入侵檢測技術(shù)的研究

張 帥，白 偉

(太原廣播電視大學(xué)，山西 太原 030002)

入侵檢測是在考慮網(wǎng)絡(luò)環(huán)境安全的基礎(chǔ)上提出的，是一種能夠積極主動地對網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)測、防御或防止系統(tǒng)內(nèi)外入侵行為發(fā)生的網(wǎng)絡(luò)安全技術(shù)。與常用的安全防御技術(shù)比較，入侵檢測技術(shù)對網(wǎng)絡(luò)入侵行為能夠積極處理，具有智能監(jiān)測、實時監(jiān)控、自動響應(yīng)、配置簡單的特點。入侵檢測技術(shù)就是對入侵過程的檢測，它可以對系統(tǒng)安全日志、網(wǎng)絡(luò)異常行為、審計數(shù)據(jù)進(jìn)行實時分析，也可以對網(wǎng)絡(luò)數(shù)據(jù)信息以及系統(tǒng)中的重要數(shù)據(jù)進(jìn)行收集整理，以此來檢查系統(tǒng)中存在的安全隱患和破壞系統(tǒng)安全的行為。入侵檢測通過主動的安全防御技術(shù)對誤操作以及系統(tǒng)內(nèi)外攻擊提供實時保護，在系統(tǒng)遭到網(wǎng)絡(luò)攻擊時，能夠進(jìn)行積極的響應(yīng)、阻止惡意的入侵行為。所以，在網(wǎng)絡(luò)通信的實時安全性方面，入侵檢測技術(shù)具有不可取代的地位。從20世紀(jì)90年代至今，入侵檢測方法出現(xiàn)了突飛猛進(jìn)的發(fā)展，在分列式、實時檢測以及智能計算等多個方面取得了一定的成果。

一、入侵檢測模型

1986年P(guān)eterNeumann等研究并提出最早的入侵檢測模型（IDS）。該系統(tǒng)模型的構(gòu)成部分如圖1所示。

圖1 IDS檢測模型

此模型的缺點是沒有包含攻擊方面的知識和已經(jīng)存在的系統(tǒng)漏洞，又由于入侵檢測模型不具備兼容性，因此兩個不同入侵檢測模型在一個計算機系統(tǒng)內(nèi)不能共存，多個入侵檢測模塊之間也不能夠共享數(shù)據(jù)，彌補現(xiàn)有的系統(tǒng)的不足之處、改進(jìn)計算機系統(tǒng)的功能就必須重構(gòu)整個入侵檢測模型。因此，為了實現(xiàn)不同系統(tǒng)的兼容性與相互共存，提出公共入侵檢測框架(CIDF)。

圖2 CIDF檢測模型

CIDF的模型如圖2所示，其構(gòu)成要素主要有四個部分。在CIDF檢測模型中，分析的網(wǎng)絡(luò)信息被稱為事件。其可以是計算機網(wǎng)絡(luò)中的數(shù)據(jù)信息，或者是系統(tǒng)中通過其他方法得到的數(shù)據(jù)。事件的產(chǎn)生器主要負(fù)責(zé)收集事件，這些事件主要來自于除IDS檢測模型以外的部分，并將其變換成CIDF可以識別的文件形式，再將這些文件信息傳輸?shù)絼e的功能模塊；分析器主要負(fù)責(zé)分析由其他的構(gòu)成組件得到的數(shù)據(jù)包，給出分析結(jié)果數(shù)據(jù)包，并將結(jié)果數(shù)據(jù)包再繼續(xù)發(fā)送傳遞給其他的構(gòu)成部分；響應(yīng)單元是一種功能單元，主要負(fù)責(zé)對分析結(jié)果的數(shù)據(jù)包做出相應(yīng)的反應(yīng)，對接收到的數(shù)據(jù)包進(jìn)行處理，可以切斷接通渠道、更改信息屬性，或者給予警示告知；事件的信息數(shù)據(jù)庫用于存放不同階段獲得的信息數(shù)據(jù)，其組成既可以是比較復(fù)雜的數(shù)據(jù)，或者是較為普通的文本文件。入侵檢測模型具有較為強大的拓展性和靈活性，已經(jīng)得到了較為廣泛的認(rèn)可和應(yīng)用。

