郭　浩　汪學(xué)明

摘要：現(xiàn)有入侵監(jiān)測系統(tǒng)存在誤報率和漏報率較高的問題，本文對幾種降低IDS誤報率和漏報率的方法進(jìn)行研究，通過將這幾種方法相互結(jié)合，能有效提高入侵檢測系統(tǒng)的運(yùn)行效率并能大大簡化安全管理員的工作，從而保證網(wǎng)絡(luò)安全的運(yùn)行。

關(guān)鍵字：入侵檢測；協(xié)議分析；模式匹配；智能關(guān)聯(lián)a

中圖分類號:TP393.08文獻(xiàn)標(biāo)示碼:A

1引言

入侵檢測技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)，它對計算機(jī)和

網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng)，不僅檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。但是隨著網(wǎng)絡(luò)入侵技術(shù)的發(fā)展和變化以及網(wǎng)絡(luò)運(yùn)用的不斷深入，現(xiàn)有入侵檢測系統(tǒng)暴露出了諸多的問題。特別是由于網(wǎng)絡(luò)流量增加、新安全漏洞未更新規(guī)則庫和特殊隧道及后門等原因造成的漏報問題和IDS攻擊以及網(wǎng)絡(luò)數(shù)據(jù)特征匹配的不合理特性等原因造成的誤報問題，導(dǎo)致IDS對攻擊行為反應(yīng)遲緩，增加安全管理人員的工作負(fù)擔(dān)，嚴(yán)重影響了IDS發(fā)揮實(shí)際的作用。

本文針對現(xiàn)有入侵監(jiān)測系統(tǒng)誤報率和漏報率較高的問題，對幾種降低IDS誤報率和漏報率的方法進(jìn)行研究。通過將這幾種方法相互結(jié)合，能有效提高入侵檢測系統(tǒng)的運(yùn)行效率并能大大簡化安全管理員的工作，從而保證網(wǎng)絡(luò)

安全的運(yùn)行。

2入侵檢測系統(tǒng)

入侵是對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作，威脅計算機(jī)或網(wǎng)絡(luò)的安全機(jī)制（包括機(jī)密性、完整性、可用性）的行為。入侵可能是來自外界對攻擊者對系統(tǒng)的非法訪問，也可能是系統(tǒng)的授權(quán)用戶對未授權(quán)的內(nèi)容進(jìn)行非法訪問，入侵檢測就是對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識別的過程。入侵檢測系統(tǒng)IDS（Intrusion Detection System）是從多種計算機(jī)系統(tǒng)機(jī)及網(wǎng)絡(luò)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。

現(xiàn)在的IDS產(chǎn)品使用的檢測方法主要是誤用檢測和異常檢測。誤用檢測是對不正常的行為進(jìn)行建模，這些行為就是以前記錄下來的確認(rèn)了的誤用或攻擊。目前誤用檢測的方法主要是模式匹配，即將每一個已知的攻擊事件定義為一個獨(dú)立的特征，這樣對入侵行為的檢測就成為對特征的匹配搜索，如果和已知的入侵特征匹配，就認(rèn)為是攻擊。異常檢測是對正常的行為建模，所有不符合這個模型的事件就被懷疑為攻擊?，F(xiàn)在異常檢測的主要方法是統(tǒng)計模型，它通過設(shè)置極限閾值等方法，將檢測數(shù)據(jù)與已有的正常行為比較，如果超出極限閾值，就認(rèn)為是入侵行為。

入侵檢測性能的關(guān)鍵參數(shù)包括：（1）誤報：實(shí)際無害的事件卻被IDS檢測為攻擊事件。（2）漏報：攻擊事件未被IDS檢測到或被分析人員認(rèn)為是無害的。

3降低IDS誤報率方法研究

3.1智能關(guān)聯(lián)

智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息（如主機(jī)特征信息）與網(wǎng)絡(luò)IDS檢測結(jié)構(gòu)相融合，從而減少誤報。如系統(tǒng)的脆弱性信息需要包括特定的操作系統(tǒng)（OS）以及主機(jī)上運(yùn)行的服務(wù)。當(dāng)IDS使用智能關(guān)聯(lián)時，它可以參考目標(biāo)主機(jī)上存在的、與脆弱性相關(guān)的所有告警信息。如果目標(biāo)主機(jī)不存在某個攻擊可以利用的漏洞，IDS將抑制告警的產(chǎn)生。

