羅騰

（浙江杭州師范大學(xué)錢江學(xué)院，浙江 杭州310012）

1 前言

網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。人們在享受到各種生活便利和溝通便捷的同時(shí)，網(wǎng)絡(luò)安全問題也日漸突出、形勢日益嚴(yán)峻。網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序，損害了網(wǎng)民的利益：網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國共同關(guān)注的焦點(diǎn)。

當(dāng)前，在全球范圍內(nèi)，隨著互聯(lián)網(wǎng)的迅猛發(fā)展，對計(jì)算機(jī)及其網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的入侵已經(jīng)成為一個(gè)越來越嚴(yán)重的問題。對于網(wǎng)絡(luò)入侵的檢測和防護(hù)已經(jīng)日益成為迫切的要求。網(wǎng)絡(luò)入侵相對于傳統(tǒng)入侵來說，具有以下的特征：沒有地域和時(shí)間的限制；網(wǎng)絡(luò)攻擊往往混雜在大量的網(wǎng)絡(luò)活動當(dāng)中，隱蔽性較強(qiáng)；入侵手段和方法更加復(fù)雜、多變；入侵行為的技術(shù)含量越來越高，造成的后果和危害也隨之越來越嚴(yán)重；入侵工具日益完善，攻擊者不需要有非常專業(yè)的計(jì)算機(jī)知識，就能夠完成相對復(fù)雜的攻擊過程。

網(wǎng)絡(luò)安全的發(fā)展趨勢，越來越從單一安全防范轉(zhuǎn)向集成化、多功能化，安全技術(shù)也出現(xiàn)了融合的趨勢。對網(wǎng)絡(luò)防御而言，它對付的攻擊難以預(yù)測，而攻擊者僅僅需要一個(gè)成功的攻擊，而防御者需要對所有攻擊加以防護(hù)。網(wǎng)絡(luò)安全技術(shù)已從單純的監(jiān)測網(wǎng)絡(luò)攻擊和防御入侵，轉(zhuǎn)變?yōu)榉烙?、檢測、響應(yīng)與恢復(fù)等多種技術(shù)的融合。

2 入侵檢測與協(xié)議分析技術(shù)

入侵檢測是指通過監(jiān)視用戶行為、安全日志、審計(jì)資料或者網(wǎng)絡(luò)原始數(shù)據(jù)流，在特定的網(wǎng)絡(luò)環(huán)境中發(fā)現(xiàn)和識別未經(jīng)授權(quán)的或者惡意的攻擊和入侵，并對此做出反應(yīng)的過程。入侵檢測可以積極主動的對內(nèi)部攻擊、外部攻擊和誤操作提供實(shí)時(shí)保護(hù)，當(dāng)網(wǎng)絡(luò)受到入侵時(shí)，能夠及時(shí)發(fā)現(xiàn)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。如今，信息系統(tǒng)不斷的復(fù)雜化，入侵行為的頻繁發(fā)生，使我們更加認(rèn)識到安全模型理論自身的局限性以及實(shí)現(xiàn)中存在的漏洞。增強(qiáng)系統(tǒng)安全的一種行之有效的方法是采用一個(gè)比較容易實(shí)現(xiàn)的安全技術(shù)，同時(shí)使用輔助的安全系統(tǒng)，對可能存在的安全漏洞進(jìn)行檢查，入侵檢測就是這樣的技術(shù)。所謂入侵，是指任何試圖危及計(jì)算機(jī)資源的完整性、機(jī)密性或可用性的行為。而入侵檢測，便是通過運(yùn)用各種檢測技術(shù)對入侵行為進(jìn)行分析，從而確定攻擊行為的存在并及時(shí)報(bào)警。入侵檢測一般是通過從計(jì)算機(jī)網(wǎng)絡(luò)或眾多主機(jī)中的若干關(guān)鍵點(diǎn)收集數(shù)據(jù)信息，并對這些信息進(jìn)行過濾和分析處理，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認(rèn)為是防火墻之后的另一個(gè)防護(hù)手段，它主要區(qū)別于放火墻的特點(diǎn)在于，入侵檢測能夠在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。簡單來說，入侵檢測系統(tǒng)主要包括3個(gè)部分：獲取事件信息源，即對信息的收集和預(yù)處理；入侵分析引擎；對分析結(jié)果的響應(yīng)部件。信息源是入侵檢測的首要素，它可以看作是一個(gè)事件產(chǎn)生器。事件來源于審計(jì)紀(jì)錄、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序數(shù)據(jù)或者防火墻、認(rèn)證服務(wù)器等應(yīng)用子系統(tǒng)。IDS可以有多種不同類型的引擎，用于判斷信息源，檢察數(shù)據(jù)有沒有被攻擊，有沒有違反安全策略。當(dāng)引擎產(chǎn)生一個(gè)可以反映的結(jié)果時(shí)，響應(yīng)部件就做出反應(yīng)，包括將分析結(jié)果記錄到日至文件，對入侵者采取行動。根據(jù)入侵的嚴(yán)重程度，反映行動可以有名種級別。對于低級別的入侵，可以只對用戶發(fā)出提醒；而對于級別較高的，可以給管理員發(fā)送警報(bào)，并主動采取一些防范措施。入侵檢測的一般過程(見圖1)是：信息收集，包括通信記錄、網(wǎng)絡(luò)流量記錄等；信息數(shù)據(jù)的預(yù)處理，對信息進(jìn)行合理的過濾、分析和存檔；數(shù)據(jù)的監(jiān)測分析，通過系統(tǒng)的分析技術(shù)來判斷入侵事件的發(fā)生與否；根據(jù)安全策略做出響應(yīng)。

