分布式入侵檢測系統(tǒng)相關(guān)技術(shù)的研究

李洪波

（長春工程學(xué)院，吉林 長春 130012）

在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展的當(dāng)下，信息與網(wǎng)絡(luò)安全形勢也日趨嚴(yán)峻和復(fù)雜化。各國計(jì)算機(jī)技術(shù)人員的共同目標(biāo)是從技術(shù)、管理、法律等多方面采取綜合措施保障信息與網(wǎng)絡(luò)安全。但是計(jì)算機(jī)網(wǎng)絡(luò)在協(xié)議、服務(wù)和管理等方面都存在缺陷，網(wǎng)絡(luò)黑客利用這些漏洞進(jìn)行非法活動(dòng)，因此研究高效的安全檢測技術(shù)和開發(fā)實(shí)用的安全檢測系統(tǒng)具有重大的理論和實(shí)踐意義。

1 Internet的本身就存在著安全性問題

Internet的不安全因素主要集中在以下幾個(gè)方面：TCP/IP協(xié)議和服務(wù)本身的弱點(diǎn)，網(wǎng)絡(luò)配置中缺乏統(tǒng)一策略，弱用戶認(rèn)證機(jī)制，易受到冒充和探測，社會(huì)和人為因素等。計(jì)算機(jī)網(wǎng)絡(luò)中活躍著的黑客們尋找系統(tǒng)的漏洞進(jìn)行攻擊，通過上述一些缺陷就可以進(jìn)行攻擊，造成網(wǎng)絡(luò)的不安全性。

2 網(wǎng)絡(luò)安全技術(shù)分析

為了保護(hù)Internet上信息、服務(wù)和訪問的安全性，人們開發(fā)了多種安全協(xié)議和技術(shù)，主要有以下幾種：

（1）存取控制：存取控制規(guī)定操作權(quán)限的分配，它一般與身份驗(yàn)證技術(shù)一起使用，根據(jù)不同身份的用戶給予不同的操作權(quán)限，以實(shí)現(xiàn)不同安全級別的信息分級管理。

（2）數(shù)據(jù)完整性：保證數(shù)據(jù)完整性至關(guān)重要，以免在傳輸過程中被篡改，因此需要驗(yàn)證收到的數(shù)據(jù)和原來數(shù)據(jù)之間保持一致。

（3）加密技術(shù)：加密是一種最基本的安全技術(shù)，主要用在數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸和口令技術(shù)中?，F(xiàn)在金融系統(tǒng)和商界普遍使用的算法是美國商界加密標(biāo)準(zhǔn)DE3。

（4）用戶身份認(rèn)證：它是互聯(lián)網(wǎng)上信息安全的第一道屏障。用戶身份認(rèn)證即校驗(yàn)用戶訪問系統(tǒng)和使用信息的資格，它是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。

（5）安全協(xié)議：目前在TCP/IP下一版本(IPv6)中就增加TAH和ESP機(jī)制及其它安全措施。

（6）防火墻技術(shù)：防火墻技術(shù)可通過與加密技術(shù)、用戶身份認(rèn)證技術(shù)相結(jié)合，能夠保證對安全協(xié)議的保護(hù)，是一種比較有效的保護(hù)網(wǎng)絡(luò)安全的方法。

（7）入侵檢測技術(shù)：入侵檢測和漏洞檢測技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分，它們不但可以實(shí)現(xiàn)復(fù)雜的信息系統(tǒng)安全管理，而且還可以從目標(biāo)信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息，分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號和網(wǎng)絡(luò)系統(tǒng)中的漏洞，發(fā)出警告或?qū)崟r(shí)對攻擊做出反應(yīng)。

3 網(wǎng)絡(luò)入侵技術(shù)分析

IDS的研究始于20世紀(jì)80年代，安德遜于1980年引入入侵檢測概念時(shí)，將入侵企圖或威脅定義為故意非授權(quán)的企圖進(jìn)行以下活動(dòng)的潛在可能性，這些活動(dòng)包括：訪問信息、修改信息、致使系統(tǒng)不可靠或不可用。因此入侵可以定義為任何企圖破壞信息或資源的機(jī)密性、完整性、以及可用性的行為。

