安振亞

（山東省科學(xué)技術(shù)協(xié)會學(xué)會服務(wù)中心，山東 濟(jì)南250001）

1 入侵技術(shù)發(fā)展的體現(xiàn)

（1）入侵的綜合化與復(fù)雜化。入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網(wǎng)絡(luò)防范技術(shù)的多重化，攻擊的難度增加，使得入侵者在實(shí)施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實(shí)施的初期掩蓋攻擊或入侵的真實(shí)目的。

（2）入侵主體對象的間接化，即實(shí)施入侵與攻擊的主體的隱蔽化。通過一定的技術(shù)，可掩蓋攻擊主體的源地址及主機(jī)位置。即使用了隱蔽技術(shù)后，對于被攻擊對象攻擊的主體是無法直接確定的。

（3）入侵的規(guī)模擴(kuò)大。對于網(wǎng)絡(luò)的入侵與攻擊，在其初期往往是針對于某公司或一個網(wǎng)站，其攻擊的目的可能為某些網(wǎng)絡(luò)技術(shù)愛好者的獵奇行為，也不排除商業(yè)的盜竊與破壞行為。由于戰(zhàn)爭對電子技術(shù)與網(wǎng)絡(luò)技術(shù)的依賴性越來越大，隨之產(chǎn)生、發(fā)展、逐步升級到電子戰(zhàn)與信息戰(zhàn)。對于信息戰(zhàn)，無論其規(guī)模與技術(shù)都與一般意義上的計算機(jī)網(wǎng)絡(luò)的入侵與攻擊都不可相提并論。信息戰(zhàn)的成敗與國家主干通信網(wǎng)絡(luò)的安全是與任何主權(quán)國家領(lǐng)土安全一樣的國家安全。

（4）入侵技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機(jī)執(zhí)行。由于防范技術(shù)的發(fā)展使得此類行為不能奏效。所謂的分布式拒絕服務(wù)（DDoS）在很短時間內(nèi)可造成被攻擊主機(jī)的癱瘓。且此類分布式攻擊的單機(jī)信息模式與正常通信無差異，所以往往在攻擊發(fā)動的初期不易被確認(rèn)。分布式攻擊是近期最常用的攻擊手段。

（5）攻擊對象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體，但近期來的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng)，且有愈演愈烈的趨勢?，F(xiàn)已有專門針對IDS作攻擊的報道。攻擊者詳細(xì)地分析了IDS的審計方式、特征描述、通信模式找出IDS的弱點(diǎn)，然后加以攻擊。

2 入侵檢測系統(tǒng)存在的問題

入侵檢測系統(tǒng)還存在相當(dāng)多的問題，這些問題大多是目前入侵檢測系統(tǒng)的結(jié)構(gòu)所難以克服的。

（1）攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以及越來越復(fù)雜細(xì)致的攻擊手法。入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術(shù)，才能不致被攻擊者遠(yuǎn)遠(yuǎn)超越。

（2）惡意信息采用加密的方法傳輸。網(wǎng)絡(luò)入侵檢測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測系統(tǒng)往往假設(shè)攻擊信息是通過明文傳輸?shù)?，因此對信息的稍加改變便可能騙過入侵檢測系統(tǒng)的檢測。

（3）不能知道安全策略的內(nèi)容。必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同的安全策略。網(wǎng)絡(luò)及其中的設(shè)備越來越多樣化，入侵檢測系統(tǒng)要能有所定制以更適應(yīng)多樣的環(huán)境要求。

（4）不斷增大的網(wǎng)絡(luò)流量。用戶往往要求入侵檢測系統(tǒng)盡可能快的報警，因此需要對獲得的數(shù)據(jù)進(jìn)行實(shí)時的分析，這導(dǎo)致對所在系統(tǒng)的要求越來越高，商業(yè)產(chǎn)品一般都建議采用當(dāng)前最好的硬件環(huán)境。盡管如此，對日益增大的網(wǎng)絡(luò)流量，單一的入侵檢測系統(tǒng)系統(tǒng)仍很難應(yīng)付。

（5）不恰當(dāng)?shù)淖詣臃磻?yīng)存在風(fēng)險。一般的IDS都有入侵響應(yīng)的功能，如記錄日志，發(fā)送告警信息給console、發(fā)送警告郵件，防火墻互動等，敵手可以利用IDS的響應(yīng)進(jìn)行間接攻擊，使入侵日志迅速增加，塞滿硬盤；發(fā)送大量的警告信息，使管理員無法發(fā)現(xiàn)真正的攻擊者，并占用大量的cpu資源；發(fā)送大量的告警郵件，并占用接收警告郵件服務(wù)器的系統(tǒng)資源；發(fā)送虛假的警告信息，使防火墻錯誤配置，如攻擊者假冒大量不同的IP進(jìn)行模擬攻擊，而入侵檢測系統(tǒng)系統(tǒng)自動配置防火墻將這些實(shí)際上并沒有進(jìn)行任何攻擊的地址都過濾掉，造成一些正常的IP無法訪問等。

