中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

摘要：現(xiàn)今入侵檢測(cè)系統(tǒng)（IDS）已經(jīng)成為了構(gòu)建大型網(wǎng)絡(luò)的必備組件。盡管如此，網(wǎng)絡(luò)安全事件還是頻頻發(fā)生，近年來(lái)許多的數(shù)據(jù)泄露丑聞吸引了公眾的眼球的同時(shí)，其他的攻擊比如斯達(dá)克蠕蟲(chóng)攻擊成為了人們熱議的焦點(diǎn)。一方面，隨著商業(yè)廣告在互聯(lián)網(wǎng)上的成功和網(wǎng)絡(luò)攻擊能在一個(gè)相對(duì)安全的距離發(fā)動(dòng)，吸引了網(wǎng)絡(luò)犯罪者的注意，僅在過(guò)去幾年的時(shí)間里就形成了一個(gè)高達(dá)數(shù)十億美元的網(wǎng)絡(luò)犯罪市場(chǎng)。另一方面，越來(lái)越多的服務(wù)器和系統(tǒng)移植到了互聯(lián)網(wǎng)中，比如IP電話和視頻點(diǎn)播服務(wù)器，這就為攻擊者提供了一個(gè)新的潛在攻擊角度。文章介紹了當(dāng)前入侵檢測(cè)系統(tǒng)的綜述并且指出了它們的不足，分析了最新的安全威脅和即將到來(lái)的威脅，最后鑒定出了下一代IDS的需求和最近的研究熱點(diǎn)以及未決問(wèn)題。

關(guān)鍵詞：入侵檢測(cè) ； 入侵防御 ； 數(shù)據(jù)泄露防護(hù) ； 早期預(yù)警

引言

入侵檢測(cè)系統(tǒng)經(jīng)過(guò)20多年的發(fā)展已經(jīng)成為了大型網(wǎng)絡(luò)不可缺少的組件。1980年Anderson首先提出了入侵檢測(cè)的概念，他將入侵嘗試或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問(wèn)信息、操作信息，致使系統(tǒng)不可靠或無(wú)法使用的企圖[1]。IDS是為了保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)并配置的一種能夠及時(shí)發(fā)現(xiàn)報(bào)告系統(tǒng)中未授權(quán)現(xiàn)象或異?，F(xiàn)象的安全體系，是一種檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)中違反安全策略行為的系統(tǒng)[2]。

1.當(dāng)前面臨的威脅

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊的手法和攻擊的范圍都改變了很多。通過(guò)蠕蟲(chóng)傳播構(gòu)建僵尸網(wǎng)絡(luò)，控制成千上萬(wàn)的“肉雞”，傳播垃圾郵件或進(jìn)行分布式拒絕服務(wù)攻擊成為現(xiàn)今比較流行的攻擊方式。而網(wǎng)絡(luò)攻擊的方向還是有跡可循的，通過(guò)賽門鐵克公司2013年的網(wǎng)絡(luò)安全報(bào)告[3]，總結(jié)出了以下幾種新興的威脅和傾向：

1.1新的和未知攻擊（面向新的服務(wù)器和設(shè)備）。隨著互聯(lián)網(wǎng)規(guī)模的擴(kuò)大，大量的服務(wù)器和設(shè)備遷入互聯(lián)網(wǎng)，這就給攻擊者創(chuàng)造了一個(gè)新的潛在攻擊角度。通過(guò)這些新的攻擊節(jié)點(diǎn)所發(fā)起的攻擊往往難以追根溯源，也很難被檢測(cè)到。

1.2零日攻擊 。一般應(yīng)用程序的升級(jí)包和補(bǔ)丁程序都是定期發(fā)布的，所以由此產(chǎn)生的零日攻擊近年來(lái)迅速增加。加之用戶安全意識(shí)不高對(duì)補(bǔ)丁和程序升級(jí)不敏感，這就留下了更多的安全隱患。

1.3社交工程學(xué)和定向的攻擊。最近的趨勢(shì)顯示，定向攻擊的比例正在增加。在社交網(wǎng)站、微博上充斥大量的個(gè)人信息，攻擊者通過(guò)社會(huì)工程學(xué)的方法在公司主頁(yè)和社交網(wǎng)站上獲得有用信息來(lái)制造攻擊。以好友名義或最新的社交網(wǎng)站活動(dòng)等帶有欺騙性質(zhì)的木馬郵件，更能使被攻擊者放松警惕，提升感染目標(biāo)系統(tǒng)的幾率。

1.4內(nèi)部威脅。把帶有木馬的移動(dòng)存儲(chǔ)介質(zhì)接入目標(biāo)電腦，木馬就會(huì)自動(dòng)安裝。在這種脫機(jī)傳播方式下，后門程序也就繞過(guò)了原有的安全系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控系統(tǒng)。在這種方式下，對(duì)專網(wǎng)、VPN的攻擊成為了可能。

