入侵檢測的發(fā)展研究

中圖分類號：TP393.08 文獻標識碼：A

摘要：現今入侵檢測系統(tǒng)（IDS）已經成為了構建大型網絡的必備組件。盡管如此，網絡安全事件還是頻頻發(fā)生，近年來許多的數據泄露丑聞吸引了公眾的眼球的同時，其他的攻擊比如斯達克蠕蟲攻擊成為了人們熱議的焦點。一方面，隨著商業(yè)廣告在互聯網上的成功和網絡攻擊能在一個相對安全的距離發(fā)動，吸引了網絡犯罪者的注意，僅在過去幾年的時間里就形成了一個高達數十億美元的網絡犯罪市場。另一方面，越來越多的服務器和系統(tǒng)移植到了互聯網中，比如IP電話和視頻點播服務器，這就為攻擊者提供了一個新的潛在攻擊角度。文章介紹了當前入侵檢測系統(tǒng)的綜述并且指出了它們的不足，分析了最新的安全威脅和即將到來的威脅，最后鑒定出了下一代IDS的需求和最近的研究熱點以及未決問題。

關鍵詞：入侵檢測 ； 入侵防御 ； 數據泄露防護 ； 早期預警

引言

入侵檢測系統(tǒng)經過20多年的發(fā)展已經成為了大型網絡不可缺少的組件。1980年Anderson首先提出了入侵檢測的概念，他將入侵嘗試或威脅定義為：潛在的、有預謀的、未經授權的訪問信息、操作信息，致使系統(tǒng)不可靠或無法使用的企圖[1]。IDS是為了保證計算機系統(tǒng)的安全而設計并配置的一種能夠及時發(fā)現報告系統(tǒng)中未授權現象或異常現象的安全體系，是一種檢測計算機網絡和系統(tǒng)中違反安全策略行為的系統(tǒng)[2]。

1.當前面臨的威脅

隨著計算機網絡技術的發(fā)展，網絡攻擊的手法和攻擊的范圍都改變了很多。通過蠕蟲傳播構建僵尸網絡，控制成千上萬的“肉雞”，傳播垃圾郵件或進行分布式拒絕服務攻擊成為現今比較流行的攻擊方式。而網絡攻擊的方向還是有跡可循的，通過賽門鐵克公司2013年的網絡安全報告[3]，總結出了以下幾種新興的威脅和傾向：

1.1新的和未知攻擊（面向新的服務器和設備）。隨著互聯網規(guī)模的擴大，大量的服務器和設備遷入互聯網，這就給攻擊者創(chuàng)造了一個新的潛在攻擊角度。通過這些新的攻擊節(jié)點所發(fā)起的攻擊往往難以追根溯源，也很難被檢測到。

1.2零日攻擊 。一般應用程序的升級包和補丁程序都是定期發(fā)布的，所以由此產生的零日攻擊近年來迅速增加。加之用戶安全意識不高對補丁和程序升級不敏感，這就留下了更多的安全隱患。

1.3社交工程學和定向的攻擊。最近的趨勢顯示，定向攻擊的比例正在增加。在社交網站、微博上充斥大量的個人信息，攻擊者通過社會工程學的方法在公司主頁和社交網站上獲得有用信息來制造攻擊。以好友名義或最新的社交網站活動等帶有欺騙性質的木馬郵件，更能使被攻擊者放松警惕，提升感染目標系統(tǒng)的幾率。

1.4內部威脅。把帶有木馬的移動存儲介質接入目標電腦，木馬就會自動安裝。在這種脫機傳播方式下，后門程序也就繞過了原有的安全系統(tǒng)和網絡數據監(jiān)控系統(tǒng)。在這種方式下，對專網、VPN的攻擊成為了可能。

1.5數據泄露。主動的內部泄露，成為了現在最具挑戰(zhàn)性的危害之一。往往都是由內部的管理人員或公司的內部員工發(fā)起的，應為只有這些人才能得到授權接近一些敏感信息和機密數據。去年80%的數據泄露事件是主動泄密造成的。

1.6加密攻擊。隨著2011年2月最后一塊IPv4地址被最后分配， IPV6技術逐漸深入應用，采用加密技術完成木馬通信成為了新的趨勢，加密隧道技術為數據傳輸提供安全保證的同時又增加了木馬傳輸的隱蔽性。

1.7用戶安全意識不足。系統(tǒng)軟件廠商通常都會將補丁推遲到固定的補丁日來進行發(fā)布：程序的升級只能定期進行。如果不能及時更新安全機制打上補丁，就給攻擊者提供了一個明確的攻擊漏洞。

2.現有系統(tǒng)及其缺陷

2.1基于特征的檢測系統(tǒng)?；谔卣鳈z測要構建一個特征庫，使用字符串匹配技術來鑒別已知的惡意代碼。為了獲得可以接受的誤警率，必須依靠主機和服務器強勁的配置。但是要完整而徹底的完成對系統(tǒng)和服務器的配置是比較復雜的，需要很多的時間。而且如果需要進行一些配置修改比如升級對系統(tǒng)效率影響會很大，所以特征監(jiān)測在大型網絡中的應用往往不成功。