（6）自身的安全問題。入侵檢測系統(tǒng)本身也往往存在安全漏洞。因?yàn)镮DS是安裝在一定的操作系統(tǒng)之上，操作系統(tǒng)本身存在漏洞或IDS自身防御力差，就可能受到smurf、synflood等攻擊。此類攻擊很有可能造成IDS的探測器丟包、失效或不能正常工作。

（7）存在大量的誤報和漏報。采用當(dāng)前的技術(shù)及模型，完美的入侵檢測系統(tǒng)無法實(shí)現(xiàn)。這種現(xiàn)象存在的主要原因是：入侵檢測系統(tǒng)必須清楚的了解所有操作系統(tǒng)網(wǎng)絡(luò)協(xié)議的運(yùn)作情況，甚至細(xì)節(jié)，才能準(zhǔn)確的進(jìn)行分析。而不同操作系統(tǒng)之間，甚至同一操作系統(tǒng)的不同版本之間對協(xié)議處理的細(xì)節(jié)均有所不同。而力求全面則必然違背入侵檢測系統(tǒng)高效工作的原則。

3 入侵檢測技術(shù)的發(fā)展方向

今后的入侵檢測技術(shù)大致可朝下述幾個方向發(fā)展：

（1）分布式入侵檢測：傳統(tǒng)的IDS局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)檢測明顯不足，不同的IDS系統(tǒng)之間不能協(xié)同工作。為解決這一問題，需要發(fā)展分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。第一層含義，即針對分布式網(wǎng)絡(luò)攻擊的檢測方法；第二層含義即使用分布式的方法來檢測分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。

（2）應(yīng)用層入侵檢測：許多入侵的語義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測如Web之類的通用協(xié)議，而不能處理如Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。

（3）高速網(wǎng)絡(luò)的入侵檢測：在IDS中，截獲網(wǎng)絡(luò)的每一個數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費(fèi)大量的時間和系統(tǒng)資源，因此大部分現(xiàn)有的IDS只有幾十兆的檢測速度，隨著百兆、甚至千兆網(wǎng)絡(luò)的大量應(yīng)用，需要研究高速網(wǎng)絡(luò)的入侵檢測。

（4）增加信譽(yù)服務(wù)：很多基于網(wǎng)絡(luò)和基于主機(jī)的IDS產(chǎn)品最近都增加了信譽(yù)服務(wù)。這些服務(wù)已經(jīng)在其他類型的安全控制中使用多年。信譽(yù)服務(wù)能收集域名，IP地址，應(yīng)用協(xié)議，物理位置和計算活動的其他方面信息。然后，IPS系統(tǒng)利用這些信息來確定新的活動是否是是惡意的。此信息對提高確定IPS警報的優(yōu)先級特別有價值。例如，IPS傳感器可以對各類不尋常的活動發(fā)出警報，但是這些IP地址之一的其他惡意操作歷史記錄可能會提升它的分析優(yōu)先級，因?yàn)樗赡苁怯袗阂獾摹?/p>

（5）無線IPS的改進(jìn)：無線IPS技術(shù)比其他形式IPS技術(shù)都要先進(jìn)。隨著無線技術(shù)的發(fā)展，無線IPS技術(shù)正不斷擴(kuò)大自己的能力。例如，自從IEEE 802.11n傳輸標(biāo)準(zhǔn)確定后，大多數(shù)無線IPS技術(shù)已經(jīng)增加了對此標(biāo)準(zhǔn)的支持。

（6）虛擬環(huán)境中IPS的應(yīng)用：云計算的興起帶來了對云安全技術(shù)的特性需求。值得慶幸的是，hypervisor（虛擬機(jī)管理器）是監(jiān)控一個虛擬實(shí)例和不同虛擬實(shí)例間網(wǎng)絡(luò)行為的好地方，更知名的叫法師內(nèi)部檢測。一些hypervisor主動提供自己的入侵檢測技術(shù)，另外一些hypervisor可以把內(nèi)部檢測收集而來的信息傳遞到外部安全的控件，例如，標(biāo)準(zhǔn)的基于主機(jī)的IPS來檢測和發(fā)出警報。企業(yè)要確保當(dāng)一個虛擬實(shí)例從一個云服務(wù)器移到另一個時，其安全策略也一并被轉(zhuǎn)移。

［1］鄭敬華.NIDS模型中檢測引擎模塊的設(shè)計與實(shí)現(xiàn)[J].信息通信,2011（05）.

［2］李志東.基于融合決策的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[D].哈爾濱工程大學(xué),2012.

［3］左澄真,方敏.進(jìn)化模糊分類識別在IDS中的應(yīng)用[J].計算機(jī)工程,2005（23）.

［4］孔靚,賈美娟,李梓.網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].信息技術(shù)，2012（04）.