美國IDG InfoWorld測試中心小組開發(fā)了一種可以稱之為Benchmarking類型的測試基準(zhǔn)：IWSS16。通過收集上千種典型且可以公開得到的攻擊方法并對其進(jìn)行組合，形成了IWSS16。IWSS16主要由四種主要類型的攻擊手段組成：

（1）收集信息：網(wǎng)絡(luò)攻擊者經(jīng)常在攻擊之前，先進(jìn)行試探性的攻擊，以便獲得系統(tǒng)有用的信息，主要手段有捕包(sniffing)，PING掃描，端口掃描，帳戶掃描，DNS轉(zhuǎn)換等操作。

（2）獲取訪問權(quán)限以各種手段獲取對網(wǎng)絡(luò)和系統(tǒng)的特權(quán)訪問，目的是獲取有價(jià)值的信息。

（3）拒絕服務(wù)（Denial of Service）DoS是最不容易捕獲的攻擊，因?yàn)樗灰琢粝潞圹E，安全管理人員不易確定攻擊來源。這種攻擊通過大量不間斷的申請使得系統(tǒng)處于繁忙狀態(tài)直至系統(tǒng)癱瘓；拒絕服務(wù)供給還可以利用操作系統(tǒng)的漏洞進(jìn)行針對性的攻擊。

（4）逃避檢測：入侵者往往在攻擊之后，使用各種逃避檢測的手段，使其攻擊的行為不留痕跡。典型的特點(diǎn)是修改系統(tǒng)的安全審計(jì)記錄。

4 安全檢測技術(shù)

入侵檢測已經(jīng)被視為防火墻的合理補(bǔ)充，它從安全審計(jì)，安全監(jiān)控，攻擊識別，以及對攻擊的反應(yīng)這幾方面加強(qiáng)了系統(tǒng)管理員的安全管理能力。通過入侵檢測系統(tǒng)可以使計(jì)算機(jī)系統(tǒng)對攻擊有所準(zhǔn)備并能及時(shí)做出反應(yīng)。入侵檢測系統(tǒng)從計(jì)算機(jī)系統(tǒng)的大量數(shù)據(jù)中搜集信息并分析這些信息以查找出有安全問題的癥狀。入侵檢測系統(tǒng)通過收集和分析信息能夠完成諸多功能，如檢測和分析用戶的活動(dòng)、審核系統(tǒng)配置和漏洞、對系統(tǒng)和數(shù)據(jù)文件的完整性進(jìn)行評估、識別反映己知攻擊模式的行為、統(tǒng)計(jì)分析異常行為模式、操作系統(tǒng)日志管理，并支持對違反策略的用戶行為的識別。

漏洞評估工具對系統(tǒng)執(zhí)行嚴(yán)格的檢查以定位可導(dǎo)致安全侵害的弱點(diǎn)。漏洞評估工具使用兩種策略來執(zhí)行這些檢查。

第一種是被動(dòng)的，從主機(jī)本身出發(fā)進(jìn)行檢查，通過系統(tǒng)配置文件的設(shè)置問題到系統(tǒng)口令的復(fù)雜和保密程度，并從中找出一些違反安全策略的內(nèi)容。第二種是主動(dòng)的，它通過模擬已知的入侵腳本來對系統(tǒng)進(jìn)行“攻擊”，然后根據(jù)系統(tǒng)做出的反映來進(jìn)行漏洞評估分析。

盡管這些系統(tǒng)不能可靠地檢測正在進(jìn)行的攻擊，但是它們可以確定攻擊是否可能發(fā)生，此外，有時(shí)它們也能確定攻擊是否已經(jīng)發(fā)生。由于它們提供的功能與入侵檢測系統(tǒng)相似，我們也將它們包括到入侵檢測技術(shù)與工具范圍內(nèi)來.漏洞評估技術(shù)發(fā)展的比較成熟，己有不少成形的工具包。