二、入侵檢測技術(shù)分類

通過對現(xiàn)有入侵檢測系統(tǒng)的研究，并結(jié)合近些年出現(xiàn)的人工免疫方法、遺傳算法、數(shù)據(jù)挖掘等新型的檢測技術(shù)，將入侵檢測模型分為異常檢測、誤用檢測和混合檢測三種。

1.異常檢測

異常檢測是指觀察數(shù)據(jù)通信中的不正常的活動。一般來說，系統(tǒng)出現(xiàn)異常的行為并不代表一定有入侵活動存在，但是當(dāng)有入侵活動發(fā)生時，系統(tǒng)中一定會出現(xiàn)異常的現(xiàn)象。比如，當(dāng)監(jiān)視一個系統(tǒng)調(diào)用，發(fā)現(xiàn)偏離了正常運行模式時，則系統(tǒng)中一定存在入侵行為；或者是發(fā)現(xiàn)系統(tǒng)用戶發(fā)生了非正常的調(diào)用、非正常的登錄行為，則表明系統(tǒng)存在入侵活動。根據(jù)檢測規(guī)則，異常檢測具有檢測未知攻擊特征入侵活動的優(yōu)點，但是其錯誤報警行為是不可避免的。如何最低限度地降低誤報率，有待做進(jìn)一步的研究。圖3為典型的異常檢測系統(tǒng)模型。

圖3 典型異常檢測系統(tǒng)

2.誤用檢測

誤用檢測技術(shù)是根據(jù)已有的入侵活動特征發(fā)展起來的一種檢測技術(shù)，也稱為特征校對檢測。首先要對不合法或惡意的行為特征進(jìn)行定義，并將這些行為的特征分類總結(jié)建立數(shù)據(jù)庫。將獲取的網(wǎng)絡(luò)數(shù)據(jù)信息特征與數(shù)據(jù)庫中的信息特征進(jìn)行比對，如果出現(xiàn)數(shù)據(jù)信息特征比對結(jié)果一致，則說明網(wǎng)絡(luò)系統(tǒng)中存在入侵活動；如果未存在對比一致的特征信息，則有可能是正常的網(wǎng)絡(luò)活動，但也有可能是未被添加到入侵活動特征信息數(shù)據(jù)庫中的入侵特征，且入侵活動的特征信息數(shù)據(jù)庫的建立和完善滯后于入侵特征的變換和發(fā)展，因此誤用檢測存在漏檢的情況。圖4是典型誤用檢測系統(tǒng)。

圖4 典型誤用檢測系統(tǒng)

3.混合檢測

如今的入侵活動逐漸趨于多樣性，并且大多數(shù)的入侵活動具有黑客攻擊、混合攻擊的特征。且由于異常檢測存在誤報行為、檢測率相對較低和誤用檢測存在漏檢行為，因此，使用單一的入侵檢測技術(shù)（異常檢測或者誤用檢測）很難有效地完成入侵檢測的任務(wù)。結(jié)合異常檢測和誤用檢測進(jìn)行取長補短，可以彌補兩種單一檢測方法的不足，因而在此基礎(chǔ)上提出了混合檢測。該檢測方案既可以對未知的入侵特征進(jìn)行檢測，也可以減低檢測的誤報率，最終提高了入侵檢測的效率。

三、入侵檢測技術(shù)的特點

針對網(wǎng)絡(luò)系統(tǒng)的攻擊方法的復(fù)雜性和多樣性，并隨著科學(xué)技術(shù)的不斷發(fā)展，入侵檢測技術(shù)也有了快速的發(fā)展。未來入侵檢測主要呈現(xiàn)出以下特點：