智能關(guān)聯(lián)包括主動和被動關(guān)聯(lián)。主動關(guān)聯(lián)是通過掃描確定主機(jī)漏洞；被動關(guān)聯(lián)是借助操作系統(tǒng)的指紋識別技術(shù)，即通過分析IP、TCP報頭信息識別主機(jī)上的操作系統(tǒng)。

3.1.1被動指紋識別技術(shù)的工作原理

被動指紋識別技術(shù)的實(shí)質(zhì)是匹配分析法。匹配雙方一個是來自源主機(jī)數(shù)據(jù)流中的TCP、IP報頭信息，另一個是特征數(shù)據(jù)庫中的目標(biāo)主機(jī)信息，通過將兩者做匹配來識別源主機(jī)發(fā)送的數(shù)據(jù)流中是否含有惡意信息。通常比較的報頭信息包括窗口（WINDOWSIZE）、數(shù)據(jù)報存活期（TTL）、DF(dontfragment)標(biāo)志以及數(shù)據(jù)報長（Totallength）。

窗口大?。╳size）指輸入數(shù)據(jù)緩沖區(qū)大小，它在TCP會話的初始階段由OS設(shè)定。數(shù)據(jù)報存活期指數(shù)據(jù)報在被丟棄前經(jīng)過的跳數(shù)（hop）；不同的TTL值可以代表不同的操作系統(tǒng)（OS），TTL=64，OS=UNIX；TTL=12，OS=Windows。DF字段通常設(shè)為默認(rèn)值，而OpenBSD不對它進(jìn)行設(shè)置。數(shù)據(jù)報長是IP報頭和負(fù)載（Payload）長度之和。在SYN和SYNACK數(shù)據(jù)報中，不同的數(shù)據(jù)報長代表不同的操作系統(tǒng)，60代表Linux、44代表Solaris、48代表Windows2000。

IDS將上述參數(shù)合理組合作為主機(jī)特征庫中的特征（稱為指紋）來識別不同的操作系統(tǒng)。如TTL=64，初步判斷OS=Linux/OpenBSD；如果再給定wsize的值就可以區(qū)分是Linux還是OpenBSD。因此，（TTL，wsize）就可以作為特征庫中的一個特征信息。

3.1.2 被動指紋識別技術(shù)工作流程

具有指紋識別技術(shù)的IDS系統(tǒng)通過收集目標(biāo)主機(jī)信息，判斷主機(jī)是否易受到針對某種漏洞的攻擊，從而降低誤報率。它的工作流程如圖1所示。

因此當(dāng)IDS檢測到攻擊數(shù)據(jù)包時，首先查看主機(jī)信息表，判斷目標(biāo)主機(jī)是否存在該攻擊可利用的漏洞；如果不存在該漏洞，IDS將抑制告警的產(chǎn)生，但要記錄關(guān)于該漏洞的告警信息作為追究法律責(zé)任的依據(jù)。這種做法能夠使安全管理員專心處理由于系統(tǒng)漏洞產(chǎn)生的告警。

3.2告警泛濫抑制

IDS產(chǎn)品使用告警泛濫抑制技術(shù)可以降低誤報率。在利用漏洞的攻擊勢頭逐漸變強(qiáng)之時，IDS短時間內(nèi)會產(chǎn)生大量的告警信息；而IDS傳感器卻要對同一攻擊重復(fù)記錄，尤其是蠕蟲在網(wǎng)絡(luò)中自我繁殖的過程中，這種現(xiàn)象最為重要。

所謂“告警泛濫”是指短時間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警。IDS可根據(jù)用戶需求減少或抑制短時間內(nèi)同一傳感器針對某個流量產(chǎn)生的重復(fù)告警。這樣。網(wǎng)管人員可以專注于公司網(wǎng)絡(luò)的安全狀況，不至于為泛濫的告警信息大傷腦筋。告警泛濫抑制技術(shù)是將一些規(guī)則或參數(shù)（包括警告類型、源IP、目的IP以及時間窗大?。┤谌氲絀DS傳感器中，使傳感器能夠識別告警飽和現(xiàn)象并實(shí)施抵制操作。有了這種技術(shù)，傳感器可以在告警前對警報進(jìn)行預(yù)處理，抑制重復(fù)告警。例如，可以對傳感器進(jìn)行適當(dāng)配置，使它忽略在30秒內(nèi)產(chǎn)生的針對同一主機(jī)的告警信息；IDS在抑制告警的同時可以記錄這些重復(fù)警告用于事后的統(tǒng)計分析。

