陳　杰

[摘要]計算機互聯(lián)網(wǎng)的爆炸式增長以及基于因特網(wǎng)的電子商務的增加使得網(wǎng)絡安全成為網(wǎng)絡設計的一個重要因素。因此，開展網(wǎng)絡安全特別是入侵攻擊與防范技術的研究，開發(fā)急需的、高效實用的網(wǎng)絡入侵檢測系統(tǒng)，對計算機網(wǎng)絡的發(fā)展和網(wǎng)絡信息的建設與應用都具有重要意義。入侵檢測系統(tǒng)作為安全防御的第二道防線，是網(wǎng)絡防火墻的有益補充，它能夠用于檢測出各種形式的入侵行為，是安全防御體系的一個重要組成部分。

[關鍵詞]入侵檢測 網(wǎng)絡安全 分布式

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0520047－01

一、引言

隨著Internet的發(fā)展，網(wǎng)絡豐富的信息資源給用戶帶來了極大的方便，但同時也給上網(wǎng)用戶帶來了安全問題。目前，網(wǎng)絡的攻擊手段越來越多，入侵手段也不斷更新。由于網(wǎng)絡的攻擊造成的損失是難以估量的，計算機網(wǎng)絡安全狀況不容樂觀。

為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。入侵檢測正是其中之一，入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。

計算機網(wǎng)絡入侵檢測技術的發(fā)展

20世紀80年代已經(jīng)展開了對入侵檢測技術的研究，發(fā)展至今已有近30年的歷程。根據(jù)所檢測數(shù)據(jù)的來源不同，入侵檢測技術經(jīng)歷了基于主機的入侵檢測技術、基于網(wǎng)絡的入侵檢測技術和分布式入侵檢測技術三個發(fā)展時期。1980年，Jamesp. Anderson先生在《Computer Security Threat Monitoring and Surveiliance》中首次提出了入侵檢測的概念，由此開始了對入侵檢測技術的研究[1]。

二、主機的入侵檢測技術

1987年，Dorothy Denning博士提出了入侵檢測系統(tǒng)（IDS）的抽象模型，模型主要由主體、對象、審計記錄、行為輪廓、異常記錄及活動規(guī)則組成，這是一個入侵檢測系統(tǒng)的通用框架。在這篇文章中將入侵檢測技術與加密、認證、訪問控制等安全技術相比，肯定了入侵檢測對于保證系統(tǒng)安全的重要作用。這篇文獻可以看成是在入侵檢測技術的發(fā)展歷史中具有里程碑意義的重要論著。

1988年，Denning博士提出的模型由SRI International公司實現(xiàn)，稱之為入侵檢測專家系統(tǒng)。該系統(tǒng)可以用于檢測主機系統(tǒng)上發(fā)生的入侵行為，是一個與系統(tǒng)平臺無關的專家檢測系統(tǒng)。這也是日后的誤用檢測方法的系統(tǒng)原型。

后來入侵檢測的原型系統(tǒng)被陸續(xù)開發(fā)，如下一代入侵檢測系統(tǒng)、Haystack系統(tǒng)等。在入侵檢測技術發(fā)展的初期，所檢測的數(shù)據(jù)都是主機系統(tǒng)的待審計數(shù)據(jù)，然而隨著網(wǎng)絡技術的發(fā)展和網(wǎng)絡應用的普及，針對網(wǎng)絡的攻擊事件不斷發(fā)生，對入侵檢測技術的研究也隨之進入了第二階段，即網(wǎng)絡入侵檢測技術。

三、網(wǎng)絡的入侵檢測技術

1990年，由L.T. Heberlein 開發(fā)了第一個網(wǎng)絡入侵檢測系統(tǒng)網(wǎng)絡安全監(jiān)視器，通過在共享網(wǎng)段上對通信數(shù)據(jù)的監(jiān)聽和采集，檢測所有數(shù)據(jù)包的包頭信息，分析可能出現(xiàn)的攻擊現(xiàn)象，從而達到對整個網(wǎng)段的入侵檢測和保護[2]。

