) 網(wǎng)絡(luò)安全 分布式

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0520047－01

一、引言

隨著Internet的發(fā)展，網(wǎng)絡(luò)豐富的信息資源給用戶帶來(lái)了極大的方便，但同時(shí)也給上網(wǎng)用戶帶來(lái)了安全問(wèn)題。目前，網(wǎng)絡(luò)的攻擊手段越來(lái)越多，入侵手段也不斷更新。由于網(wǎng)絡(luò)的攻擊造成的損失是難以估量的，計(jì)算機(jī)網(wǎng)絡(luò)安全狀況不容樂(lè)觀。

為了解決這些安全問(wèn)題，各種安全機(jī)制、策略和工具被研究和應(yīng)用。入侵檢測(cè)正是其中之一，入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的發(fā)展

20世紀(jì)80年代已經(jīng)展開(kāi)了對(duì)入侵檢測(cè)技術(shù)的研究，發(fā)展至今已有近30年的歷程。根據(jù)所檢測(cè)數(shù)據(jù)的來(lái)源不同，入侵檢測(cè)技術(shù)經(jīng)歷了基于主機(jī)的入侵檢測(cè)技術(shù)、基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)和分布式入侵檢測(cè)技術(shù)三個(gè)發(fā)展時(shí)期。1980年，Jamesp. Anderson先生在《Computer Security Threat Monitoring and Surveiliance》中首次提出了入侵檢測(cè)的概念，由此開(kāi)始了對(duì)入侵檢測(cè)技術(shù)的研究[1]。

二、主機(jī)的入侵檢測(cè)技術(shù)

1987年，Dorothy Denning博士提出了入侵檢測(cè)系統(tǒng)（IDS）的抽象模型，模型主要由主體、對(duì)象、審計(jì)記錄、行為輪廓、異常記錄及活動(dòng)規(guī)則組成，這是一個(gè)入侵檢測(cè)系統(tǒng)的通用框架。在這篇文章中將入侵檢測(cè)技術(shù)與加密、認(rèn)證、訪問(wèn)控制等安全技術(shù)相比，肯定了入侵檢測(cè)對(duì)于保證系統(tǒng)安全的重要作用。這篇文獻(xiàn)可以看成是在入侵檢測(cè)技術(shù)的發(fā)展歷史中具有里程碑意義的重要論著。

1988年，Denning博士提出的模型由SRI International公司實(shí)現(xiàn)，稱之為入侵檢測(cè)專家系統(tǒng)。該系統(tǒng)可以用于檢測(cè)主機(jī)系統(tǒng)上發(fā)生的入侵行為，是一個(gè)與系統(tǒng)平臺(tái)無(wú)關(guān)的專家檢測(cè)系統(tǒng)。這也是日后的誤用檢測(cè)方法的系統(tǒng)原型。

后來(lái)入侵檢測(cè)的原型系統(tǒng)被陸續(xù)開(kāi)發(fā)，如下一代入侵檢測(cè)系統(tǒng)、Haystack系統(tǒng)等。在入侵檢測(cè)技術(shù)發(fā)展的初期，所檢測(cè)的數(shù)據(jù)都是主機(jī)系統(tǒng)的待審計(jì)數(shù)據(jù)，然而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，針對(duì)網(wǎng)絡(luò)的攻擊事件不斷發(fā)生，對(duì)入侵檢測(cè)技術(shù)的研究也隨之進(jìn)入了第二階段，即網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。

三、網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

1990年，由L.T. Heberlein 開(kāi)發(fā)了第一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視器，通過(guò)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)的監(jiān)聽(tīng)和采集，檢測(cè)所有數(shù)據(jù)包的包頭信息，分析可能出現(xiàn)的攻擊現(xiàn)象，從而達(dá)到對(duì)整個(gè)網(wǎng)段的入侵檢測(cè)和保護(hù)[2]。

