入侵檢測(cè)系統(tǒng)新技術(shù)介紹

蘇家洪

(北京信息職業(yè)技術(shù)學(xué)院，北京 100018）

引言

隨著計(jì)算機(jī)和因特網(wǎng)的普及與應(yīng)用，大量的個(gè)人、企業(yè)與政府機(jī)構(gòu)信息開始保存在計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)器中，這就對(duì)信息安全提出了更高要求，對(duì)安全解決方案的需求與日俱增?，F(xiàn)有的網(wǎng)絡(luò)、信息安全解決方案中最常用的就是防火墻。傳統(tǒng)意義上依靠防火墻建立網(wǎng)絡(luò)組織結(jié)構(gòu)，常常是“外緊內(nèi)松”，能夠有效阻止外部人員的入侵，但對(duì)內(nèi)部人員所做的攻擊卻無能為力。而入侵檢測(cè)系統(tǒng)的成功研發(fā)與應(yīng)用，是對(duì)防火墻缺陷的有益補(bǔ)充。

1 入侵檢測(cè)系統(tǒng)（IDS）

入侵的含義，從廣義上講，包括攻擊發(fā)起者通過非正常手段取得合法的計(jì)算機(jī)系統(tǒng)控制權(quán)，也包括攻擊者利用收集到的漏洞信息，惡意的對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)造成拒絕訪問、使用等危害的行為。而入侵檢測(cè)，便是發(fā)覺、發(fā)現(xiàn)入侵行為的過程。它通常是通過對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)中若干個(gè)關(guān)鍵點(diǎn)進(jìn)行信息收集，以此來判斷、分析、發(fā)現(xiàn)計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)中存在的違反安全規(guī)定、安全策略的行為或者曾被攻擊過的跡象。能夠?qū)崿F(xiàn)上述功能的軟件、硬件或者它們的組合，即是所謂的入侵檢測(cè)系統(tǒng)（IDS）。與其他計(jì)算機(jī)、網(wǎng)絡(luò)安全產(chǎn)品不同，入侵檢測(cè)系統(tǒng)更多的具有智能特點(diǎn)，它可以對(duì)收集的數(shù)據(jù)進(jìn)行分析、判斷，進(jìn)而得出有用的結(jié)果。有效的入侵檢測(cè)系統(tǒng)能夠簡(jiǎn)化、降低計(jì)算機(jī)和網(wǎng)絡(luò)管理人員的工作程序和工作量，

2 IDS新技術(shù)介紹

2.1 數(shù)據(jù)分析協(xié)同

入侵檢測(cè)不僅需要利用模式匹配和異常檢測(cè)技術(shù)來分析某個(gè)檢測(cè)引擎所采集的數(shù)據(jù)，以發(fā)現(xiàn)一些簡(jiǎn)單的入侵行為，還需要在此基礎(chǔ)上利用數(shù)據(jù)挖掘技術(shù)，分析多個(gè)檢測(cè)引擎提交的審計(jì)數(shù)據(jù)以發(fā)現(xiàn)更為復(fù)雜的入侵行為。

理論上講，任何網(wǎng)絡(luò)入侵行為都能夠被發(fā)現(xiàn)，因?yàn)榫W(wǎng)絡(luò)流量和主機(jī)日志記錄了入侵的活動(dòng)。數(shù)據(jù)分析協(xié)同需要在兩個(gè)層面上進(jìn)行，一是對(duì)一個(gè)檢測(cè)引擎采集的數(shù)據(jù)進(jìn)行協(xié)同分析，綜合使用檢測(cè)技術(shù)，以發(fā)現(xiàn)較為常見的、典型的攻擊行為;二是對(duì)來自多個(gè)檢測(cè)引擎的審計(jì)數(shù)據(jù)，利用數(shù)據(jù)挖掘技術(shù)進(jìn)行分析，以發(fā)現(xiàn)較為復(fù)雜的攻擊行為?？己薎DS數(shù)據(jù)分析能力可以從準(zhǔn)確、效率和可用性三方面進(jìn)行。基于這一點(diǎn)，可以認(rèn)為，檢測(cè)引擎是完成第一種數(shù)據(jù)分析協(xié)同的最佳地點(diǎn)，中心管理控制平臺(tái)則是完成第二種數(shù)據(jù)分析協(xié)同的最佳地點(diǎn)。

當(dāng)檢測(cè)引擎面對(duì)并非單一的數(shù)據(jù)時(shí)，綜合使用各種檢測(cè)技術(shù)就顯得十分重要。從攻擊的特征來看，有的攻擊方法使用異常檢測(cè)來檢測(cè)會(huì)很容易，而有的攻擊方法使用模式匹配來檢測(cè)則很簡(jiǎn)單。因此，對(duì)檢測(cè)引擎的設(shè)計(jì)來說，首先需要確定檢測(cè)策略，明確哪些攻擊行為屬于異常檢測(cè)的范疇，哪些攻擊屬于模式匹配的范疇。中心管理控制平臺(tái)執(zhí)行的是更為高級(jí)的、復(fù)雜的入侵檢測(cè)，它面對(duì)的是來自多個(gè)檢測(cè)引擎的審計(jì)數(shù)據(jù)。它可就各個(gè)區(qū)域內(nèi)的網(wǎng)絡(luò)活動(dòng)情況進(jìn)行“相關(guān)性”分析，其結(jié)果為下一時(shí)間段及檢測(cè)引擎的檢測(cè)活動(dòng)提供支持。例如黑客在正式攻擊網(wǎng)絡(luò)之前，往往利用各種探測(cè)器分析網(wǎng)絡(luò)中最脆弱的主機(jī)及主機(jī)上最容易被攻擊的漏洞，在正式攻擊之時(shí)，因?yàn)楹诳偷摹肮魷?zhǔn)備”活動(dòng)記錄早已被系統(tǒng)記錄，所以IDS就能及時(shí)地對(duì)此攻擊活動(dòng)做出判斷。目前，在這一層面上討論比較多的方法是數(shù)據(jù)挖掘技術(shù)，它通過審計(jì)數(shù)據(jù)的相關(guān)性發(fā)現(xiàn)入侵，能夠檢測(cè)到新的進(jìn)攻方法。

