張 帥，白 偉

(太原廣播電視大學(xué)，山西 太原 030002)

入侵檢測(cè)是在考慮網(wǎng)絡(luò)環(huán)境安全的基礎(chǔ)上提出的，是一種能夠積極主動(dòng)地對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)測(cè)、防御或防止系統(tǒng)內(nèi)外入侵行為發(fā)生的網(wǎng)絡(luò)安全技術(shù)。與常用的安全防御技術(shù)比較，入侵檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)入侵行為能夠積極處理，具有智能監(jiān)測(cè)、實(shí)時(shí)監(jiān)控、自動(dòng)響應(yīng)、配置簡(jiǎn)單的特點(diǎn)。入侵檢測(cè)技術(shù)就是對(duì)入侵過程的檢測(cè)，它可以對(duì)系統(tǒng)安全日志、網(wǎng)絡(luò)異常行為、審計(jì)數(shù)據(jù)進(jìn)行實(shí)時(shí)分析，也可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息以及系統(tǒng)中的重要數(shù)據(jù)進(jìn)行收集整理，以此來檢查系統(tǒng)中存在的安全隱患和破壞系統(tǒng)安全的行為。入侵檢測(cè)通過主動(dòng)的安全防御技術(shù)對(duì)誤操作以及系統(tǒng)內(nèi)外攻擊提供實(shí)時(shí)保護(hù)，在系統(tǒng)遭到網(wǎng)絡(luò)攻擊時(shí)，能夠進(jìn)行積極的響應(yīng)、阻止惡意的入侵行為。所以，在網(wǎng)絡(luò)通信的實(shí)時(shí)安全性方面，入侵檢測(cè)技術(shù)具有不可取代的地位。從20世紀(jì)90年代至今，入侵檢測(cè)方法出現(xiàn)了突飛猛進(jìn)的發(fā)展，在分列式、實(shí)時(shí)檢測(cè)以及智能計(jì)算等多個(gè)方面取得了一定的成果。

一、入侵檢測(cè)模型

1986年P(guān)eterNeumann等研究并提出最早的入侵檢測(cè)模型（IDS）。該系統(tǒng)模型的構(gòu)成部分如圖1所示。

圖1 IDS檢測(cè)模型

此模型的缺點(diǎn)是沒有包含攻擊方面的知識(shí)和已經(jīng)存在的系統(tǒng)漏洞，又由于入侵檢測(cè)模型不具備兼容性，因此兩個(gè)不同入侵檢測(cè)模型在一個(gè)計(jì)算機(jī)系統(tǒng)內(nèi)不能共存，多個(gè)入侵檢測(cè)模塊之間也不能夠共享數(shù)據(jù)，彌補(bǔ)現(xiàn)有的系統(tǒng)的不足之處、改進(jìn)計(jì)算機(jī)系統(tǒng)的功能就必須重構(gòu)整個(gè)入侵檢測(cè)模型。因此，為了實(shí)現(xiàn)不同系統(tǒng)的兼容性與相互共存，提出公共入侵檢測(cè)框架(CIDF)。

圖2 CIDF檢測(cè)模型

CIDF的模型如圖2所示，其構(gòu)成要素主要有四個(gè)部分。在CIDF檢測(cè)模型中，分析的網(wǎng)絡(luò)信息被稱為事件。其可以是計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)信息，或者是系統(tǒng)中通過其他方法得到的數(shù)據(jù)。事件的產(chǎn)生器主要負(fù)責(zé)收集事件，這些事件主要來自于除IDS檢測(cè)模型以外的部分，并將其變換成CIDF可以識(shí)別的文件形式，再將這些文件信息傳輸?shù)絼e的功能模塊；分析器主要負(fù)責(zé)分析由其他的構(gòu)成組件得到的數(shù)據(jù)包，給出分析結(jié)果數(shù)據(jù)包，并將結(jié)果數(shù)據(jù)包再繼續(xù)發(fā)送傳遞給其他的構(gòu)成部分；響應(yīng)單元是一種功能單元，主要負(fù)責(zé)對(duì)分析結(jié)果的數(shù)據(jù)包做出相應(yīng)的反應(yīng)，對(duì)接收到的數(shù)據(jù)包進(jìn)行處理，可以切斷接通渠道、更改信息屬性，或者給予警示告知；事件的信息數(shù)據(jù)庫(kù)用于存放不同階段獲得的信息數(shù)據(jù)，其組成既可以是比較復(fù)雜的數(shù)據(jù)，或者是較為普通的文本文件。入侵檢測(cè)模型具有較為強(qiáng)大的拓展性和靈活性，已經(jīng)得到了較為廣泛的認(rèn)可和應(yīng)用。

