劉孟勇　辛燕

【摘 要】入侵檢測能有效彌補(bǔ)傳統(tǒng)防御技術(shù)的缺陷，近年來入侵檢測系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)安全的系統(tǒng)中的重要組成部分。本文在對當(dāng)前主流入侵檢測技術(shù)及系統(tǒng)進(jìn)行詳細(xì)研究分析的基礎(chǔ)上，指出了入侵檢測系統(tǒng)面臨的問題和挑戰(zhàn)。最后對入侵檢測系統(tǒng)的未來發(fā)展方向進(jìn)行了討論，展望了應(yīng)用人工智能技術(shù)的入侵檢測系統(tǒng)、基于Android平臺的入侵檢測系統(tǒng)、基于云模型和支持向量機(jī)的特征選擇方法等新方向。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；入侵檢測；異常檢測；智能技術(shù)

0.引言

目前，在網(wǎng)絡(luò)安全日趨嚴(yán)峻的情況下，解決網(wǎng)絡(luò)安全問題所采用的防火墻、身份認(rèn)證、數(shù)據(jù)加密、虛擬子網(wǎng)等一般被動防御方法已經(jīng)不能完全抵御入侵。此時，研究開發(fā)能夠及時準(zhǔn)確對入侵進(jìn)行檢測并能做出響應(yīng)的網(wǎng)絡(luò)安全防范技術(shù)，即入侵檢測技術(shù)（ID，Intrusion Detection），成為一個有效的解決途徑。入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域中最主要的研究方向。

1.入侵檢測概述

1.1入侵檢測的基本概念

入侵檢測（Intrusion Detection），即是對入侵行為的檢測。入侵是指潛在的、有預(yù)謀的、未被授權(quán)的用戶試圖“接入信息、操縱信息、致使系統(tǒng)不可靠或不可用”的企圖或可能性。它通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的關(guān)鍵點收集信息，并對收集到的信息進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。而入侵檢測系統(tǒng)則是入侵檢測的軟件與硬件的組合。

1.2入侵檢測系統(tǒng)的通用模型

1987年Dorothy E Denning[1]提出了入侵檢測的模型，首次將入侵檢測作為一種計算機(jī)安全防御措施提出。該模型包括6個主要的部分：主體（Subjects）、對象（Objects）、審計記錄（Audit Record）、活動檔案（Active Profile）、異常記錄（Anomaly Record ）、活動規(guī)則（Activity Rules）。

2.入侵檢測系統(tǒng)采用的檢測技術(shù)

從技術(shù)上看，入侵可以分為兩類：一種是有特征的攻擊，它是對已知系統(tǒng)的系統(tǒng)弱點進(jìn)行常規(guī)性的攻擊；另一種是異常攻擊。與此對應(yīng)，入侵檢測也分為兩類：基于特征的（Signature-based即基于濫用的）和基于異常的（Anomaly-based，也稱基于行為的）。

2.1基于特征的檢測

特征檢測，它是假定所有入侵者的活動都能夠表達(dá)為一種特征或模式，分析已知的入侵行為并建立特征模型，這樣對入侵行為的檢測就轉(zhuǎn)化為對特征或模式的匹配搜索， 如果和已知的入侵特征匹配，就認(rèn)為是攻擊。它的難點在于如何設(shè)計模式，使其既能表達(dá)入侵又不會將正常的模式包括進(jìn)來。

2.2基于異常的檢測

2.2.1基于概率統(tǒng)計模型的異常檢測方法

概率統(tǒng)計方法是最早也是使用得最多的一種異常檢測方法，這種入侵檢測方法是基于對用戶歷史行為建模以及在早期的證據(jù)或模型的基礎(chǔ)上，審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況。系統(tǒng)根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄集，當(dāng)用戶改變他們的行為習(xí)慣時，這種異常就會被檢測出來。

2.2.2基于模型推理的入侵檢測技術(shù)

基于模型推理的入侵檢測的實質(zhì)是在審計記錄中搜索可能出現(xiàn)的攻擊子集。攻擊者在攻擊一個系統(tǒng)時往往在系統(tǒng)日志中留下他們的蹤跡。所以通過分析日志文件和審計信息，能夠發(fā)現(xiàn)成功的入侵或入侵企圖。入侵者所產(chǎn)生的種種行為組合在一起就構(gòu)成了行為序列，而這個行為序列是具有一定特征的模型。所以根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。

2.2.3數(shù)據(jù)挖掘

數(shù)據(jù)挖掘強(qiáng)大的分析方法可以用于入侵檢測的建模，使用其中有關(guān)算法對審計數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和序列分析，可以挖掘出關(guān)聯(lián)規(guī)則和序列規(guī)則。

2.3入侵檢測的新技術(shù)

2.3.1基于生物免疫的入侵檢測

基于生物免疫的入侵檢測方法是通過模仿生物有機(jī)體的免疫系統(tǒng)工作機(jī)制，使得受保護(hù)的系統(tǒng)能夠?qū)⒎亲晕业姆欠ㄐ袨榕c自我的合法行為區(qū)分開來。

2.3.2基于偽裝的檢測方法

基于偽裝的檢測方法，是指將一些虛假的信息提供給入侵者，如果入侵者應(yīng)用這些信息攻擊系統(tǒng)，就可以推斷系統(tǒng)正在遭受入侵；并且還可以誘惑入侵者，進(jìn)一步跟蹤入侵的來源。

