【摘 要】從網(wǎng)絡(luò)安全的角度出發(fā)，對(duì)有關(guān)入侵監(jiān)測(cè)的概念，入侵監(jiān)測(cè)的目的，入侵監(jiān)測(cè)的系統(tǒng)功能構(gòu)成，入侵監(jiān)測(cè)的分類，基于網(wǎng)絡(luò)和基于主機(jī)的兩種入侵檢測(cè)技術(shù)做了詳細(xì)論述，最后基于現(xiàn)狀來談?wù)剬?duì)未來入侵監(jiān)測(cè)系統(tǒng)的發(fā)展方向的看法。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；入侵檢測(cè)；技術(shù)

隨著互聯(lián)網(wǎng)使用在我們?nèi)粘９ぷ魃钪械氖褂萌找骖l繁以及相關(guān)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)入侵技術(shù)已經(jīng)得到了相當(dāng)程度的普及，越來越多的人使用黑客工具對(duì)網(wǎng)絡(luò)上的其他用戶進(jìn)行攻擊，由此引發(fā)的網(wǎng)絡(luò)安全問題也隨之越來越嚴(yán)重，很多組織正在致力于提出更多的更強(qiáng)大的主動(dòng)策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性，傳統(tǒng)的各種靜態(tài)安全防御體系，如防火墻、身份認(rèn)證及數(shù)據(jù)加密技術(shù)雖然已經(jīng)比較成熟，但這些技術(shù)并不能夠組建成完整的安全防御體系。因此，入侵檢測(cè)技術(shù)就應(yīng)運(yùn)而生，在入侵檢測(cè)之前，大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的，他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對(duì)策。因此，它們對(duì)入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時(shí)地調(diào)整系統(tǒng)的安全策略。而入侵檢測(cè)能夠根據(jù)網(wǎng)絡(luò)攻擊行為的蹤跡和規(guī)律發(fā)現(xiàn)入侵行為，是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全系統(tǒng)，它不僅可以發(fā)現(xiàn)已知入侵行為，還能夠發(fā)現(xiàn)未知的入侵行為，并可以通過自我學(xué)習(xí)和分析入侵手段，及時(shí)地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。

一、入侵檢測(cè)的定義

入侵檢測(cè)是對(duì)防火墻的合理補(bǔ)充或補(bǔ)償，處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)，從系統(tǒng)（網(wǎng)絡(luò)）的關(guān)鍵點(diǎn)采集信息并分析信息，察看系統(tǒng)（網(wǎng)絡(luò)）中是否有違法安全策略的行為，保證系統(tǒng)（網(wǎng)絡(luò)）的安全性，完整性和可用性。[1]它是幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊的積極防御技術(shù)，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)架構(gòu)的完整性。

二、入侵檢測(cè)的系統(tǒng)功能構(gòu)成

一個(gè)入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。

入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開，分析出入侵行為并對(duì)入侵者進(jìn)行定位。入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。由于單個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)能力和檢測(cè)范圍的限制，入侵檢測(cè)系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個(gè)檢測(cè)單元運(yùn)行于網(wǎng)絡(luò)中的各個(gè)網(wǎng)段或系統(tǒng)上，通過遠(yuǎn)程管理功能在一臺(tái)管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和監(jiān)控。[2]

三、入侵檢測(cè)的技術(shù)分類

入侵檢測(cè)系統(tǒng)按照數(shù)據(jù)來源收集方式的不同，分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)兩種。

1.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過分析主機(jī)之間網(wǎng)線上傳輸?shù)男畔砉ぷ鞯模话闶抢靡粋€(gè)工作在“混雜模式”下的網(wǎng)卡來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流。在Internet中，任何一臺(tái)主機(jī)發(fā)送的數(shù)據(jù)包，都會(huì)在所經(jīng)過的網(wǎng)絡(luò)中進(jìn)行廣播，也就是說，任何一臺(tái)主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)接收。在正常設(shè)置下，主機(jī)的網(wǎng)卡對(duì)每一個(gè)到達(dá)的數(shù)據(jù)包進(jìn)行過濾，只將目的地址是本機(jī)的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū)，而將其他數(shù)據(jù)包丟棄，因此，正常情況下網(wǎng)絡(luò)上的主機(jī)表現(xiàn)為只關(guān)心與本機(jī)有關(guān)的數(shù)據(jù)包，但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的這種接收模式被稱為混雜模式，目前絕大部分網(wǎng)卡都提供這種設(shè)置，因此，在需要的時(shí)候，對(duì)網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。在其他網(wǎng)絡(luò)環(huán)境下，雖然可能不采用廣播的方式傳送報(bào)文，但目前很多路由設(shè)備或交換機(jī)都提供數(shù)據(jù)報(bào)文監(jiān)視功能。