3.3告警融合

該技術(shù)是將不同傳感器產(chǎn)生的、具有相關(guān)性的低級別告警融合成更高級別的警告信息，這有助于解決誤報和漏報問題。當(dāng)與低級別警告有關(guān)的條件或規(guī)則滿足時，安全管理員在IDS上定義的元告警相關(guān)性規(guī)則就會促使高級別警告產(chǎn)生。如掃描主機(jī)事件，如果單獨(dú)考慮每次掃描，可能認(rèn)為每次掃描都是獨(dú)立的事件，而且對系統(tǒng)的影響可以忽略不計；但是，如果把在短時間內(nèi)產(chǎn)生的一系列事件整合考慮，會有不同的結(jié)論。IDS在10min內(nèi)檢測到來自于同一IP的掃描事件，而且掃描強(qiáng)度在不斷升級，安全管理人員可以認(rèn)為是攻擊前的滲透操作，應(yīng)該作為高級別告警對待。例子告訴我們告警融合技術(shù)可以發(fā)出早期攻擊警告，如果沒有這種技術(shù)，需要安全管理員來判斷一系列低級別告警是否是隨后更高級別攻擊的先兆；而通過設(shè)置元警告相關(guān)性規(guī)則，安全管理員可以把精力都集中在高級別警告的處理上。元警告相關(guān)性規(guī)則中定義參數(shù)包括時間窗、事件數(shù)量、事件類型IP地址、端口號、事件順序。

4降低IDS漏報率方法研究

4.1特征模式匹配方法分析

模式匹配是入侵檢測系統(tǒng)中常用的分析方法，許多入侵檢測系統(tǒng)如大家熟知的snort等都采用了模式匹配方法。

單一的模式匹配方法使得IDS檢測慢、不準(zhǔn)確、消耗系統(tǒng)資源，并存在以下嚴(yán)重問題：

（1）計算的負(fù)載過大，持續(xù)該運(yùn)算法則所需的計算量極其巨大。

（2）模式匹配特征搜索技術(shù)使用固定的特征模式來探測攻擊，只能探測明確的、唯一的攻擊特征，即便是基于最輕微變換的攻擊串都會被忽略。

（3）一個基于模式匹配的IDS系統(tǒng)不能智能地判斷看似不同字符串／命令串的真實(shí)含義和最終效果。在模式匹配系統(tǒng)中，每一個這樣的變化都要求攻擊特征數(shù)據(jù)庫增加一個特征記錄。這種技術(shù)攻擊運(yùn)算規(guī)則的內(nèi)在缺陷使得所謂的龐大特征庫實(shí)際上是徒勞的，最后的結(jié)果往往是付出更高的計算負(fù)載，而導(dǎo)致更多的丟包率，也就產(chǎn)生遺漏更多攻擊的可能，特別是在高速網(wǎng)絡(luò)下，導(dǎo)致大量丟包，漏報率明顯增大。

可見傳統(tǒng)的模式匹配方法已不能適應(yīng)新的要求。在網(wǎng)絡(luò)通信中，網(wǎng)絡(luò)協(xié)議定義了標(biāo)準(zhǔn)的、層次化、格式化的網(wǎng)絡(luò)數(shù)據(jù)包。在攻擊檢測中，利用這種層次性對網(wǎng)絡(luò)協(xié)議逐層分析，可以提高檢測效率。因此，在數(shù)據(jù)分析時將協(xié)議分析方法和模式匹配方法結(jié)合使用，可以大幅度減少匹配算法的計算量，提高分析效率，得到更準(zhǔn)確的檢測結(jié)果。