1.5數(shù)據(jù)泄露。主動(dòng)的內(nèi)部泄露，成為了現(xiàn)在最具挑戰(zhàn)性的危害之一。往往都是由內(nèi)部的管理人員或公司的內(nèi)部員工發(fā)起的，應(yīng)為只有這些人才能得到授權(quán)接近一些敏感信息和機(jī)密數(shù)據(jù)。去年80%的數(shù)據(jù)泄露事件是主動(dòng)泄密造成的。

1.6加密攻擊。隨著2011年2月最后一塊IPv4地址被最后分配， IPV6技術(shù)逐漸深入應(yīng)用，采用加密技術(shù)完成木馬通信成為了新的趨勢(shì)，加密隧道技術(shù)為數(shù)據(jù)傳輸提供安全保證的同時(shí)又增加了木馬傳輸?shù)碾[蔽性。

1.7用戶安全意識(shí)不足。系統(tǒng)軟件廠商通常都會(huì)將補(bǔ)丁推遲到固定的補(bǔ)丁日來(lái)進(jìn)行發(fā)布：程序的升級(jí)只能定期進(jìn)行。如果不能及時(shí)更新安全機(jī)制打上補(bǔ)丁，就給攻擊者提供了一個(gè)明確的攻擊漏洞。

2.現(xiàn)有系統(tǒng)及其缺陷

2.1基于特征的檢測(cè)系統(tǒng)?；谔卣鳈z測(cè)要構(gòu)建一個(gè)特征庫(kù)，使用字符串匹配技術(shù)來(lái)鑒別已知的惡意代碼。為了獲得可以接受的誤警率，必須依靠主機(jī)和服務(wù)器強(qiáng)勁的配置。但是要完整而徹底的完成對(duì)系統(tǒng)和服務(wù)器的配置是比較復(fù)雜的，需要很多的時(shí)間。而且如果需要進(jìn)行一些配置修改比如升級(jí)對(duì)系統(tǒng)效率影響會(huì)很大，所以特征監(jiān)測(cè)在大型網(wǎng)絡(luò)中的應(yīng)用往往不成功。

2.2基于行為的檢測(cè)系統(tǒng)?；诋惓Ｐ袨榈南到y(tǒng)沒(méi)有特征庫(kù)，而是采用建立行為模型來(lái)進(jìn)行審計(jì)。所以如何構(gòu)造精確的網(wǎng)絡(luò)行為模型是當(dāng)前的一個(gè)活躍的研究領(lǐng)域。因?yàn)橐恍┍辉S可的未知用戶行為經(jīng)常會(huì)被誤判為入侵行為，這樣就造成了很高的誤警率。

2.3數(shù)據(jù)泄露保護(hù)和早期預(yù)警系統(tǒng)。同時(shí)早期預(yù)警系統(tǒng)（EWS）也正在建立當(dāng)中，和IDS相比EWS規(guī)模更大，監(jiān)測(cè)的數(shù)據(jù)來(lái)源分布在整個(gè)互聯(lián)網(wǎng)。如果某個(gè)單個(gè)子網(wǎng)的攻擊被發(fā)現(xiàn)，EWS就會(huì)快速通知其他的子網(wǎng)。這樣新的蠕蟲(chóng)的攻擊，就會(huì)在早期得以控制。EWS收集世界各地電腦提供的網(wǎng)絡(luò)異常信息。通過(guò)驗(yàn)證統(tǒng)一地區(qū)的多個(gè)用戶如果都出現(xiàn)了同樣的問(wèn)題，就發(fā)出網(wǎng)絡(luò)攻擊警報(bào)。但是缺陷在于會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)流量，這樣的設(shè)計(jì)只適用于大型的網(wǎng)絡(luò)系統(tǒng)。

通過(guò)分析現(xiàn)有的系統(tǒng)還不能應(yīng)對(duì)新的威脅的發(fā)展趨勢(shì)，下面總結(jié)了現(xiàn)有的IDS的一些不足：

（1）配置復(fù)雜；（2）對(duì)零日攻擊監(jiān)測(cè)能力不足；（3）特征庫(kù)升級(jí)緩慢；（4）帶寬的上升和數(shù)據(jù)量的增加；（5）數(shù)據(jù)庫(kù)的增大；（6）無(wú)法應(yīng)對(duì)應(yīng)用層的加密攻擊；（7）無(wú)法應(yīng)對(duì)加密網(wǎng)絡(luò)連接。

3.新的系統(tǒng)需求

根據(jù)當(dāng)前IDS的不足和安全威脅的發(fā)展趨勢(shì)，下一代的IDS需要滿足以下需求：

（1）采用基于行為的分析系統(tǒng)。隨著零日攻擊、定向攻擊和加密通信的增加，特征分析在入侵監(jiān)測(cè)中的作用已經(jīng)不明顯了。隨著越來(lái)越多的移動(dòng)設(shè)備如智能手機(jī)、平板電腦等加入網(wǎng)絡(luò)，這些移動(dòng)終端都是采用電池供電，有限的電池容量無(wú)法完成大量的特征分析計(jì)算。而使用行為監(jiān)測(cè)方式支持對(duì)新威脅的檢測(cè)。

