摘要：入侵檢測（Intrusion Detection，ID）是對入侵行為的檢測，即對企圖入侵、正在進行的入侵或者已經(jīng)發(fā)生的入侵進行識別的過程。入侵檢測能夠對于面向計算機和網(wǎng)絡資源的惡意行為的識別和響應，它不僅能夠檢測來自外部的入侵行為，同時也能檢測倒內部用戶的入侵活動。自1980年提出入侵檢測概念起，入侵檢測系統(tǒng)逐步在實際中得到了較為廣泛的應用，但仍有一些問題有待進一步解決。

關鍵詞：入侵檢測系統(tǒng)；網(wǎng)絡安全；發(fā)展趨勢

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2009)04-0796-02

Analysis on Problem of Inbreak Detection System and Trend of Development

CONG Hui-yuan

(Tianjin University of Traditional Chinese Medicine，Tianjin 300193，China)

Abstract: Intrusion detection is the act of intrusion detection， the invasion attempt， the ongoing invasion or intrusion has occurred to identify the process. Intrusion detection to the computer and network resources for the malicious acts of recognition and response， not only to detect intrusions from outside， but also can detect internal users down the invasion of Events. Since 1980， put forward the concept of intrusion detection， the intrusion detection system gradually in practice a relatively wide range of applications， but there are still some issues to be further addressed.

Key words: intrusion detection system; network security; development trends

1 前言

互聯(lián)網(wǎng)是一種開放的面向所有用戶的技術，互聯(lián)網(wǎng)在提供信息共享并給我們帶來極大便利的同時，其自身的安全問題也日益突顯。每年全球因安全問題導致的損失已經(jīng)可以用萬億美元的數(shù)量級來計算，我國也有數(shù)億美元的經(jīng)濟損失。信息安全直接影響著國家、企業(yè)及個人的利益。隨著網(wǎng)絡開放性、共享性及互聯(lián)程度的擴大，使得網(wǎng)絡與信息系統(tǒng)的安全與保密問題顯得越來越重要。目前，如何保護好自己的信息不受侵犯及如何有效地預防他人非法入侵等一系列信息安全課題已經(jīng)引起國內外有關人士的熱切注視，并且己經(jīng)發(fā)展成為一個有相當規(guī)模的產(chǎn)業(yè)。在網(wǎng)絡化、信息化進程不可逆轉的形勢下，如何最大限度地減少或避免因信息泄漏、破壞所造成的經(jīng)濟損失，是擺在我們面前一項成為刻不容緩的重要課題。所以，必須采取相應的網(wǎng)絡安全技術對入侵攻擊的進行檢測與防范、堵塞安全漏洞，才能保障計算機系統(tǒng)、網(wǎng)絡系統(tǒng)提供安全的信息服務。盡管對網(wǎng)絡安全的重視越來越高，但危及網(wǎng)絡安全的攻擊事件日趨頻繁。網(wǎng)絡安全是一個綜合、立體的工程，雖然某項技術在不斷完善和成熟，但各種安全技術都有針對性，都是針對某個領域或某一方面進行的安全防護。當前，各種攻擊行為更加多元化、復雜化，網(wǎng)絡安全事件的發(fā)生頻率不斷增加，尤其是大規(guī)模蠕蟲和攻擊，網(wǎng)絡安全問題日益突出。僅僅依靠單一的某一種網(wǎng)絡安全技術已經(jīng)不能滿足保障整個網(wǎng)絡安全的需求，因此要建立一個完整的網(wǎng)絡安全體系，需要綜合應用多種安全技術，從不同的角度、層次上進行安全防護，構筑縱深防御體系，將風險程度減至最低。防火墻和身份認證負責把黑客擋在門外，阻止非授權用戶進入網(wǎng)絡，使黑客“進不來”；訪問控制技術負責控制對信息的讀寫，使黑客“拿不走”重要信息；信息加密技術使黑客“看不懂”獲得的信息。而要及時的發(fā)現(xiàn)入侵攻擊，就需要入侵檢測技術；在發(fā)現(xiàn)黑客后，通過相應的響應技術，及時終止攻擊行為。網(wǎng)絡安全技術己從單純的檢測網(wǎng)絡攻擊和防御入侵者于系統(tǒng)之外，轉變?yōu)榉雷o、檢測、響應與恢復、等多種技術的融合。

2 入侵檢測系統(tǒng)的歷史背景

自1980年提出入侵檢測概念起，入侵檢測系統(tǒng)逐步在實際中得到了較為廣泛的應用，但仍有一些問題有待進一步解決?？偟貋碚f，主要有以下問題：

1） 自適應差

傳統(tǒng)的入侵檢測系統(tǒng)在開發(fā)時沒有考慮特定網(wǎng)絡環(huán)境的需求，而網(wǎng)絡上的數(shù)據(jù)是隨著網(wǎng)絡應用的變化而改變的，網(wǎng)絡術在發(fā)展，網(wǎng)絡設備變得復雜化、多樣化，這就意味著系統(tǒng)不能根據(jù)數(shù)據(jù)的變化自適應的修改檢測模式。所以，需要入侵檢測產(chǎn)品能動態(tài)調整，適應不同環(huán)境需求。

