入侵檢測(cè)系統(tǒng)的研究

【摘 要】近幾年來，隨著網(wǎng)絡(luò)技術(shù)以及網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，此時(shí)對(duì)計(jì)算機(jī)系統(tǒng)的攻擊已經(jīng)是隨處可見?，F(xiàn)階段，安全問題成為越來越多的人關(guān)注的重點(diǎn)。本文主要分析了入侵檢測(cè)系統(tǒng)的功能、技術(shù)等情況。

【關(guān)鍵詞】入侵檢測(cè) 系統(tǒng) 研究情況

一、前言

目前的安全防護(hù)主要有防火墻等手段，但是由于防火墻本身容易受到攻擊，并且內(nèi)部網(wǎng)絡(luò)中存在著一系列的問題，從而不能夠發(fā)揮其應(yīng)有的作用。面對(duì)這一情況，一些組織開始提出了通過采用更強(qiáng)大的主動(dòng)策略以及方案來增強(qiáng)網(wǎng)絡(luò)的安全性。其中一個(gè)最有效的解決方法那就是入侵檢測(cè)。入侵檢測(cè)采用的是一種主動(dòng)技術(shù)，從而彌補(bǔ)防火墻技術(shù)的不足，并且也可以防止入侵行為。

二、入侵檢測(cè)系統(tǒng)的概述

（一）入侵檢測(cè)系統(tǒng)的具體功能

入侵檢測(cè)就是要借助計(jì)算機(jī)和網(wǎng)絡(luò)資源來識(shí)別以及響應(yīng)一些惡意使用行為。檢測(cè)的內(nèi)容主要分為兩個(gè)部分：外部的入侵行為、內(nèi)部用戶的未授權(quán)活動(dòng)。然而入侵檢測(cè)系統(tǒng)是由入侵檢測(cè)的軟件以及硬件這兩個(gè)部分組成的。到現(xiàn)在為止，入侵檢測(cè)成為繼防火墻之后的第二道安全閘門。在網(wǎng)絡(luò)安全體系中，入侵檢測(cè)是成為一個(gè)非常重要的組成部分。總之，入侵檢測(cè)的功能主要包括了以下幾個(gè)功能：第一，對(duì)用戶活動(dòng)進(jìn)行監(jiān)測(cè)以及分析；第二，審計(jì)系統(tǒng)構(gòu)造變化以及弱點(diǎn)；第三，對(duì)已知進(jìn)攻的活動(dòng)模式進(jìn)行識(shí)別反映，并且要向相關(guān)人士報(bào)警；第四，統(tǒng)計(jì)分析異常行為模式，保證評(píng)估重要系統(tǒng)以及數(shù)據(jù)文件的完整性以及準(zhǔn)確性；第五，審計(jì)以及跟蹤管理操作系統(tǒng)。

（二）入侵檢測(cè)系統(tǒng)的模型

在1987年正式提出了入侵檢測(cè)的模型，并且也是第一次將入侵檢測(cè)作為一種計(jì)算機(jī)安全防御措施提出來。入侵檢測(cè)模型主要分為六個(gè)部分：第一部分，主體。主體就是指在目標(biāo)系統(tǒng)上進(jìn)行活動(dòng)的實(shí)體，也就是一般情況下所說的用戶。第二部分，對(duì)象。對(duì)象就是指資源，主要是由系統(tǒng)文件、設(shè)備、命令等組成的。第三部分，審計(jì)記錄。在主體對(duì)象中，活動(dòng)起著操作性的作用，然而對(duì)操作系統(tǒng)來說，這些操作包括了登陸、退出、讀、寫以及執(zhí)行等。異常條件主要是指系統(tǒng)可以識(shí)別異常的活動(dòng)，比如：違反系統(tǒng)讀寫權(quán)限。資源使用情況主要指的是在系統(tǒng)內(nèi)部，資源的實(shí)際消耗情況。時(shí)間戳主要是指活動(dòng)所發(fā)生的時(shí)間。第四部分，活動(dòng)檔案?；顒?dòng)檔案就是指系統(tǒng)正常行為的模型，并且可以將系統(tǒng)正?；顒?dòng)的相關(guān)信息保存下來。第五部分，異常記錄。異常記錄主要是可以將異常事件的發(fā)生情況表現(xiàn)出來。第六部分，活動(dòng)規(guī)則。活動(dòng)規(guī)則主要是指通過一組異常記錄來判斷入侵是否發(fā)生在規(guī)劃集合中。一般情況下，通過將系統(tǒng)的正常活動(dòng)模型作為準(zhǔn)則，并且要按照專家所提出的系統(tǒng)或者統(tǒng)計(jì)方法來分析以及處理審計(jì)記錄，如果已經(jīng)發(fā)生了入侵，那么此時(shí)就應(yīng)該采用相應(yīng)的處理措施。