2.3.3基于Agent的入侵檢測

無控制中心的多Agent結(jié)構(gòu)，每個檢測部件都是獨立的檢測單元，盡量降低了各檢測部件間的相關(guān)性，不僅實現(xiàn)了數(shù)據(jù)收集的分布化，而且將入侵檢測和實時響應(yīng)分布化，真正實現(xiàn)了分布式檢測的思想。

3.入侵檢測系統(tǒng)目前存在的問題

入侵檢測系統(tǒng)近年來取得了較快的發(fā)展，但在理論研究和實際應(yīng)用中仍存在許多問題：

（1）大量的誤報和漏報。由于現(xiàn)在的特征庫組織簡單，造成漏報率和誤報率較高。

（2）系統(tǒng)的自適應(yīng)能力差，自我更新能力不強(qiáng)，系統(tǒng)缺乏靈活性。

（3）入侵檢測系統(tǒng)是失效開放（Fail_open）的機(jī)制，也就是一旦系統(tǒng)停止作用，它所在的整個網(wǎng)絡(luò)是開放的。因此，當(dāng)IDS遭受拒絕服務(wù)攻擊時，這種失效開放的特性使得黑客可以實施攻擊而不被發(fā)現(xiàn)[2]。

（4）高速網(wǎng)絡(luò)下，入侵檢測系統(tǒng)的實時檢測效率低和誤警率較高。在高速網(wǎng)絡(luò)下，網(wǎng)絡(luò)吞吐量大，傳統(tǒng)的入侵檢測系統(tǒng)捕獲全部的數(shù)據(jù)包并進(jìn)行詳細(xì)分析幾乎是不可能做到的。

4.入侵檢測技術(shù)未來發(fā)展趨勢

對于入侵檢測技術(shù)的未來，我們除了完善傳統(tǒng)的技術(shù)，更應(yīng)該開發(fā)出新的入侵檢測技術(shù)來維護(hù)網(wǎng)絡(luò)的安全。今后的入侵檢測技術(shù)的發(fā)展方向集中在以下幾個方面：

（1）面向IPv6的入侵檢測。下一代互聯(lián)網(wǎng)采用IPv6協(xié)議，目前世界正處于從IPv4向IPv6過渡時期。隨著IPv6應(yīng)用范圍的擴(kuò)展，入侵檢測系統(tǒng)支持IPv6將是一大發(fā)展趨勢，是入侵檢測技術(shù)未來幾年該領(lǐng)域研究的主流[3]。

（2）近年來，網(wǎng)絡(luò)攻擊的發(fā)展趨勢是逐漸轉(zhuǎn)向高層應(yīng)用。根據(jù)Gartner[4]的分析，目前對網(wǎng)絡(luò)的攻擊70%以上是集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢。所以入侵檢測系統(tǒng)對應(yīng)用層的保護(hù)將成為未來研究的方向。

（3）入侵檢測系統(tǒng)的自身保護(hù)和易用性的提高。目前的入侵檢測產(chǎn)品大多采用硬件結(jié)構(gòu)，黑箱式接入，免除自身的安全問題[5]。同時，大多數(shù)的使用者對易用性的要求也日益增強(qiáng)，這些都是優(yōu)秀的入侵檢測產(chǎn)品以后繼續(xù)發(fā)展細(xì)化的趨勢。

（4）使用智能化的方法與手段來進(jìn)行入侵檢測。即現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法。

（5）分布式、協(xié)作式入侵檢測和通用式入侵檢測體系結(jié)構(gòu)的研究。隨著網(wǎng)絡(luò)系統(tǒng)的復(fù)雜化以及入侵方式的多樣化，檢測系統(tǒng)的體系結(jié)構(gòu)也在發(fā)展。

（6）基于云模型和支持向量機(jī)的入侵檢測特征選擇方法。解決了目前算法的缺陷。

5.結(jié)束語

入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全防御系統(tǒng)的重要組成部分，它彌補(bǔ)了防火墻的兩個致命缺點：無法檢測內(nèi)部網(wǎng)絡(luò)存在的入侵行為；無法檢測出不通過防火墻但違反安全策略的行為。

目前我國檢測系統(tǒng)的應(yīng)用還遠(yuǎn)遠(yuǎn)沒有普及，由于（下轉(zhuǎn)第198頁）（上接第119頁）計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全涉及我們國家的國防軍事安全和政治社會經(jīng)濟(jì)穩(wěn)定，我們必須在學(xué)習(xí)和借鑒其他國家先進(jìn)理論和技術(shù)的基礎(chǔ)上，研究具有國際先進(jìn)甚至領(lǐng)先水平的網(wǎng)絡(luò)安全技術(shù)，研制具有自主知識產(chǎn)權(quán)的國產(chǎn)網(wǎng)絡(luò)安全產(chǎn)品。 [科]

【參考文獻(xiàn)】

[1]AmoroEG.IntrusionDetection.AnIntroductiontoInternetSurveillance，Correlation，Traps，Traceback，andResponse.http：//www.intrusion.net，1999.

[2]姚蘭，王新梅.入侵檢測系統(tǒng)的現(xiàn)狀與發(fā)展趨勢[J].電信科學(xué)，2002（12）：32-33.

[3]林果園，曹天杰.入侵檢測系統(tǒng)研究綜述[J].計算機(jī)應(yīng)用與軟件，2009，26（3）：16.

[4]http：//www.csoonline.com /analyst/report400.html，2006-12-2.

[5]付永鋼.計算機(jī)信息安全技術(shù)[M].北京：清華大學(xué)出版社，2012.