4.2 協(xié)議分析方法分析

在以網(wǎng)絡(luò)為主的入侵檢測系統(tǒng)中，由于把通過網(wǎng)絡(luò)獲得的數(shù)據(jù)包作為偵測的資料來源，所以數(shù)據(jù)包在網(wǎng)絡(luò)傳輸中必須遵循固定的協(xié)議才能在電腦之間相互溝通，因此能夠按照協(xié) 議類別對規(guī)則集進(jìn)行分類。協(xié)議分析的原理就是根據(jù)現(xiàn)有的協(xié)議模式，到固定的位置取值（而不式逐一的去比較），然后根據(jù)取得的值判斷其協(xié)議連同實(shí)施下一步分析動作。其作用是非類似于郵局的郵件自動分撿設(shè)備，有效的提高了分析效率，同時還能夠避免單純模式匹配帶來的誤報。

根據(jù)以上特點(diǎn)，能夠?qū)f(xié)議分析算法用一棵協(xié)議分類樹來表示，如圖2所示。

這樣，當(dāng)IDS進(jìn)行模式匹配時，利用協(xié)議分析過濾許多規(guī)則，能夠節(jié)省大量的時間。在任何規(guī)則中關(guān)于TCP的規(guī)則最多，大約占了50%以上，因此在初步分類后，能夠按照端口進(jìn)行第二次分類。在兩次分類完成后，能夠快速比較特征庫中的規(guī)則，減少大量不必要的時間消耗。如有必要，還可進(jìn)行多次分類，盡量在規(guī)則樹上分叉，盡可能的縮減模式匹配的范圍。

每個分析機(jī)的數(shù)據(jù)結(jié)構(gòu)中包含以下信息：協(xié)議名稱、協(xié)議代號以及該協(xié)議對應(yīng)的攻擊檢測函數(shù)。協(xié)議名稱是該協(xié)議的唯一標(biāo)志，協(xié)議代號是為了提高分析速度用的編號。為了提高檢測的精確度，可以在樹中加入自定義的協(xié)議結(jié)點(diǎn)，以此來細(xì)化分析數(shù)據(jù)，例如在HTTP協(xié)議中可以把請求URL列入該樹中作為一個結(jié)點(diǎn)，再將URL中不同的方法作為子節(jié)點(diǎn)。

分析機(jī)的功能是分析某一特定協(xié)議的數(shù)據(jù)，得出是否具有攻擊的可能性存在。一般情況下，分析機(jī)盡可能的放到樹結(jié)構(gòu)的葉子結(jié)點(diǎn)上或盡可能的靠近葉子結(jié)點(diǎn)，因?yàn)樵娇拷鼧涓糠值姆治鰴C(jī)，調(diào)用的次數(shù)越多。過多的分析機(jī)聚集在根部附近會嚴(yán)重影響系統(tǒng)的性能。同時葉子結(jié)點(diǎn)上的協(xié)議類型劃分越細(xì)，分析機(jī)的效率越高。

因此，協(xié)議分析技術(shù)有檢測快、準(zhǔn)確、資源消耗少的特點(diǎn)，它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在。

5結(jié)束語

本文對幾種降低IDS誤報率和漏報率的方法進(jìn)行分析研究，通過將這幾種方法相互結(jié)合，能有效提高入侵檢測系統(tǒng)的運(yùn)行效率并能大大簡化安全管理員的工作，從而保證網(wǎng)絡(luò)安全的運(yùn)行。由于方法論的問題，目前IDS的誤報和漏報是不可能徹底解決的。因此，IDS需要走強(qiáng)化安全管理功能的道路，需要強(qiáng)化對多種安全信息的收集功能，需要提高IDS的智能化分析和報告能力，并需要與多種安全產(chǎn)品形成配合。只有這樣，IDS才能成為網(wǎng)絡(luò)安全的重要基礎(chǔ)設(shè)施。

參考文獻(xiàn):

[1]張杰，戴英俠.入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[J].計算機(jī)與通信，2002(6)：28-32.

[2]唐洪英，付國瑜.入侵檢測的原理與方法[J].重慶工學(xué)院學(xué)報，2002(4)：71-73.

[3]戴連英，連一峰，王航.系統(tǒng)安全與入侵檢測技術(shù)[M].北京：清華大學(xué)出版社，2002(3).

[4]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2006：48-56.

[5]耿麥香.網(wǎng)絡(luò)入侵檢測技術(shù)研究[J].科技情報開發(fā)與經(jīng)濟(jì)，2003，13(12)：217-218.

[6]連一峰.入侵檢測綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003(3)：47-49.