胡莉萍

（浙江橫店影視職業(yè)學(xué)院，東陽 322118）

0 引言

信息網(wǎng)絡(luò)如今已成為全世界范圍內(nèi)的一個(gè)信息交換和資源共享的平臺(tái)，它有著開發(fā)和共享這個(gè)特性，但是這個(gè)特性也成了信息網(wǎng)絡(luò)的先天安全缺陷。另一方面，網(wǎng)絡(luò)上的黑客站點(diǎn)很多，黑客們的攻擊手段也很高明。而我們國家在這個(gè)方面的法律法規(guī)卻相對(duì)比較滯后。因此很多大公司都曾被黑客入侵。信息安全問題已不容我們忽視。本論文將對(duì)網(wǎng)絡(luò)安全中的入侵檢測問題進(jìn)行研究，提出以入侵檢測為核心的動(dòng)態(tài)的網(wǎng)絡(luò)安全解決方案。

1 入侵檢測通用模型

入侵檢測技術(shù)是從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)若干關(guān)鍵點(diǎn)中收集分析相關(guān)信息，通過分析來得出系統(tǒng)或網(wǎng)絡(luò)是否已經(jīng)被攻擊或已存在安全隱患，同時(shí)要作出響應(yīng)的一種動(dòng)態(tài)安全防御技術(shù)。它有實(shí)時(shí)性、動(dòng)態(tài)檢測性和主動(dòng)防御性，可以彌補(bǔ)靜態(tài)防御工具的缺點(diǎn)，如可將防火墻和入侵檢測系統(tǒng)結(jié)合起來使用來共同抵擋網(wǎng)絡(luò)內(nèi)外的攻擊。

1987年Dorothy E.Denning提出了名為IDES的入侵檢測模型。該模型由六個(gè)部分組成：主體（指在目標(biāo)系統(tǒng)上活動(dòng)的實(shí)體）、對(duì)象即客體、審計(jì)記錄（主體對(duì)客體實(shí)施操作時(shí)系統(tǒng)產(chǎn)生的數(shù)據(jù)）、活動(dòng)檔案（主體相對(duì)于客體的正常行為用度量和統(tǒng)計(jì)模型來表示）、異常記錄和活動(dòng)規(guī)則（條件和動(dòng)作）。

Denning模型定義了事件計(jì)數(shù)器、資源測量器、間隔定時(shí)器這3種度量。并提出了可操作模型、多變量模型、時(shí)間序列模型、均值和標(biāo)準(zhǔn)差模型和馬爾可夫過程模型這5種統(tǒng)計(jì)模型。Denning模型會(huì)對(duì)系統(tǒng)審計(jì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析從而得出單個(gè)用戶或一組用戶的正常的行為特征，模型通過將這些正常的行為特征與系統(tǒng)中的審計(jì)數(shù)據(jù)進(jìn)行比較，如果不相同的內(nèi)容超過了規(guī)定的范圍就可得出是有入侵了。這個(gè)模型成了其后的許多異常檢測方法的基礎(chǔ)。該模型如圖1所示。

圖1 Denning入侵檢測模型

2 層次化入侵檢測模型

現(xiàn)今比較常見和成熟的是來源于誤用檢測和異常檢測的層次化入侵檢測模型。誤用檢測往往是針對(duì)非安全行為，而異常檢測則針對(duì)安全行為，層次化入侵檢測模型則既可以通過對(duì)攻擊行為的分析檢測出已知入侵，同時(shí)又可以通過對(duì)安全策略庫和疑似入侵的行為進(jìn)行模式匹配來檢測出未知入侵種類。

誤用檢測和異常檢測相結(jié)合就構(gòu)成了層次化的模型，這種模型通過對(duì)入侵行為的逐步分析和處理，可以將大多數(shù)的攻擊行為檢測出來，層次化入侵檢測模型分為入侵行為檢測和入侵結(jié)果檢測兩部分，整個(gè)過程主要分成入侵特征提取和入侵行為分析。層次化入侵檢測模型如圖2所示，攻擊特征的提取和行為分析都結(jié)合在層次化入侵檢測模型的整個(gè)體系結(jié)構(gòu)中，其中入侵特征提取代表了基于知識(shí)的入侵檢測思想和入侵行為分析則代表基于行為的檢測思想，入侵特征提取用于檢測未知入侵和入侵行為分析則用于監(jiān)控已知的入侵。層次化入侵檢測模型如圖2所示。