傳統(tǒng)數(shù)據(jù)挖掘技術(shù)的檢測(cè)模型是離線產(chǎn)生的，就像完整性檢測(cè)技術(shù)一樣，這是因?yàn)閭鹘y(tǒng)數(shù)據(jù)挖掘技術(shù)的學(xué)習(xí)算法必須要處理大量的審計(jì)數(shù)據(jù)，十分耗時(shí)。但是，有效的IDS必須是實(shí)時(shí)的。而且，基于數(shù)據(jù)挖掘的IDS僅僅在檢測(cè)率方面高于傳統(tǒng)方法的檢測(cè)率是不夠的，只有誤報(bào)率也在一個(gè)可接受的范圍內(nèi)時(shí)，才是可用的。

美國哥倫比亞大學(xué)提出了一種基于數(shù)據(jù)挖掘的實(shí)時(shí)入侵檢測(cè)技術(shù)，證明了數(shù)據(jù)挖掘技術(shù)能夠用于實(shí)時(shí)的IDS。其基本框架是:首先從審計(jì)數(shù)據(jù)中提取特征，以幫助區(qū)分正常數(shù)據(jù)和攻擊行為;然后將這些特征用于模式匹配或異常檢測(cè)模型;接著描述一種人工異常產(chǎn)生方法，來降低異常檢測(cè)算法的誤報(bào)率;最后提供一種結(jié)合模式匹配和異常檢測(cè)模型的方法。實(shí)驗(yàn)表明，上述方法能夠提高系統(tǒng)的檢測(cè)率，而不會(huì)降低任何一種檢測(cè)模型的效能。在此技術(shù)基礎(chǔ)上，實(shí)現(xiàn)了數(shù)據(jù)挖掘的實(shí)時(shí)IDS則是由引擎、檢測(cè)器、數(shù)據(jù)倉庫和模型產(chǎn)生四部分構(gòu)成。其中，引擎觀察原始數(shù)據(jù)并計(jì)算用于模型評(píng)估的特征;檢測(cè)器獲取引擎的數(shù)據(jù)并利用檢測(cè)模型來評(píng)估它是否是一個(gè)攻擊;數(shù)據(jù)倉庫被用作數(shù)據(jù)和模型的中心存儲(chǔ)地;模型產(chǎn)生的主要目的是為了加快開發(fā)以及分發(fā)新的入侵檢測(cè)模型的速度。

2.2 響應(yīng)協(xié)同

前面已經(jīng)論述，由于IDS在網(wǎng)絡(luò)中的位置決定了其本身的響應(yīng)能力相當(dāng)有限，響應(yīng)協(xié)同就是IDS與有充分響應(yīng)能力的網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)安全設(shè)備集成在一起，構(gòu)成響應(yīng)和預(yù)警互補(bǔ)的綜合安全系統(tǒng)。響應(yīng)協(xié)同主要包含下面的幾個(gè)方面。

1）IDS與防火墻的協(xié)同：

防火墻與IDS可以很好的互補(bǔ)。這種互補(bǔ)體現(xiàn)在靜態(tài)和動(dòng)態(tài)兩個(gè)層面上。靜態(tài)的方面是IDS可以通過了解防火墻的策略，對(duì)網(wǎng)絡(luò)上的安全事件進(jìn)行更有效的分析，從而實(shí)現(xiàn)準(zhǔn)確的報(bào)警，減少誤報(bào)；動(dòng)態(tài)的方面是當(dāng)IDS發(fā)現(xiàn)攻擊行為時(shí)，可以通知防火墻對(duì)已經(jīng)建立的連接進(jìn)行有效的阻斷，同時(shí)通知防火墻修改策略，防止?jié)撛诘倪M(jìn)一步攻擊的可能性。

2）IDS與路由器、交換機(jī)的協(xié)同

由于交換機(jī)和路由器防火墻一樣，一般串接在網(wǎng)絡(luò)上。同時(shí)都有預(yù)定的策略，可以決定網(wǎng)絡(luò)上的數(shù)據(jù)流，所以IDS與交換機(jī)、路由器的協(xié)同和與IDS同防火墻的協(xié)同非常相似，都有動(dòng)態(tài)和靜態(tài)兩個(gè)方面，過程也大致相同，這里不作詳細(xì)的論述。

結(jié)束語

入侵的行為千變?nèi)f化；入侵檢測(cè)的手段也要隨機(jī)應(yīng)變。為了發(fā)現(xiàn)入侵；我們要有機(jī)地把數(shù)據(jù)分析協(xié)同、響應(yīng)協(xié)同、IDS與交換機(jī)、路由器的協(xié)同及IDS同防火墻的協(xié)同等等入侵檢測(cè)技術(shù)結(jié)合在一起，以有效地抵御入侵。

[1]肖海明.基于數(shù)據(jù)降維和支持向量機(jī)的入侵檢測(cè)方法研究[D].河北：華北電力大學(xué)2010.

[2]譚偉.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)架構(gòu)的研究[D].武漢：武漢理工大學(xué)，2010年.

[3]高朝勤，陳元琰，李梅.入侵檢測(cè)中的自適應(yīng)模式匹配技術(shù)[J].計(jì)算機(jī)工程，2009年06期.