（三）入侵檢測(cè)系統(tǒng)的具體分類

通過研究現(xiàn)有的入侵檢測(cè)系統(tǒng)，可以按照信息源的不同將入侵檢測(cè)系統(tǒng)分為以下幾類：

第一，以主機(jī)為基礎(chǔ)的入侵檢測(cè)系統(tǒng)。通過對(duì)主機(jī)的審計(jì)記錄來進(jìn)行監(jiān)視以及分析，從而可以達(dá)到了入侵檢測(cè)。這一監(jiān)視主要發(fā)生在分布式、加密以及交換的環(huán)境中，從而可以判斷出攻擊是否發(fā)生。然而這一入侵檢測(cè)系統(tǒng)存在著缺點(diǎn)，那就是該系統(tǒng)與具體操作系統(tǒng)平臺(tái)有聯(lián)系，從而很難將來自網(wǎng)絡(luò)的入侵檢測(cè)出來，并且會(huì)占有一定的系統(tǒng)資源。

第二，以網(wǎng)絡(luò)為基礎(chǔ)的入侵檢測(cè)系統(tǒng)。通過采集在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽，對(duì)存在的可疑現(xiàn)象進(jìn)行分析。這一類系統(tǒng)不要嚴(yán)格審計(jì)主機(jī)，并且也不會(huì)占用主機(jī)的資源，并且可以為網(wǎng)絡(luò)提供保護(hù)，并且也不會(huì)考慮到主機(jī)的架構(gòu)。

三、入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)化以及標(biāo)準(zhǔn)化

為了能夠使得IDS產(chǎn)品、組件與其他安全產(chǎn)品之間的互操作性得以提高，此時(shí)入侵工作組開始發(fā)起制訂一系列建議草案，并且從體系結(jié)構(gòu)、API、通信機(jī)制以及語(yǔ)言格式等方面來對(duì)IDS的標(biāo)準(zhǔn)進(jìn)行合理的規(guī)范。DARPA所提出的建議就是指公共入侵檢測(cè)框架。

（一）1CIDF框架結(jié)構(gòu)

為了能夠?qū)Σ煌肭謾z測(cè)系統(tǒng)的互操作性以及共存性進(jìn)行解決，CIDF組織提出了一個(gè)入侵檢測(cè)系統(tǒng)的通用框架模型，這一通用框架模型主要是由Denning 的模型演化而來的?，F(xiàn)階段，這一通用框架模型得到了廣泛的應(yīng)用。這一通用框架模型將這一入侵檢測(cè)系統(tǒng)分為了以下幾個(gè)組件：第一，事件產(chǎn)生器；第二，事件分析器；第三，響應(yīng)單元；第四，事件數(shù)據(jù)庫(kù)。CIDF將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)庫(kù)稱為事件，這一事件分為：網(wǎng)絡(luò)中的數(shù)據(jù)包、系統(tǒng)日志以及審計(jì)記錄等相關(guān)信息。事件產(chǎn)生器的功能那就是從整個(gè)計(jì)算機(jī)環(huán)境中來獲得相關(guān)的事件，并且將此事件提供給系統(tǒng)的其他組件。事件分析器的作用就是對(duì)所得到的數(shù)據(jù)進(jìn)行分析，并且要對(duì)所產(chǎn)生的結(jié)果進(jìn)行分析。響應(yīng)單元就是要針對(duì)分析結(jié)果做出了一定的反應(yīng)，并且也可以做出切斷連接、改變文件屬性這一強(qiáng)烈反應(yīng)，除此之外還可以進(jìn)行簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)主要是由各種中間數(shù)據(jù)以及最終數(shù)據(jù)存放的地方，這些數(shù)據(jù)被稱為復(fù)雜的數(shù)據(jù)庫(kù)。CIDF框架想要通過統(tǒng)一的模塊來對(duì)IDS進(jìn)行劃分，與此同時(shí)通過采用統(tǒng)一的入侵描述語(yǔ)言、描述IDS之間、IDS的各個(gè)部件之間的入侵信息的交換，從而可以促使在IDS之間實(shí)現(xiàn)協(xié)同工作。

（二）IDEF標(biāo)準(zhǔn)