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)通過(guò)分析數(shù)據(jù)包包頭信息、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接的各個(gè)特征屬性來(lái)檢測(cè)網(wǎng)絡(luò)中存在的入侵行為，區(qū)分正常網(wǎng)絡(luò)應(yīng)用和惡意攻擊。這種方法擴(kuò)展了入侵檢測(cè)技術(shù)的應(yīng)用范圍，同時(shí)由于采用的是監(jiān)聽(tīng)的方式獲取待檢測(cè)數(shù)據(jù)，沒(méi)有增加網(wǎng)絡(luò)負(fù)擔(dān)，也不會(huì)占用網(wǎng)絡(luò)上其他主機(jī)的資源。然而不論是基于主機(jī)的入侵檢測(cè)系統(tǒng)還是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，早期的結(jié)構(gòu)都是集中式的，數(shù)據(jù)采集模塊和數(shù)據(jù)分析模塊都位于同一臺(tái)機(jī)器上，這和網(wǎng)絡(luò)逐漸走向分布式、異構(gòu)性的趨勢(shì)并不符合。而且隨著分布式網(wǎng)絡(luò)攻擊的出現(xiàn)，分布式入侵檢測(cè)技術(shù)也應(yīng)運(yùn)而生。

四、分布式入侵檢測(cè)技術(shù)

1991年提出的分布式入侵檢測(cè)系統(tǒng)是第一個(gè)分布式的系統(tǒng)，它將主機(jī)入侵檢測(cè)和網(wǎng)絡(luò)入侵檢測(cè)結(jié)合，能適應(yīng)異構(gòu)環(huán)境。該系統(tǒng)由三個(gè)部分組成：主機(jī)管理單元、網(wǎng)絡(luò)管理單元和中央管理單元[3]。該系統(tǒng)利用位于不同地點(diǎn)的數(shù)據(jù)采集單元收集待檢測(cè)數(shù)據(jù)，進(jìn)行統(tǒng)一分析后，判斷被保護(hù)系統(tǒng)是否受到攻擊。雖然DIDS存在很多不足之處，但它畢竟是對(duì)分布式入侵檢測(cè)技術(shù)研究的有益嘗試。

為了克服分布檢測(cè)存在系統(tǒng)瓶頸的問(wèn)題，1996年提出的合作式安全管理器(Cooperating Security Manager，CSM)通過(guò)運(yùn)行于每臺(tái)主機(jī)之上的CSM單元合作檢測(cè)入侵行為。每個(gè)CSM單元都由本地入侵檢測(cè)單元、安全管理器、圖形用戶界面、入侵處理單元、命令監(jiān)視器和通信處理器組成。CSM實(shí)現(xiàn)了分布采集，分布決策的思想[4]。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和攻擊行為的協(xié)同性和分布式的趨勢(shì)，入侵檢測(cè)技術(shù)必然向著分布式檢測(cè)方向發(fā)展。

五、入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)

目前，入侵檢測(cè)系統(tǒng)的研究還處于一個(gè)不完善的階段，IDS遠(yuǎn)遠(yuǎn)沒(méi)有發(fā)展成熟，然而正是因?yàn)榇嬖谶@些問(wèn)題需要解

決，IDS的發(fā)展非常迅速，已經(jīng)出現(xiàn)了各種各樣的新技術(shù)，推動(dòng)今后的入侵檢測(cè)技術(shù)大致可朝下述三個(gè)方向發(fā)展：寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)；大規(guī)模分布式入侵檢測(cè)技術(shù)；智能化入侵檢測(cè)技術(shù)。

參考文獻(xiàn)：

[1]唐正軍，入侵檢測(cè)技術(shù)導(dǎo)論[M].北京：機(jī)械工業(yè)出版社，246-263.

[2]GenyDozier，DouglasBrown，JohnHurley.Vulnerability Analysis of AIS-BasedIntr Usio Deteetion Systems via Genetie and Partiele Swann Red Teams The Congresson Evolutionary ColnPutation，2004,l:111-116.

[3]信息技術(shù)研究中心，網(wǎng)絡(luò)信息安全新技術(shù)與標(biāo)準(zhǔn)規(guī)范實(shí)用手冊(cè)[M].第1版，北京：電子信息出版社，2004.

[4]Fabio A.Gonzalez,Dipankar Dasgupta.Anomaly Detection Using Real-Valued Negative Selection.GPEM2003resubm.tex,2003,(6):1-20.

作者簡(jiǎn)介：

陳杰（1981-），男，河南鄭州人，塔里木大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)工作，助教。