一般來說，入侵檢測系統(tǒng)能夠完成下列活動：監(jiān)控、分析用戶和系統(tǒng)的活動；發(fā)現(xiàn)入侵企圖或者異?，F(xiàn)象；審計(jì)系統(tǒng)的配置和弱點(diǎn)；評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性；對異?；顒拥慕y(tǒng)計(jì)分析；識別攻擊的活動模式；實(shí)時(shí)報(bào)警和主動響應(yīng)。

入侵檢測系統(tǒng)相對于傳統(tǒng)的安全技術(shù)來說，提供了一種主動的防護(hù)，而控制訪問、認(rèn)證和防火墻等只是被動的防護(hù)，因此入侵檢測系統(tǒng)經(jīng)常被稱為安全的最后一道防線。

3 入侵檢測常用模型及其發(fā)展

入侵檢測從策略上來講主要分為異常檢測和誤用檢測，從分析方法上來講，又可以分為基于統(tǒng)計(jì)的、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘三類技術(shù)。我們從IDs的整體框架來對入侵檢測模型進(jìn)行劃分，則主要是三種：通用模型、層次化模型和智能化模型。

3.1 通用入侵檢測模型

通用入侵檢測模型的雛形是由Dorothy E.Denning所提出的，該模型后來又經(jīng)過許多研究者的改進(jìn)和拓展，逐步加入了異常檢測器以及專家系統(tǒng)等，其中異常檢測器用于統(tǒng)計(jì)異常模型的建立，專家系統(tǒng)用來實(shí)現(xiàn)基于規(guī)則的檢測。模型的3個(gè)主要部分是事件發(fā)生器(Event Generator)、活動記錄器(ActivityProfile)和規(guī)則集(Rule Set)。其中事件發(fā)生器提供網(wǎng)絡(luò)活動信息；活動記錄器保存監(jiān)視中的系統(tǒng)和網(wǎng)絡(luò)狀態(tài)；規(guī)則集用于事件或狀態(tài)的核查以及判斷，主要通過模型、規(guī)則、模式和統(tǒng)計(jì)數(shù)據(jù)來對入侵行為進(jìn)行判定。

3.2 層次化入侵檢測模型

層次化模型是如今最常見的，也是最為成熟的一種，其思想來源于入侵檢測的兩種常用技術(shù)，即誤用檢測和異常檢測。這兩種技術(shù)分別有利于已知和未知的兩種入侵行為判定，而其差異性就帶來的檢測的層次性。一般來說，誤用檢測比較簡單，效率也較高，誤報(bào)率較低；而異常檢測主要針對一些疑難的、未知的情況。兩者所用于比較的信息分別是非安全行為與安全行為，而一些介于兩種行為之間情況，則需要兩者結(jié)合，既可以通過攻擊行為的分析檢測出己知入侵，又確?？梢酝ㄟ^對安全策略庫和疑似入侵的行為進(jìn)行模式匹配來檢測出未知入侵種類，這就是層次化入侵檢測模型的基本思想。另外從入侵檢測的數(shù)據(jù)來源上看，同樣也分為網(wǎng)絡(luò)數(shù)據(jù)源和主機(jī)數(shù)據(jù)源兩種層次。

3.3 智能入侵檢測模型

隨著智能Agent技術(shù)的不斷發(fā)展，其分布式、自治和協(xié)同工作能力給入侵檢測技術(shù)帶來新的生機(jī)。目前的人工智能工程己經(jīng)轉(zhuǎn)向以智能Agent技術(shù)為基礎(chǔ)組織結(jié)構(gòu)，Agent作為執(zhí)行安全監(jiān)視和入侵檢測功能的軟件代理，它可以在有或者沒有其他代理的條件下工作，可接受更高層其他實(shí)體的控制命令。Agent既可以執(zhí)行簡單特定的功能，也可以執(zhí)行復(fù)雜的行為。作為入侵檢測智能模型的核心，Agent的效率與性能決定了整個(gè)IDS的價(jià)值?；贏gent的入侵檢測模型主要包括主機(jī)檢測Agent、網(wǎng)絡(luò)檢測Agent、通信Agent、響應(yīng)Agent以及一個(gè)控制臺。不同種類的Agent具有不同的特征和處理功能，可以對其自由配置，獨(dú)立進(jìn)行操作。同種Agent以及不同Agent之間都可以通過Agent通信語言(AgentCommunication Language ACL)來進(jìn)行信息交互，從而進(jìn)行協(xié)同工作。

[1]馮登國.網(wǎng)絡(luò)安全原理與技術(shù).北京：科學(xué)出版社，2003

[2]袁津生，吳硯農(nóng).計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ).北京：人民郵電出版社，2002