在IDS系統(tǒng)組件之間需要通信，不同的廠商IDS系統(tǒng)之間中也存在著通信。目前，為了能夠?qū)θ肭謾z測(cè)系統(tǒng)中缺乏統(tǒng)一的通信協(xié)議這一問題解決掉，入侵檢測(cè)工作小組定義了一種通信格式，那就是IDEF，這一通信格式可以分為以下幾個(gè)部分：第一，入侵檢測(cè)消息交換格式，這一格式主要描述的是入侵檢測(cè)系統(tǒng)將信息輸出的一種數(shù)據(jù)模型，并且對(duì)使用這一模型的基本原理進(jìn)行合理的解釋。這一數(shù)據(jù)模型通過XML可以更好的實(shí)現(xiàn)，并且也設(shè)計(jì)了一個(gè)XML文檔類型的定義。第二，入侵檢測(cè)交換協(xié)議，這一協(xié)議是一個(gè)作用于入侵檢測(cè)實(shí)體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議，并且主要運(yùn)行在TCP之上的應(yīng)用層協(xié)議，從而可以完成非結(jié)構(gòu)文本以及二進(jìn)制數(shù)據(jù)之間的交換，并且可以保證了協(xié)議之上的雙方具有完整性以及保密性。第三，入侵警報(bào)協(xié)議，這一協(xié)議主要的作用就是入侵報(bào)警信息可以進(jìn)行交換，并且主要運(yùn)行在TCP上的應(yīng)用層協(xié)議。

（三）分析

CIDF主要是以Denning模型發(fā)展起來的，通過提出了CIDF的標(biāo)準(zhǔn)，從而可以很好的解決以下幾個(gè)問題：第一，IDS之間組件的共享問題，也就是一個(gè)IDS系統(tǒng)的組件可以被另一個(gè)IDS所使用；第二，數(shù)據(jù)共享的問題。通過提供一個(gè)標(biāo)準(zhǔn)的數(shù)據(jù)格式，從而在IDS中的各類數(shù)據(jù)可以進(jìn)行傳遞以及共享；第三，對(duì)互用性標(biāo)準(zhǔn)進(jìn)行完善，并且要建立一套開發(fā)接口以及支持工具，從而可以使得獨(dú)立開發(fā)部分的構(gòu)建能力得以提高。通過提出了IDEF的標(biāo)準(zhǔn)，從而可以解決入侵檢測(cè)實(shí)體交換數(shù)據(jù)以及入侵檢測(cè)系統(tǒng)與其他安全防護(hù)之間的通信問題。IDEF標(biāo)準(zhǔn)的提出可以為IDS之間組件以及IDS系統(tǒng)之間的通信提供了索引?，F(xiàn)階段，雖然還沒有成為正式的標(biāo)準(zhǔn)，但是隨著分布式IDS的不斷發(fā)展，CIDF以及IDEF成為將來IDS的工業(yè)標(biāo)準(zhǔn)。

四、入侵檢測(cè)系統(tǒng)的檢測(cè)技術(shù)

從技術(shù)上來看，入侵可以分為以下兩類：第一類，有特征的攻擊，主要是指對(duì)已知系統(tǒng)中的系統(tǒng)弱點(diǎn)來進(jìn)行常規(guī)性的攻擊；第二類，異常攻擊。然而入侵檢測(cè)分為以下兩類：第一類，以特征為基礎(chǔ)的檢測(cè)；第二類，以異常為基礎(chǔ)的檢測(cè)。

五、結(jié)束語(yǔ)

入侵檢測(cè)主要是采用了一種主動(dòng)的技術(shù)，從而可以有效的發(fā)現(xiàn)入侵行為以及合法用戶濫用特權(quán)的行為，在網(wǎng)絡(luò)安全體系中，入侵檢測(cè)成為一個(gè)非常重要的組成部分。現(xiàn)階段，入侵檢測(cè)技術(shù)還處于研究以及發(fā)展的階段，因此存在著一系列的問題。近幾年來，人們對(duì)網(wǎng)絡(luò)通信技術(shù)的安全性要求越來越高，因此相關(guān)的專家就要構(gòu)建一個(gè)網(wǎng)絡(luò)安全體系，從而保證了網(wǎng)絡(luò)通信的安全性。

參考文獻(xiàn)：

[1]謝樹新.入侵檢測(cè)系統(tǒng)在Linux網(wǎng)絡(luò)中的分析與設(shè)計(jì)[J]計(jì)算機(jī)與網(wǎng).2010（10）：90-92.

[2]陳東紅.王震宇.鄧承志.分布式漏洞掃描系統(tǒng)的設(shè)計(jì)[J] 信息工程大學(xué)學(xué)報(bào).2010（2）：56-58.

[3]宋世杰.胡華平.胡笑蕾.關(guān)聯(lián)規(guī)則和序列模式算法在入侵檢測(cè)系統(tǒng)中的應(yīng)用[J] 成都信息工程學(xué)院學(xué)報(bào).2010（01）：45-46.