2.基于主機(jī)的入侵檢測(cè)系統(tǒng)

基于主機(jī)的入侵檢測(cè)系統(tǒng)是比較早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)，它的檢測(cè)目的主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶，檢測(cè)原理是根據(jù)主機(jī)的審計(jì)日志信息發(fā)現(xiàn)不正常的事件，檢測(cè)系統(tǒng)可以運(yùn)行在被檢測(cè)的主機(jī)上，還可以運(yùn)行在單獨(dú)的主機(jī)上。

檢測(cè)系統(tǒng)設(shè)置以發(fā)現(xiàn)不正當(dāng)?shù)南到y(tǒng)設(shè)置和系統(tǒng)設(shè)置的不正當(dāng)更改對(duì)系統(tǒng)安全狀態(tài)進(jìn)行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。

基于主機(jī)日志的安全審計(jì)，通過分析主機(jī)日志來發(fā)現(xiàn)入侵行為。基于主機(jī)的入侵檢測(cè)系統(tǒng)具有檢測(cè)效率高，分析代價(jià)小，分析速度快的特點(diǎn)，能夠迅速并準(zhǔn)確地定位入侵者，并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對(duì)入侵進(jìn)行進(jìn)一步分析。[3]目前很多是基于主機(jī)日志分析的入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)存在的問題是：首先它在一定程度上依賴于系統(tǒng)的可靠性，它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)置，然后才能提取入侵信息；即使進(jìn)行了正確的設(shè)置，對(duì)操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時(shí)地將系統(tǒng)日志抹去，從而不被發(fā)覺；并且主機(jī)的日志能夠提供的信息有限，有的入侵手段和途徑不會(huì)在日志中有所反映，日志系統(tǒng)對(duì)有的入侵行為不能做出正確的響應(yīng)，例如利用網(wǎng)絡(luò)協(xié)議棧的漏洞進(jìn)行的攻擊，通過ping命令發(fā)送大數(shù)據(jù)包，造成系統(tǒng)協(xié)議棧溢出而死機(jī)，或是利用ARP欺騙來偽裝成其他主機(jī)進(jìn)行通信，這些手段都不會(huì)被高層的日志記錄下來。在數(shù)據(jù)提取的實(shí)時(shí)性、充分性、可靠性方面基于主機(jī)日志的入侵檢測(cè)系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。[4]

四、入侵檢測(cè)的技術(shù)發(fā)展方向

如今，入侵檢測(cè)系統(tǒng)的技術(shù)發(fā)展方向有以下幾個(gè)：

1.分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)

傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。同時(shí)不同的IDS系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。[5]

2.應(yīng)用層入侵檢測(cè)

許多入侵的語義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測(cè)如WEB之類的通用協(xié)議，而不能處理如Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。[6]許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測(cè)保護(hù)。

3.智能的入侵檢測(cè)

入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。

入侵檢測(cè)技術(shù)作為一種主動(dòng)的安全防護(hù)技術(shù)，對(duì)網(wǎng)絡(luò)系統(tǒng)的安全提供全方位的保護(hù)。但是，由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展以及目前檢測(cè)方法還不是十分有效，因此，在以后相當(dāng)長(zhǎng)的一個(gè)時(shí)期內(nèi)，入侵檢測(cè)系統(tǒng)仍會(huì)是網(wǎng)絡(luò)信息安全領(lǐng)域內(nèi)的一個(gè)相當(dāng)重要的研究課題，其主要目標(biāo)還是盡量降低以至消除誤報(bào)和漏報(bào)。

參考文獻(xiàn)：

[1]劉奇有，程思遠(yuǎn).淺談網(wǎng)絡(luò)入侵檢測(cè)技術(shù)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2000（1）：65-68.

[2]王玉梅，張常有，尹士閃.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J].軟件導(dǎo)刊，2007（10）：117-118.

[3][美]Rebecca Gurley Bace.入侵檢測(cè)[M].人民郵電出版社，1991.

[4]王鳳英，程震.網(wǎng)絡(luò)與信息安全[M].北京：中國(guó)鐵道出版社，2006.

[5]朱艷萍，楊意飛.基于人工免疫的入侵檢測(cè)技術(shù)研究[J].軟件導(dǎo)刊，2008（4）：75-76.

[6]唐正軍.入侵檢測(cè)系統(tǒng)技術(shù)導(dǎo)論[M].北京：機(jī)械工業(yè)出版社，2004.

作者簡(jiǎn)介：黃振（1982—），男，江西南昌人，工程師，現(xiàn)供職于江西省信息中心。