2） 誤報、漏報率問題

由于事先定義的模式很難精確地劃分正常行為和入侵行為之間的界限，入侵檢測的誤報率一直居高不下，使得系統(tǒng)管理員疲于應付，增加了管理員的負擔，降低了對真正報警的敏感度。當有新的攻擊方法產(chǎn)生和新漏洞發(fā)布時，入侵檢測系統(tǒng)的攻擊特征庫不能及時更新，一些新的入侵行為將不能被系統(tǒng)偵測，而產(chǎn)生漏報。漏報及誤報的發(fā)生，都會對入侵檢測系統(tǒng)的可用性產(chǎn)生相當?shù)挠绊憽?/p>

3） 處理速度上的瓶頸

在入侵檢測系統(tǒng)中，截獲網(wǎng)絡中每一個數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征，需要花費大量的時間和系統(tǒng)資源。如果處理速度跟不上網(wǎng)絡數(shù)據(jù)的傳輸速度，必然影響到檢測準確性和有效性。當前，大部分百兆、千兆IDS產(chǎn)品的性能指標與實際要求還存在很大差距。隨著核心網(wǎng)絡帶寬容量和用戶對帶寬要求的迅速增加，高速網(wǎng)絡環(huán)境下系統(tǒng)對數(shù)據(jù)包捕獲與分析的能力都會顯著降低。如何提高入侵檢測速度以適應高帶寬、高流量網(wǎng)絡已經(jīng)成為亟待解決的問題。

4） 入侵檢測系統(tǒng)的互動能力

在大型網(wǎng)絡中，網(wǎng)絡的不同部分可能使用了多種IDS，甚至還有防火墻、漏洞掃描等其它類別的安全設備，這些IDS之間以及IDS和其它安全組件之間，如何交換信息，共同協(xié)作來發(fā)現(xiàn)攻擊，并阻止攻擊，是關系整個系統(tǒng)安全性的重要因素。

3 入侵檢測系統(tǒng)的發(fā)展前景

針對于上述當前入侵檢測系統(tǒng)的問題及新的入侵攻擊趨勢，今后的入侵檢測技術大致朝以下幾個方向發(fā)展：

1） 入侵檢測系統(tǒng)的標準化

由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司也投入到這一領域上來。但就目前而言，入侵檢測系統(tǒng)還缺乏相應的標準，不同IDS之間的數(shù)據(jù)交換和信息通信幾乎不可能。目前，美國國防高級研究計劃署（DARPA）和互聯(lián)網(wǎng)工程任務組IETF的入侵檢測工作組（IDWG）對IDS規(guī)范化提出了一系列標準草案。IDWG主要負責制定入侵檢測響應系統(tǒng)之間共享信息的數(shù)據(jù)格式和交換信息的方式，以及滿足系統(tǒng)管理的需要。DARPA提出了通用入侵檢測框架（CIDF），其最早由加州大學戴維斯分校安全實驗室主持起草工作。CIDF主要介紹了一種通用入侵說明語言（CISL），用來表示系統(tǒng)事件、分析結果和響應措施。為了把IDS從邏輯上分為面向任務的組件，CIDF試圖規(guī)范一種通用的語言格式和編碼方式以表示在組件邊界傳遞的數(shù)據(jù)。CIDF所做的工作主要包括四部分：IDS的體系結構、通信體制、描述語言和應用編程接口（API）。CIDF和IDWG的規(guī)范標準都還不成熟，目前仍在不斷地改進和完善中，但標準化是入侵檢測系統(tǒng)發(fā)展的必然方向。

2） 分布式入侵檢測

隨著網(wǎng)絡系統(tǒng)的復雜化、大型化以及入侵行為所具有的協(xié)作性，入侵檢測系統(tǒng)的體系結構由集中向分布式發(fā)展。不同IDS之間通過共享信息，協(xié)同檢測復雜的入侵行為，如攻擊策略識別。除此之外，現(xiàn)代網(wǎng)絡技術的發(fā)展帶來的新問題是，IDS需要進行海量計算，因而高性能檢測算法及新的入侵檢測體系結構也成為研究熱點，高性能并行計算技術將用于入侵檢測領域。

3） 異常檢測、混合檢測及智能化

入侵技術的不斷提高，新型攻擊方法層出不窮，為了檢測和防御未知類型攻擊。許多研究者采用了數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡、遺傳算法、模糊技術、免疫原理等不同的技術進行新的異常檢測方法的研究。這些研究提出了多種異常檢測方法和混合檢測方法，但是由于其過高的誤報率和復雜度問題，許多模型尚未完全成熟，難以推廣。因此，今后入侵檢測方法研究的重點是使異常檢測方法的誤報率和混合檢測方法的復雜度能夠下降到可接受的范圍內，使檢測系統(tǒng)具有智能化，即具有自學習能力，實現(xiàn)知識庫的不斷更新與擴展，防范能力不斷增強。