1.實時檢測

實時入侵檢測主要是根據(jù)系統(tǒng)的日常行為活動規(guī)律以及異常特征數(shù)據(jù)庫信息對系統(tǒng)的活動進(jìn)行監(jiān)測，當(dāng)檢測到入侵行為，立即采取措施，切斷主機與外界的連接，并對計算機數(shù)據(jù)進(jìn)行積極恢復(fù)，未來入侵檢測首要特點即為高速的檢測效率。因此，首先要優(yōu)化內(nèi)部組成和檢測算法，提高系統(tǒng)的運行速度。其次，高速網(wǎng)絡(luò)協(xié)議的提出與實施。

2.分布式檢測

分布式檢測技術(shù)結(jié)合了基于主機和網(wǎng)絡(luò)檢測系統(tǒng)的優(yōu)點，該系統(tǒng)由傳感器、局域網(wǎng)管理器和中央數(shù)據(jù)處理器三部分組成。傳感器負(fù)責(zé)采集與主機相關(guān)的有用數(shù)據(jù)，局域網(wǎng)管理器負(fù)責(zé)對局域網(wǎng)內(nèi)數(shù)據(jù)流量進(jìn)行采集，并最終將采集的數(shù)據(jù)傳送到中央處理器，由該處理器完成數(shù)據(jù)的分析和入侵檢測的工作。

3.智能計算的檢測

入侵檢測的智能化是基于計算智能的理論及方法，尤其是對異常檢測，通過對檢測對象的特征進(jìn)行學(xué)習(xí)，并將分析的數(shù)據(jù)結(jié)果進(jìn)行建模。另外一種常用的入侵檢測方法是利用專家系統(tǒng)，通過拓展與更新知識庫，使得專家系統(tǒng)具備了自學(xué)習(xí)的特征，從而不斷地加強入侵檢測系統(tǒng)的防御攻擊能力，使得應(yīng)用前景更為廣泛。

4.入侵檢測的響應(yīng)技術(shù)

入侵檢測的響應(yīng)技術(shù)是指在分析出非法活動或發(fā)生非法活動之后，采取一定的處理方式或者采取一定的方式告知操作員。入侵檢測的響應(yīng)由主動響應(yīng)和被動響應(yīng)組成，其中被動響應(yīng)又分為報警響應(yīng)和手動響應(yīng)的方式。報警響應(yīng)和手動響應(yīng)方式只是進(jìn)行被動式記錄和處理入侵檢測行為，因此主要的研究方向為主動式響應(yīng)技術(shù)。主動式的響應(yīng)技術(shù)的發(fā)展將對計算機網(wǎng)絡(luò)的安全提供強有力的保障。目前主動式檢測技術(shù)的商業(yè)用途仍處于萌芽階段，僅僅在科研和研發(fā)機構(gòu)得到一些應(yīng)用，但隨著人們對網(wǎng)絡(luò)安全要求的不斷提高，高效、自動的入侵響應(yīng)技術(shù)將得到更加廣泛的應(yīng)用。

[1]卿斯?jié)h,蔣建春等.網(wǎng)絡(luò)安全入侵檢測研究綜述 [J].通信學(xué)報，2004，（7）:19-29.

[2]李鴻培.入侵檢測中幾個關(guān)鍵問題的研究[D].西安電子科技大學(xué)博士學(xué)位論文，2001.

[3]郭曉淳，吳杰宏等.入侵檢測綜述[J].沈陽航空工業(yè)學(xué)院學(xué)報，2001,（4）:67-70.

[4]王艷華,馬志強,臧露等.入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].信息技術(shù)，2009，（6）:41-44.

[5]畢戰(zhàn)科,許勝禮.入侵檢測技術(shù)的研究現(xiàn)狀及其發(fā)展[J].軟件導(dǎo)刊，2010，(11):152-154.