二、入侵檢測(cè)技術(shù)分類

通過對(duì)現(xiàn)有入侵檢測(cè)系統(tǒng)的研究，并結(jié)合近些年出現(xiàn)的人工免疫方法、遺傳算法、數(shù)據(jù)挖掘等新型的檢測(cè)技術(shù)，將入侵檢測(cè)模型分為異常檢測(cè)、誤用檢測(cè)和混合檢測(cè)三種。

1.異常檢測(cè)

異常檢測(cè)是指觀察數(shù)據(jù)通信中的不正常的活動(dòng)。一般來說，系統(tǒng)出現(xiàn)異常的行為并不代表一定有入侵活動(dòng)存在，但是當(dāng)有入侵活動(dòng)發(fā)生時(shí)，系統(tǒng)中一定會(huì)出現(xiàn)異常的現(xiàn)象。比如，當(dāng)監(jiān)視一個(gè)系統(tǒng)調(diào)用，發(fā)現(xiàn)偏離了正常運(yùn)行模式時(shí)，則系統(tǒng)中一定存在入侵行為；或者是發(fā)現(xiàn)系統(tǒng)用戶發(fā)生了非正常的調(diào)用、非正常的登錄行為，則表明系統(tǒng)存在入侵活動(dòng)。根據(jù)檢測(cè)規(guī)則，異常檢測(cè)具有檢測(cè)未知攻擊特征入侵活動(dòng)的優(yōu)點(diǎn)，但是其錯(cuò)誤報(bào)警行為是不可避免的。如何最低限度地降低誤報(bào)率，有待做進(jìn)一步的研究。圖3為典型的異常檢測(cè)系統(tǒng)模型。

圖3 典型異常檢測(cè)系統(tǒng)

2.誤用檢測(cè)

誤用檢測(cè)技術(shù)是根據(jù)已有的入侵活動(dòng)特征發(fā)展起來的一種檢測(cè)技術(shù)，也稱為特征校對(duì)檢測(cè)。首先要對(duì)不合法或惡意的行為特征進(jìn)行定義，并將這些行為的特征分類總結(jié)建立數(shù)據(jù)庫(kù)。將獲取的網(wǎng)絡(luò)數(shù)據(jù)信息特征與數(shù)據(jù)庫(kù)中的信息特征進(jìn)行比對(duì)，如果出現(xiàn)數(shù)據(jù)信息特征比對(duì)結(jié)果一致，則說明網(wǎng)絡(luò)系統(tǒng)中存在入侵活動(dòng)；如果未存在對(duì)比一致的特征信息，則有可能是正常的網(wǎng)絡(luò)活動(dòng)，但也有可能是未被添加到入侵活動(dòng)特征信息數(shù)據(jù)庫(kù)中的入侵特征，且入侵活動(dòng)的特征信息數(shù)據(jù)庫(kù)的建立和完善滯后于入侵特征的變換和發(fā)展，因此誤用檢測(cè)存在漏檢的情況。圖4是典型誤用檢測(cè)系統(tǒng)。

圖4 典型誤用檢測(cè)系統(tǒng)

3.混合檢測(cè)

如今的入侵活動(dòng)逐漸趨于多樣性，并且大多數(shù)的入侵活動(dòng)具有黑客攻擊、混合攻擊的特征。且由于異常檢測(cè)存在誤報(bào)行為、檢測(cè)率相對(duì)較低和誤用檢測(cè)存在漏檢行為，因此，使用單一的入侵檢測(cè)技術(shù)（異常檢測(cè)或者誤用檢測(cè)）很難有效地完成入侵檢測(cè)的任務(wù)。結(jié)合異常檢測(cè)和誤用檢測(cè)進(jìn)行取長(zhǎng)補(bǔ)短，可以彌補(bǔ)兩種單一檢測(cè)方法的不足，因而在此基礎(chǔ)上提出了混合檢測(cè)。該檢測(cè)方案既可以對(duì)未知的入侵特征進(jìn)行檢測(cè)，也可以減低檢測(cè)的誤報(bào)率，最終提高了入侵檢測(cè)的效率。

三、入侵檢測(cè)技術(shù)的特點(diǎn)

針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊方法的復(fù)雜性和多樣性，并隨著科學(xué)技術(shù)的不斷發(fā)展，入侵檢測(cè)技術(shù)也有了快速的發(fā)展。未來入侵檢測(cè)主要呈現(xiàn)出以下特點(diǎn)：