網(wǎng)絡入侵檢測技術通過分析數(shù)據(jù)包包頭信息、網(wǎng)絡流量和網(wǎng)絡連接的各個特征屬性來檢測網(wǎng)絡中存在的入侵行為，區(qū)分正常網(wǎng)絡應用和惡意攻擊。這種方法擴展了入侵檢測技術的應用范圍，同時由于采用的是監(jiān)聽的方式獲取待檢測數(shù)據(jù)，沒有增加網(wǎng)絡負擔，也不會占用網(wǎng)絡上其他主機的資源。然而不論是基于主機的入侵檢測系統(tǒng)還是基于網(wǎng)絡的入侵檢測系統(tǒng)，早期的結構都是集中式的，數(shù)據(jù)采集模塊和數(shù)據(jù)分析模塊都位于同一臺機器上，這和網(wǎng)絡逐漸走向分布式、異構性的趨勢并不符合。而且隨著分布式網(wǎng)絡攻擊的出現(xiàn)，分布式入侵檢測技術也應運而生。

四、分布式入侵檢測技術

1991年提出的分布式入侵檢測系統(tǒng)是第一個分布式的系統(tǒng)，它將主機入侵檢測和網(wǎng)絡入侵檢測結合，能適應異構環(huán)境。該系統(tǒng)由三個部分組成：主機管理單元、網(wǎng)絡管理單元和中央管理單元[3]。該系統(tǒng)利用位于不同地點的數(shù)據(jù)采集單元收集待檢測數(shù)據(jù)，進行統(tǒng)一分析后，判斷被保護系統(tǒng)是否受到攻擊。雖然DIDS存在很多不足之處，但它畢竟是對分布式入侵檢測技術研究的有益嘗試。

為了克服分布檢測存在系統(tǒng)瓶頸的問題，1996年提出的合作式安全管理器(Cooperating Security Manager，CSM)通過運行于每臺主機之上的CSM單元合作檢測入侵行為。每個CSM單元都由本地入侵檢測單元、安全管理器、圖形用戶界面、入侵處理單元、命令監(jiān)視器和通信處理器組成。CSM實現(xiàn)了分布采集，分布決策的思想[4]。隨著網(wǎng)絡規(guī)模的不斷擴大和攻擊行為的協(xié)同性和分布式的趨勢，入侵檢測技術必然向著分布式檢測方向發(fā)展。

五、入侵檢測技術的發(fā)展趨勢

目前，入侵檢測系統(tǒng)的研究還處于一個不完善的階段，IDS遠遠沒有發(fā)展成熟，然而正是因為存在這些問題需要解

決，IDS的發(fā)展非常迅速，已經(jīng)出現(xiàn)了各種各樣的新技術，推動今后的入侵檢測技術大致可朝下述三個方向發(fā)展：寬帶高速網(wǎng)絡的實時入侵檢測技術；大規(guī)模分布式入侵檢測技術；智能化入侵檢測技術。

參考文獻：

[1]唐正軍，入侵檢測技術導論[M].北京：機械工業(yè)出版社，246-263.

[2]GenyDozier，DouglasBrown，JohnHurley.Vulnerability Analysis of AIS-BasedIntr Usio Deteetion Systems via Genetie and Partiele Swann Red Teams The Congresson Evolutionary ColnPutation，2004,l:111-116.

[3]信息技術研究中心，網(wǎng)絡信息安全新技術與標準規(guī)范實用手冊[M].第1版，北京：電子信息出版社，2004.

[4]Fabio A.Gonzalez,Dipankar Dasgupta.Anomaly Detection Using Real-Valued Negative Selection.GPEM2003resubm.tex,2003,(6):1-20.

作者簡介：

陳杰（1981-），男，河南鄭州人，塔里木大學計算機科學與技術工作，助教。