圖2 層次化入侵檢測體系結(jié)構(gòu)

3 CIDF通用入侵檢測框架

CIDF由美國加州大學(xué)戴維斯分校計(jì)算機(jī)安全實(shí)驗(yàn)室于1997年初提出。CIDF將入侵檢測系統(tǒng)分為4個(gè)基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫，以上這4個(gè)組件中的事件指系統(tǒng)需要分析的數(shù)據(jù)如網(wǎng)絡(luò)中的數(shù)據(jù)包或從系統(tǒng)日志中得到的信息。這些組件之間采用統(tǒng)一入侵檢測對(duì)象GIDO這個(gè)標(biāo)準(zhǔn)格式進(jìn)行數(shù)據(jù)交換，因此這些組件在其他環(huán)境中只需要將典型的環(huán)境特征轉(zhuǎn)換為GIDO格式就可以使用。雖然CIDF標(biāo)準(zhǔn)并沒有正式確立，但各IDS廠商都在按照CIDF進(jìn)行信息交換的標(biāo)準(zhǔn)化工作。

1）事件產(chǎn)生器

事件產(chǎn)生器負(fù)責(zé)從整個(gè)計(jì)算環(huán)境中收集數(shù)據(jù)也就是相關(guān)事件（Event），并將這些數(shù)據(jù)轉(zhuǎn)換成GIDO格式傳送給其他組件。

2）事件分析器

事件分析器的任務(wù)是分析從其他組件收到的CIDF的GIDO，并將得到的分析結(jié)果傳送給其他組件。

3）事件數(shù)據(jù)庫

事件數(shù)據(jù)庫負(fù)責(zé)存儲(chǔ)系統(tǒng)需要的時(shí)候使用的各種中間和最終事件的數(shù)據(jù)。

4）響應(yīng)單元

響應(yīng)單元是對(duì)分析結(jié)果做出諸如威脅報(bào)警、殺死相關(guān)進(jìn)程等反應(yīng)的功能單元。

CIDF的體系結(jié)構(gòu)如圖3所示。

圖3 CIDF的體系結(jié)構(gòu)

4 入侵檢測方法

1）誤用檢測 (Misuse Detection)。

誤用檢測將所有觀測到的和目標(biāo)對(duì)象有關(guān)的用戶行為同通過分析各種已知的攻擊方法、手段和漏洞組建起來的入侵模式庫進(jìn)行比較，如果發(fā)現(xiàn)其行為與入侵模式庫的某種入侵模式匹配，就可判定是入侵行為。這種方法準(zhǔn)確度較高，因此目前幾種商用的IDS如Snort、Bro基本都使用它。當(dāng)然它也存在一定的缺陷，那就是對(duì)入侵特征模式庫太過依賴，如果模式庫本身并不完整或不能得到及時(shí)更新，那么就很容易發(fā)生漏報(bào)事件，另外隨著入侵行為的添加，模式庫的容量也會(huì)不繼擴(kuò)大，這也必然會(huì)加重系統(tǒng)的負(fù)擔(dān)和降低發(fā)現(xiàn)入侵行的效率。目前常用的誤用檢測技術(shù)有專家系統(tǒng)（Expert Systems）、模式匹配（Pattern Matching）和基于Petri網(wǎng)分析的濫用入侵檢測方法等。一種比較典型的誤用入侵檢測系統(tǒng)模型如圖4所示。