1.實(shí)時(shí)檢測(cè)

實(shí)時(shí)入侵檢測(cè)主要是根據(jù)系統(tǒng)的日常行為活動(dòng)規(guī)律以及異常特征數(shù)據(jù)庫(kù)信息對(duì)系統(tǒng)的活動(dòng)進(jìn)行監(jiān)測(cè)，當(dāng)檢測(cè)到入侵行為，立即采取措施，切斷主機(jī)與外界的連接，并對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行積極恢復(fù)，未來入侵檢測(cè)首要特點(diǎn)即為高速的檢測(cè)效率。因此，首先要優(yōu)化內(nèi)部組成和檢測(cè)算法，提高系統(tǒng)的運(yùn)行速度。其次，高速網(wǎng)絡(luò)協(xié)議的提出與實(shí)施。

2.分布式檢測(cè)

分布式檢測(cè)技術(shù)結(jié)合了基于主機(jī)和網(wǎng)絡(luò)檢測(cè)系統(tǒng)的優(yōu)點(diǎn)，該系統(tǒng)由傳感器、局域網(wǎng)管理器和中央數(shù)據(jù)處理器三部分組成。傳感器負(fù)責(zé)采集與主機(jī)相關(guān)的有用數(shù)據(jù)，局域網(wǎng)管理器負(fù)責(zé)對(duì)局域網(wǎng)內(nèi)數(shù)據(jù)流量進(jìn)行采集，并最終將采集的數(shù)據(jù)傳送到中央處理器，由該處理器完成數(shù)據(jù)的分析和入侵檢測(cè)的工作。

3.智能計(jì)算的檢測(cè)

入侵檢測(cè)的智能化是基于計(jì)算智能的理論及方法，尤其是對(duì)異常檢測(cè)，通過對(duì)檢測(cè)對(duì)象的特征進(jìn)行學(xué)習(xí)，并將分析的數(shù)據(jù)結(jié)果進(jìn)行建模。另外一種常用的入侵檢測(cè)方法是利用專家系統(tǒng)，通過拓展與更新知識(shí)庫(kù)，使得專家系統(tǒng)具備了自學(xué)習(xí)的特征，從而不斷地加強(qiáng)入侵檢測(cè)系統(tǒng)的防御攻擊能力，使得應(yīng)用前景更為廣泛。

4.入侵檢測(cè)的響應(yīng)技術(shù)

入侵檢測(cè)的響應(yīng)技術(shù)是指在分析出非法活動(dòng)或發(fā)生非法活動(dòng)之后，采取一定的處理方式或者采取一定的方式告知操作員。入侵檢測(cè)的響應(yīng)由主動(dòng)響應(yīng)和被動(dòng)響應(yīng)組成，其中被動(dòng)響應(yīng)又分為報(bào)警響應(yīng)和手動(dòng)響應(yīng)的方式。報(bào)警響應(yīng)和手動(dòng)響應(yīng)方式只是進(jìn)行被動(dòng)式記錄和處理入侵檢測(cè)行為，因此主要的研究方向?yàn)橹鲃?dòng)式響應(yīng)技術(shù)。主動(dòng)式的響應(yīng)技術(shù)的發(fā)展將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全提供強(qiáng)有力的保障。目前主動(dòng)式檢測(cè)技術(shù)的商業(yè)用途仍處于萌芽階段，僅僅在科研和研發(fā)機(jī)構(gòu)得到一些應(yīng)用，但隨著人們對(duì)網(wǎng)絡(luò)安全要求的不斷提高，高效、自動(dòng)的入侵響應(yīng)技術(shù)將得到更加廣泛的應(yīng)用。

[1]卿斯?jié)h,蔣建春等.網(wǎng)絡(luò)安全入侵檢測(cè)研究綜述 [J].通信學(xué)報(bào)，2004，（7）:19-29.

[2]李鴻培.入侵檢測(cè)中幾個(gè)關(guān)鍵問題的研究[D].西安電子科技大學(xué)博士學(xué)位論文，2001.

[3]郭曉淳，吳杰宏等.入侵檢測(cè)綜述[J].沈陽航空工業(yè)學(xué)院學(xué)報(bào)，2001,（4）:67-70.

[4]王艷華,馬志強(qiáng),臧露等.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].信息技術(shù)，2009，（6）:41-44.

[5]畢戰(zhàn)科,許勝禮.入侵檢測(cè)技術(shù)的研究現(xiàn)狀及其發(fā)展[J].軟件導(dǎo)刊，2010，(11):152-154.