麥丞程

摘要：隨著社會(huì)信息化程度的不斷加深，網(wǎng)絡(luò)空間安全的重要性日益突出。作為保障網(wǎng)絡(luò)空間安全的重要組成部分，入侵檢測技術(shù)處于不斷的發(fā)展與創(chuàng)新之中。該文對(duì)入侵檢測系統(tǒng)和相關(guān)技術(shù)的發(fā)展進(jìn)行了綜述，對(duì)比分析了各種入侵檢測系統(tǒng)的特點(diǎn)，介紹了兩種經(jīng)典的入侵檢測模型。在此基礎(chǔ)上，提出了一種混合型入侵檢測模型，并對(duì)入侵檢測技術(shù)與系統(tǒng)的發(fā)展進(jìn)行了展望。

關(guān)鍵詞：網(wǎng)絡(luò)空間安全；入侵檢測；模型；分類；綜述

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）18-0029-02

1.概述

隨著“互聯(lián)網(wǎng)+”概念的提出，社會(huì)信息化程度逐步加深，越來越多的傳統(tǒng)行業(yè)開始與互聯(lián)網(wǎng)應(yīng)用相結(jié)合，推出了許多更便捷、經(jīng)濟(jì)、全面的優(yōu)質(zhì)服務(wù)。同時(shí)，消費(fèi)者的消費(fèi)行為也發(fā)生著質(zhì)的改變，由實(shí)體貨幣支付開始向虛擬貨幣、移動(dòng)支付等電子貨幣支付的方向轉(zhuǎn)移。電子商務(wù)，電子銀行和電子支付的興起在提升消費(fèi)者購物體驗(yàn)的同時(shí)，其安全性也受到了嚴(yán)峻的挑戰(zhàn)和深度的關(guān)切。

近年來有關(guān)網(wǎng)絡(luò)空間安全的事件屢見不鮮。2013年的“棱鏡”事件開始讓眾多互聯(lián)網(wǎng)用戶感受到了來自網(wǎng)絡(luò)空間的安全威脅。自2007年起，美國國家安全局（National Security Agencv，NSA）和聯(lián)邦調(diào)查局（Federal Bureau 0fInvestigation，F(xiàn)BI）啟動(dòng)了一項(xiàng)代號(hào)“棱鏡”（PRISM）的電子監(jiān)控項(xiàng)目，在長達(dá)6年的時(shí)間內(nèi)，悄無聲息地對(duì)全球大量的企業(yè)、學(xué)校、政府等機(jī)構(gòu)的網(wǎng)絡(luò)服務(wù)器進(jìn)行人侵，包括可以直接進(jìn)入美國互聯(lián)網(wǎng)中心服務(wù)器進(jìn)行數(shù)據(jù)的竊取與收集，入侵其他國家的網(wǎng)絡(luò)服務(wù)器，甚至是終端設(shè)備，以進(jìn)行情報(bào)的搜集。2014年1月，國內(nèi)頂級(jí)域名服務(wù)器遭到入侵，服務(wù)出現(xiàn)異常，導(dǎo)致大面積的DNS解析故障。由此而引發(fā)的網(wǎng)頁無法打開或是瀏覽網(wǎng)頁異?？D現(xiàn)象持續(xù)了數(shù)小時(shí)，對(duì)廣大互聯(lián)網(wǎng)用戶造成了巨大的不便與損失。2014年3月，攜程公司被爆出存在安全支付日志漏洞事件。安全人員發(fā)現(xiàn)入侵者可以通過下載攜程公司的支付日志，從而獲取用戶的敏感信息，包括用戶姓名、銀行卡賬號(hào)等。2014年4月，Heartbleed漏洞被曝光。目前，大多數(shù)網(wǎng)銀，移動(dòng)支付等在線支付活動(dòng)都是采用SSL（Secure Sockets Layer安全套接層）技術(shù)進(jìn)行加密，以保證數(shù)據(jù)安全。而這一技術(shù)則是依靠OpenSSL開發(fā)套件得以實(shí)現(xiàn)的。因此，OpenSSL上存在的Heartbleed漏洞能夠使得網(wǎng)絡(luò)人侵者竊取用戶內(nèi)存中的敏感數(shù)據(jù)，包括用戶賬號(hào)、密碼等。