2.2基于行為的檢測系統(tǒng)?；诋惓Ｐ袨榈南到y(tǒng)沒有特征庫，而是采用建立行為模型來進行審計。所以如何構造精確的網絡行為模型是當前的一個活躍的研究領域。因為一些被許可的未知用戶行為經常會被誤判為入侵行為，這樣就造成了很高的誤警率。

2.3數據泄露保護和早期預警系統(tǒng)。同時早期預警系統(tǒng)（EWS）也正在建立當中，和IDS相比EWS規(guī)模更大，監(jiān)測的數據來源分布在整個互聯網。如果某個單個子網的攻擊被發(fā)現，EWS就會快速通知其他的子網。這樣新的蠕蟲的攻擊，就會在早期得以控制。EWS收集世界各地電腦提供的網絡異常信息。通過驗證統(tǒng)一地區(qū)的多個用戶如果都出現了同樣的問題，就發(fā)出網絡攻擊警報。但是缺陷在于會產生巨大的網絡流量，這樣的設計只適用于大型的網絡系統(tǒng)。

通過分析現有的系統(tǒng)還不能應對新的威脅的發(fā)展趨勢，下面總結了現有的IDS的一些不足：

（1）配置復雜；（2）對零日攻擊監(jiān)測能力不足；（3）特征庫升級緩慢；（4）帶寬的上升和數據量的增加；（5）數據庫的增大；（6）無法應對應用層的加密攻擊；（7）無法應對加密網絡連接。

3.新的系統(tǒng)需求

根據當前IDS的不足和安全威脅的發(fā)展趨勢，下一代的IDS需要滿足以下需求：

（1）采用基于行為的分析系統(tǒng)。隨著零日攻擊、定向攻擊和加密通信的增加，特征分析在入侵監(jiān)測中的作用已經不明顯了。隨著越來越多的移動設備如智能手機、平板電腦等加入網絡，這些移動終端都是采用電池供電，有限的電池容量無法完成大量的特征分析計算。而使用行為監(jiān)測方式支持對新威脅的檢測。

（2）放棄學習階段。由于在學習過程中的安全威脅無法保證學習環(huán)境的純潔性，所以這個階段最好被去除掉?？梢圆捎脽o人監(jiān)管的學習技術或其他的途徑代替這一過程。比如：數據挖掘和神經網絡等方向都再進行相應研究。

（3）取消載荷檢驗

（4）采用代理完成審計。新的IDS還是應該以網絡為中心，一方面，分布式的復雜攻擊，只能被網絡系統(tǒng)確認。另一方面對許多主機系統(tǒng)的管理容易出錯，管理復雜化造成可擴展性差。所以，主機系統(tǒng)應該作為網絡系統(tǒng)的補充來使用，而傳統(tǒng)的審計工作可以交由代理服務器來完成。

（5）交叉評價和分布式

為了降低系統(tǒng)誤警率，我們可以把自身的入口數據流和其它系統(tǒng)異常檢測警報的數據進行分布式和交叉評價，在應對已知攻擊的基礎上，增強應對未知異常行為和零日攻擊的能力。

（6）積極的自主防御

系統(tǒng)必須具備智能處理相關情況的能力。未來的網絡通信，數據量大、傳輸速度快不允許手動配置。而且，在DLP領域，數據泄露響應越早越好。

4.系統(tǒng)改進和研究方向

下一代的IDS并不局限于一個單個入侵檢測功能，而應由三個部分結合組成：早期預警、外部檢測和內部檢測。早期預警系統(tǒng)遍布全網絡，通過跨網域的異常行為的交叉分析，就能檢測到新的入侵行為，通知并保護其他未被感染的網絡。主要功能是用來應對未知的攻擊。外部檢測的功能是由NIDS來執(zhí)行的。多種檢測技術被整合起來。通過對網絡數據流的行為分析，用來檢測未知的威脅。使用無人監(jiān)管的方式來獲得必要的行為模型，避免學習階段威脅的產生。如果學習階段不能完全去掉，用直接學習惡意代碼也是可行的，前提是惡意代碼庫最新。采用交叉分析的方式降低誤警率。以主機方式的傳統(tǒng)審計來應對加密方式的通信。另外，用專有的基于主機的自治代理來輔助審計。

參考文獻：

[1]Anderson J P.computer security threat monitoring and surveillance [p].PA 19034，USA，1980.04

[2]唐正軍， 李建華編著. 入侵檢測技術[ M ]. 北京： 清華大學出版社， 2004.

[3]Symantec Report on Attack Kits and Malicious Websites， 2013

[4]Sperotto， A.， Schaffrath， G.， Sadre， R.， Morariu， C.， Pras， A.， Stiller， B.， An Overview of IP Flow-based Intrusion Detection， IEEE Survey and Tutorials， Third Issue， 2010

[5]Mohd Fadzli Marhusin， David Cornforth， Henry Larkin， An Overview of Recent Advances in Intrusion Detection， Computer and Information Technology， 2008. CIT 2008. 8th IEEE International Conference on

[6]戴云，范志平. 入侵檢測系統(tǒng)研究綜述[J].計算機工程與運用，2004.17-19.75

[7]蘭義華， 張穎江， 錢濤. 入侵檢測技術的分析與發(fā)展趨勢研究[J]. 網絡安全技術與應用，2005.38- 40