（2）放棄學(xué)習(xí)階段。由于在學(xué)習(xí)過(guò)程中的安全威脅無(wú)法保證學(xué)習(xí)環(huán)境的純潔性，所以這個(gè)階段最好被去除掉?？梢圆捎脽o(wú)人監(jiān)管的學(xué)習(xí)技術(shù)或其他的途徑代替這一過(guò)程。比如：數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)等方向都再進(jìn)行相應(yīng)研究。

（3）取消載荷檢驗(yàn)

（4）采用代理完成審計(jì)。新的IDS還是應(yīng)該以網(wǎng)絡(luò)為中心，一方面，分布式的復(fù)雜攻擊，只能被網(wǎng)絡(luò)系統(tǒng)確認(rèn)。另一方面對(duì)許多主機(jī)系統(tǒng)的管理容易出錯(cuò)，管理復(fù)雜化造成可擴(kuò)展性差。所以，主機(jī)系統(tǒng)應(yīng)該作為網(wǎng)絡(luò)系統(tǒng)的補(bǔ)充來(lái)使用，而傳統(tǒng)的審計(jì)工作可以交由代理服務(wù)器來(lái)完成。

（5）交叉評(píng)價(jià)和分布式

為了降低系統(tǒng)誤警率，我們可以把自身的入口數(shù)據(jù)流和其它系統(tǒng)異常檢測(cè)警報(bào)的數(shù)據(jù)進(jìn)行分布式和交叉評(píng)價(jià)，在應(yīng)對(duì)已知攻擊的基礎(chǔ)上，增強(qiáng)應(yīng)對(duì)未知異常行為和零日攻擊的能力。

（6）積極的自主防御

系統(tǒng)必須具備智能處理相關(guān)情況的能力。未來(lái)的網(wǎng)絡(luò)通信，數(shù)據(jù)量大、傳輸速度快不允許手動(dòng)配置。而且，在DLP領(lǐng)域，數(shù)據(jù)泄露響應(yīng)越早越好。

4.系統(tǒng)改進(jìn)和研究方向

下一代的IDS并不局限于一個(gè)單個(gè)入侵檢測(cè)功能，而應(yīng)由三個(gè)部分結(jié)合組成：早期預(yù)警、外部檢測(cè)和內(nèi)部檢測(cè)。早期預(yù)警系統(tǒng)遍布全網(wǎng)絡(luò)，通過(guò)跨網(wǎng)域的異常行為的交叉分析，就能檢測(cè)到新的入侵行為，通知并保護(hù)其他未被感染的網(wǎng)絡(luò)。主要功能是用來(lái)應(yīng)對(duì)未知的攻擊。外部檢測(cè)的功能是由NIDS來(lái)執(zhí)行的。多種檢測(cè)技術(shù)被整合起來(lái)。通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的行為分析，用來(lái)檢測(cè)未知的威脅。使用無(wú)人監(jiān)管的方式來(lái)獲得必要的行為模型，避免學(xué)習(xí)階段威脅的產(chǎn)生。如果學(xué)習(xí)階段不能完全去掉，用直接學(xué)習(xí)惡意代碼也是可行的，前提是惡意代碼庫(kù)最新。采用交叉分析的方式降低誤警率。以主機(jī)方式的傳統(tǒng)審計(jì)來(lái)應(yīng)對(duì)加密方式的通信。另外，用專有的基于主機(jī)的自治代理來(lái)輔助審計(jì)。

參考文獻(xiàn)：

[1]Anderson J P.computer security threat monitoring and surveillance [p].PA 19034，USA，1980.04

[2]唐正軍， 李建華編著. 入侵檢測(cè)技術(shù)[ M ]. 北京： 清華大學(xué)出版社， 2004.

[3]Symantec Report on Attack Kits and Malicious Websites， 2013

[4]Sperotto， A.， Schaffrath， G.， Sadre， R.， Morariu， C.， Pras， A.， Stiller， B.， An Overview of IP Flow-based Intrusion Detection， IEEE Survey and Tutorials， Third Issue， 2010

[5]Mohd Fadzli Marhusin， David Cornforth， Henry Larkin， An Overview of Recent Advances in Intrusion Detection， Computer and Information Technology， 2008. CIT 2008. 8th IEEE International Conference on

[6]戴云，范志平. 入侵檢測(cè)系統(tǒng)研究綜述[J].計(jì)算機(jī)工程與運(yùn)用，2004.17-19.75

[7]蘭義華， 張穎江， 錢濤. 入侵檢測(cè)技術(shù)的分析與發(fā)展趨勢(shì)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005.38- 40