5 現(xiàn)存入侵檢測的問題和展望

入侵檢測在網(wǎng)絡(luò)安全方面的作用是不可小覷的，它已經(jīng)成為網(wǎng)絡(luò)安全體系結(jié)構(gòu)和完整的安全解決方案的重要組成部分。可以說它也是網(wǎng)絡(luò)安全的最后一道防線，同時(shí)它還保護(hù)著其他安全子系統(tǒng)。國外很多機(jī)構(gòu)和研究人員對網(wǎng)絡(luò)安全的研究起步較早，有一些入侵檢測的產(chǎn)品，一開始主要是檢測一些漏洞的工具包還有掃描端口的工具，逐漸發(fā)展成現(xiàn)在的一些成型的入侵檢測產(chǎn)品，而且應(yīng)用效果也很突出。國內(nèi)在這方面的研究起步比較晚，還沒有什么具體的成果出現(xiàn)。對于入侵檢測系統(tǒng)的研究瓶頸在于數(shù)據(jù)的處理方面，通過分布式計(jì)算能夠很大程度的解決該問題，目前研究的主要方向都在分布式計(jì)算的上。在處理網(wǎng)絡(luò)中的入侵檢測系統(tǒng)中大量的數(shù)據(jù)時(shí)發(fā)現(xiàn)，如果處理的數(shù)據(jù)不夠快，不能夠有效的進(jìn)行處理出現(xiàn)丟包或者檢測系統(tǒng)中出現(xiàn)單點(diǎn)失效，那么入侵檢測系統(tǒng)就是去了意義。隨著網(wǎng)絡(luò)的飛速發(fā)展，中間件技術(shù)的成熟，推動(dòng)了分布式系統(tǒng)的發(fā)展，處理數(shù)據(jù)不再使用大型機(jī)而是逐步被分布式系統(tǒng)漸漸取代。因此研究分布式計(jì)算在入侵檢測領(lǐng)域的應(yīng)用是非常有價(jià)值的。

同時(shí)為了彌補(bǔ)入侵檢測系統(tǒng)的智能方面的不足，研究人員引入了基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，這樣入侵檢測系統(tǒng)在檢測已知系統(tǒng)攻擊的同時(shí)還能夠檢測到未知的入侵和更為復(fù)雜的入侵，例如通過系統(tǒng)的自學(xué)習(xí)系統(tǒng)能夠?qū)崿F(xiàn)檢測，能夠根據(jù)實(shí)際檢測到的信息有效的加以處理并做出入侵可能性的判斷。但該方法還不成熟，時(shí)常會(huì)出現(xiàn)誤報(bào)、漏報(bào)的現(xiàn)象，對于用戶正常行為突發(fā)改變會(huì)不適應(yīng)，而且還沒有出現(xiàn)較為完善的產(chǎn)品。目前的入侵檢測主要根據(jù)網(wǎng)絡(luò)中主要的節(jié)點(diǎn)進(jìn)行檢測，根據(jù)端口的流量監(jiān)聽，并將數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和分析，從主要容易被攻擊的目標(biāo)主機(jī)上進(jìn)行日志和系統(tǒng)參數(shù)的提取和分析，從中找出入侵特征并對其進(jìn)行預(yù)警，或自動(dòng)處理。但是目前的入侵檢測系統(tǒng)受到多方面的制約，如檢測的速度、設(shè)備的可擴(kuò)展性以及被攻擊后失效等因素。當(dāng)網(wǎng)絡(luò)中的主要節(jié)點(diǎn)被攻擊，有沒能及時(shí)的采取措施造成了節(jié)點(diǎn)主機(jī)癱瘓，那么整個(gè)系統(tǒng)將陷入困境。那么如何處理以上問題成為目前的主要研究方向，提高系統(tǒng)的可擴(kuò)展性，提高計(jì)算速度和分析能力而采取分布式計(jì)算系統(tǒng)的入侵檢測系統(tǒng)正在摸索階段。如能將分布式計(jì)算和多種入侵檢測技術(shù)完美的結(jié)合將很好地解決現(xiàn)有入侵檢測系統(tǒng)的瓶頸問題。

［1］耿麥香.網(wǎng)絡(luò)入侵檢測技術(shù)研究綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004（06）.

［2］趙振輝.基于Agent和聚類的網(wǎng)分析絡(luò)入侵檢測研究[J].微電子學(xué)與計(jì)算機(jī).2013（03）.