4） 入侵檢測系統(tǒng)與其他安全部件的互動

IDS盡管能夠識別并記錄攻擊，但不能及時阻止攻擊，而且IDS的誤報警造成與之聯(lián)動的防火墻無從下手。要解決當前的實際網(wǎng)絡安全需求，入侵檢測系統(tǒng)將與防火墻系統(tǒng)、應急響應系統(tǒng)等逐漸融合，形成一個綜合的信息安全保障系統(tǒng)。即使用安全工程風險管理的思想與方法來處理網(wǎng)絡安全問題，將網(wǎng)絡安全作為一個整體工程來處理。從管理、網(wǎng)絡結構、加密通道、防火墻、病毒防護、入侵檢測等多方位全面對所關注的網(wǎng)絡進行保護。

4 發(fā)展計劃

目前大多數(shù)網(wǎng)絡安全產(chǎn)品提供商都致力于建設具有自我保護能力、自我防御能力、自我愈合能力的網(wǎng)絡系統(tǒng)，并提出了一系列發(fā)展計劃。比如Symantec的主動性安全基礎架構、Cisco的自防御網(wǎng)絡、華為3Com的端點準入防御等，這些提法和概念都集中體現(xiàn)了從整體、立體、多層次和主動防御的思想，并提升了安全管理的重要性，認為應在不同層次上加強網(wǎng)絡安全的管理，通過綜合多種網(wǎng)絡安全技術使網(wǎng)絡能夠抵御各種安全威脅，使得網(wǎng)絡自身能從各個方面抵御有害的行為。在這些技術方案中，Cisco提出的自防御網(wǎng)絡(Self-Defending Network)計劃，其目標是提高網(wǎng)絡發(fā)現(xiàn)、防御和對抗安全威脅的能力，具有自防御能力的網(wǎng)絡將如同具有免疫能力的人體，能夠自動免受網(wǎng)絡病毒、黑客的侵害。自防御網(wǎng)絡的基本概念就是網(wǎng)絡本身能夠對網(wǎng)絡中發(fā)生的有害行為進行響應，以防止、隔離或減輕有害行為對網(wǎng)絡運行的損害。它是一種綜合的網(wǎng)絡安全手段，主要包括：

1） 及時準確地發(fā)現(xiàn)有害行為（入侵攻擊、病毒）：包括病毒/漏洞檢測、入侵檢測、防火墻等技術手段；

2） 對有害行為的合理、及時、自動響應：可以采用包括封鎖、隔離等手段，制止有害行為及避免其行為的擴大；

3） 修復：幫助用戶恢復其已知漏洞、遭受攻擊而產(chǎn)生的損害。

這些方案也都體現(xiàn)著統(tǒng)一威脅管理(Unified Threat Management，UTM)的概念，UTM指由硬件、軟件和網(wǎng)絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，它將多種安全特性集成于一個硬件設備之中，構成一個標準的統(tǒng)一管理平臺。UTM設備可以減少與安全功能相關的采集，安裝，管理支出，確保企業(yè)網(wǎng)絡的連續(xù)性和可用性，為安全威脅提供有效的防御。UTM概念的提出，是對以往單薄的安全機制的一次深刻改變，主要體現(xiàn)在：

1） 用戶需求的整合。網(wǎng)絡的安全建設從發(fā)現(xiàn)問題后再修補的“產(chǎn)品疊加型”的被動防御方式向以“風險管理”為核心的主動防御進行過渡；安全產(chǎn)品從“孤立”的產(chǎn)品形式向“集中管理”形式逐步過渡。

2） 技術的整合。一是硬件技術的發(fā)展，如ASIC、NP等硬件技術的快速發(fā)展促進了安全技術的整合；二是多種安全技術的融合，如防火墻、VPN、IPS、防病毒、防垃圾郵件等在安全網(wǎng)關技術上的融合；防病毒、反間諜、防攻擊、IE監(jiān)控、VPN在終端上的融合等等。

參考文獻：

[1] 唐正軍.入侵檢測技術導論[M].北京:機械工業(yè)出版社，2004.

[2] 黎鷹，李亮.入侵檢測系統(tǒng)的現(xiàn)狀與發(fā)展[J].信息安全與通信保密，2006，(11):97-102.

[3] 羅敏，張煥國，王麗娜.基于數(shù)據(jù)挖掘的網(wǎng)絡人侵檢測技術:研究綜述[J].計算機科學，2003.

[4] 崔曉垣.網(wǎng)絡入侵防御系統(tǒng)研究[J].信息安全與通信保密.2005，(03):109-111.