淺談網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

摘 要：網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)的等多門學(xué)科的綜合科學(xué)，傳統(tǒng)的網(wǎng)絡(luò)安全檢測(cè)技術(shù)包括防火墻技術(shù)、加密技術(shù)、病毒防護(hù)技術(shù)等，但這些技術(shù)實(shí)現(xiàn)的卻是一種較為被動(dòng)的防護(hù)，其網(wǎng)絡(luò)安全防護(hù)能力遠(yuǎn)遠(yuǎn)不能滿足安全需求。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是近年來發(fā)展較快的網(wǎng)絡(luò)安全技術(shù)之一，它具有為系統(tǒng)提供實(shí)時(shí)的入侵檢測(cè)的能力，并且能夠有效阻止系統(tǒng)內(nèi)部的攻擊。本文簡(jiǎn)要介紹了入侵檢測(cè)的概念、入侵檢測(cè)系統(tǒng)的分類以及入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)，并對(duì)幾種常用的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行了探討。

關(guān)鍵詞：概念；分類；執(zhí)行任務(wù)；檢測(cè)技術(shù)

一、入侵檢測(cè)的概念

入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢測(cè)網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

二、入侵檢測(cè)系統(tǒng)的分類

入侵檢測(cè)系統(tǒng)（Intrusion Detection System，簡(jiǎn)稱IDS）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備，依據(jù)不同研究角度，有以下分類方式：

基于信息來源不同，可分為基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以及分布式入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)主要以用戶訪問主機(jī)的行為信息作為信息分析來源，適用于加密和交換環(huán)境；基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以所截獲的數(shù)據(jù)包流量信息作為檢測(cè)分析來源，在與主機(jī)基結(jié)合的入侵檢測(cè)系統(tǒng)中，一般可用于入侵預(yù)警；分布式入侵檢測(cè)系統(tǒng)采用分布架構(gòu)，其分布在網(wǎng)絡(luò)不同位置的探測(cè)點(diǎn)將收集到得信息發(fā)送給中央探測(cè)點(diǎn)，以此來判斷是否發(fā)生入侵。

基于檢測(cè)分析方法不同，可分為濫用檢測(cè)入侵檢測(cè)系統(tǒng)與異常檢測(cè)入侵檢測(cè)系統(tǒng)。濫用檢測(cè)，又稱為基于規(guī)則的入侵檢測(cè)，主要對(duì)已知攻擊行為或與已知攻擊行為類似的行為進(jìn)行檢測(cè)。濫用檢測(cè)的分析機(jī)制依賴于攻擊方法或特征庫的建立，它能準(zhǔn)確的檢測(cè)到某些特定攻擊，但對(duì)未知攻擊卻無能為力。其不足主要體現(xiàn)在以下方面：不能檢測(cè)未知攻擊及攻擊變體、已經(jīng)建立的特征庫無法自動(dòng)獲取與更新、當(dāng)特征庫較大時(shí)，運(yùn)行效率低；異常檢測(cè)，又稱為基于行為的入侵檢測(cè)，是通過建立正常行為模式，通過發(fā)現(xiàn)異常行為來檢測(cè)攻擊。

三、入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)

所謂IDS就是一個(gè)能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的系統(tǒng)，它能夠發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象，為網(wǎng)絡(luò)安全管理提供有價(jià)值的信息。IDS執(zhí)行的主要任務(wù)是：（1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；（2）對(duì)系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；（3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；（4）異常行為模式的統(tǒng)計(jì)分析；（5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

四、入侵檢測(cè)技術(shù)

1.基于專家系統(tǒng)的濫用檢測(cè)系統(tǒng)。在濫用檢測(cè)中，入侵過程模型及其在攻擊過程中留下的蹤跡是決策的基礎(chǔ)。將專家系統(tǒng)用于入侵檢測(cè)系統(tǒng)，就是依據(jù)專家知識(shí)定義入侵特征，再將被觀察對(duì)象與該特征進(jìn)行比較，分析是否為入侵行為。專家系統(tǒng)主要功能模塊如下：

檢測(cè)知識(shí)庫：用于存放規(guī)則；推理機(jī)：用于模擬專家思維過程；數(shù)據(jù)庫：用于存放獲取及中間過程產(chǎn)生的數(shù)據(jù)；解釋接口：用于對(duì)系統(tǒng)行為作出解釋并記錄推理過程。