2）異常檢測（Anomaly Detection）

異常檢測技術(shù)首先將不符合對(duì)象正常、合法的所有活動(dòng)判定為入侵行為，為了判定這種不正?，F(xiàn)象，異常檢測技術(shù)得對(duì)正常狀態(tài)下的系統(tǒng)行為建立起行為模型，但建立模型的過程是復(fù)雜且動(dòng)態(tài)變化的，在已建立起行為模型的基礎(chǔ)上，將從系統(tǒng)中觀測到的與目標(biāo)對(duì)象相關(guān)的活動(dòng)與之進(jìn)行比較就可得出哪些是可疑的入侵行為。異常檢測技術(shù)存在著許多不確定性和誤警率也較高，這種技術(shù)目前還主要停留在研究階段，但這一思想的本質(zhì)對(duì)我們研究和設(shè)計(jì)NIDS有著十分重要的作用。比較成熟的異常檢測技術(shù)有統(tǒng)計(jì)分析（Statistioal Measures）和神經(jīng)網(wǎng)絡(luò)技術(shù)（Neural Networks）。當(dāng)然還有其它的一些異常檢測方法，如基于數(shù)據(jù)挖掘（DataMining）的、基于計(jì)算機(jī)免疫學(xué)的異常檢測方法等。一種比較典型的異常入侵檢測系統(tǒng)模型如圖5所示。

圖5 一種比較典型的異常入侵檢測系統(tǒng)模型

圖6 基于Agent的入侵檢測模型

3) 智能入侵檢測模型

誤用檢測的智能性要求較低，它主要用于對(duì)已知行為進(jìn)行檢測，而異常檢測對(duì)智能的要求則較高，它主要針對(duì)未知入侵。入侵檢測系統(tǒng)通過單個(gè)主機(jī)和監(jiān)視模塊收集數(shù)據(jù)，收集后再由一個(gè)中心處理器來完成檢測。智能化入侵檢測模型一般是使用神經(jīng)網(wǎng)絡(luò)、遺傳算法等智能化手段來進(jìn)行入侵特征的辨識(shí)與泛化?；贏gent的入侵檢測模型如圖6所示。

5 結(jié)束語

入侵檢測是對(duì)網(wǎng)絡(luò)靜態(tài)防御技術(shù)的一種有效彌補(bǔ)工具，它能提供對(duì)網(wǎng)絡(luò)內(nèi)外部攻擊的實(shí)時(shí)保護(hù)。設(shè)計(jì)和實(shí)現(xiàn)有效的入侵檢測模型是建立IDS的關(guān)鍵。入侵檢測技術(shù)也正與其它學(xué)科如數(shù)據(jù)挖掘、人工智能等交融匯合形成了新的入侵檢測技術(shù)，并對(duì)網(wǎng)絡(luò)安全起著新的更強(qiáng)的保護(hù)作用。入侵檢測模型的發(fā)展必將會(huì)逐步走向豐富化、智能化和多元化。

[1] 張鵬, 趙輝.關(guān)于入侵檢測模型的研究與分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2009, 03.

[2] 王麗薔.基于黑客行為特征的入侵檢測研究[D].解放軍信息工程大學(xué).2009, 10.

[3] 羅騰.基于協(xié)議分析的入侵檢測系統(tǒng)研究與設(shè)計(jì)[J].中國新技術(shù)新產(chǎn)品.2010, 07.

[4] 武明.Agent技術(shù)在入侵檢測中的應(yīng)用研究[D].電子科技大學(xué).2004, 02.

[5] 張家超, 王全善.網(wǎng)絡(luò)入侵檢測技術(shù)的研究[J].連云港職業(yè)技術(shù)學(xué)院學(xué)報(bào)(綜合版).2004, 03.

[6] 馬星亮.基于CORBA的分布式入侵檢測系統(tǒng)的研究與實(shí)現(xiàn)[D].武漢科技大學(xué).2008, 04.

[7] 滿紅芳, 宿超, 馬春清.基于Agent的分布式入侵檢測系統(tǒng)模型的研究與設(shè)計(jì)[J].山東電大學(xué)報(bào).2006, 02.

[8] 李勇, 李建, 曾銀.數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用[J].山西電子技術(shù).2006, 12.

[9] 劉秀麗.基于網(wǎng)絡(luò)的智能化入侵檢測系統(tǒng)模型研究[D].南京航空航天大學(xué).2007, 12.

[10] 郝文江.黑客入侵檢測模型研究[J].吉林公安高等專科學(xué)校學(xué)報(bào).2009, 12.