專家系統(tǒng)采用基于規(guī)則的方法檢測(cè)已知的入侵檢測(cè)。規(guī)則包括前件和后件，前件具有比較、檢驗(yàn)事實(shí)等功能，后件具有刪除、判定事實(shí)等功能。專家檢測(cè)系統(tǒng)功能強(qiáng)大，靈活性過，但也存在以下問題：不能檢測(cè)未知攻擊及攻擊變體；知識(shí)不能自動(dòng)更新；當(dāng)知識(shí)數(shù)據(jù)庫較大時(shí)，效率較低。

2.基于審計(jì)追蹤的入侵檢測(cè)?；趯徲?jì)信息的入侵檢測(cè)工具以及自動(dòng)分析工具可以向系統(tǒng)安全管理員報(bào)告計(jì)算機(jī)系統(tǒng)活動(dòng)的評(píng)估報(bào)告， 通常是脫機(jī)的、滯后的。

對(duì)攻擊的實(shí)時(shí)檢測(cè)系統(tǒng)的工作原理是基于對(duì)用戶歷史行為的建模，以及在早期的證據(jù)或模型的基礎(chǔ)之上。審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤并監(jiān)測(cè)該用戶的行為。

系統(tǒng)應(yīng)具備處理自適應(yīng)的用戶參數(shù)的能力，能夠判斷使用行為是合法還是可疑。這種辦法同樣適用于檢測(cè)程序的行為以及對(duì)數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為。

3.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)。基于審計(jì)統(tǒng)計(jì)數(shù)據(jù)的入侵檢測(cè)系統(tǒng)，具有一些先天的弱點(diǎn)，因?yàn)橛脩舻男袨榭梢允欠浅?fù)雜的，所以想要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為相當(dāng)困難。錯(cuò)發(fā)的警報(bào)往往來自于對(duì)審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法所基于的不準(zhǔn)確或不貼切的假設(shè)。SRI的研究小組利用和發(fā)展神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行入侵檢測(cè)。神經(jīng)網(wǎng)絡(luò)可能用于解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的以下幾個(gè)問題：難于建立確切的統(tǒng)計(jì)分布、難于實(shí)現(xiàn)方法的普適性、算法實(shí)現(xiàn)比較昂貴、系統(tǒng)臃腫難于剪裁。

目前，神經(jīng)網(wǎng)絡(luò)技術(shù)提出了對(duì)基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的入侵檢測(cè)方法的改進(jìn)方向，但尚不十分成熟，所以傳統(tǒng)的統(tǒng)計(jì)方法仍將繼續(xù)發(fā)揮作用，也仍然能為發(fā)現(xiàn)用戶的異常行為提供相當(dāng)有參考價(jià)值的信息。

4.基于模型推理的入侵檢測(cè)技術(shù)。攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖，盡管攻擊者并不一定都是惡意的。用基于模型的推理方法，人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ?，從而能夠監(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

當(dāng)有證據(jù)表明某種特定的攻擊模型發(fā)生時(shí)，系統(tǒng)應(yīng)當(dāng)收集其他證據(jù)來證實(shí)或者否定攻擊的真實(shí)，以盡可能的避免錯(cuò)報(bào)。

為了防止過多不相干信息的干擾，用于安全目的的入侵檢測(cè)系統(tǒng)在審計(jì)系統(tǒng)之外一般還配備適合系統(tǒng)安全策略的信息采集器或過濾器。同時(shí)，還應(yīng)當(dāng)充分利用來自其他信息源的信息。在某些系統(tǒng)內(nèi)可以在不同的層次進(jìn)行審計(jì)跟蹤。如有些系統(tǒng)的安全機(jī)制中采用三級(jí)審計(jì)跟蹤：審計(jì)操作系統(tǒng)核心調(diào)用行為的跟蹤；審計(jì)用戶和操作系統(tǒng)界面級(jí)行為的跟蹤；審計(jì)應(yīng)用程序內(nèi)部行為的跟蹤。

參考文獻(xiàn)：

[1]王勁松.網(wǎng)絡(luò)互聯(lián)協(xié)議TCP/IP詳解[M].北京：科學(xué)技術(shù)文獻(xiàn)出版社，1993.

[2]吳應(yīng)良.管理信息系統(tǒng)的安全問題與對(duì)策研究[J].計(jì)算機(jī)應(yīng)用研究，1999.

[3]胡振昌.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].北京：北京理工大學(xué)出版社，2005.