為了解決網(wǎng)絡(luò)入侵行為所導(dǎo)致的數(shù)據(jù)泄密、服務(wù)終止等問題，入侵檢測技術(shù)與配套系統(tǒng)開始應(yīng)用在互聯(lián)網(wǎng)之中。隨著網(wǎng)絡(luò)攻防技術(shù)向復(fù)雜化、持續(xù)化、高威脅化等方向的轉(zhuǎn)變，人侵檢測技術(shù)也處于不斷的發(fā)展與創(chuàng)新之中。

2.起源及分類

1980年，Anderson等人首先提出了“計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視”的概念。作為“人侵檢測”概念的前身，Anderson將“安全威脅”定位為“未經(jīng)授權(quán)的用戶蓄意地訪問、操縱信息，使得系統(tǒng)不可靠或不可用”；將用戶分為：合法用戶、假冒用戶和秘密用戶。在其提出的入侵檢測框架中，檢測對(duì)象包括：用戶、審計(jì)記錄、會(huì)話記錄、應(yīng)用程序和文件。其目的是提升用戶計(jì)算機(jī)系統(tǒng)的安全審計(jì)與監(jiān)控能力。1985年，Denninff～等人提出了首個(gè)人侵檢測專家系統(tǒng)（Intrusion Detection Expert System，IDES）的模型和算法，采用基于樸素貝葉斯和決策樹的方法對(duì)主機(jī)上的日志文件和訪問信息進(jìn)行審計(jì)和分析，發(fā)現(xiàn)其中的異常行，從而進(jìn)行人侵者識(shí)別與防御。文獻(xiàn)提出的概念及其模型都是基于主機(jī)的入侵檢測系統(tǒng)，即人侵檢測系統(tǒng)部署在主機(jī)上，通常是針對(duì)系統(tǒng)的運(yùn)行日志、文件系統(tǒng)和訪問者進(jìn)行審計(jì)和監(jiān)控。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，針對(duì)網(wǎng)絡(luò)流量分析的入侵檢測系統(tǒng)的研究開始受到關(guān)注。1990年，HeberleintSl首次提出了一個(gè)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)可以利用硬件或軟件對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行采集、監(jiān)聽、分析和監(jiān)控，發(fā)現(xiàn)潛在入侵者。這類系統(tǒng)大多部署在服務(wù)器上或是與防火墻一起協(xié)同工作。在入侵檢測效果方面，基于主機(jī)和網(wǎng)絡(luò)的入侵檢測系統(tǒng)擁有各自的技術(shù)優(yōu)、缺點(diǎn)，如表1所示。

為了充分利用這上述兩種類型的入侵檢測系統(tǒng)的優(yōu)勢，分布式入侵檢測系統(tǒng)隨后也被許多研究者提出。采用分布式結(jié)構(gòu)的人侵檢測系統(tǒng)可以同時(shí)收集來自本地主機(jī)和網(wǎng)絡(luò)中的日志記錄、訪問記錄等數(shù)據(jù)，并將這些數(shù)據(jù)進(jìn)行統(tǒng)一的存儲(chǔ)、分析和處理。該結(jié)構(gòu)具有平臺(tái)獨(dú)立性、可擴(kuò)展性和靈活性等特點(diǎn)，對(duì)于被保護(hù)的系統(tǒng)能夠提供更全面的保護(hù)。因此，這種類型的人侵檢測系統(tǒng)得到了廣泛的應(yīng)用。

3.入侵檢測模型

文獻(xiàn)提出了一個(gè)基于主機(jī)的通用型入侵檢測系統(tǒng)模型。該系統(tǒng)由用戶、資源、審計(jì)記錄、行為特征、異常記錄、行為規(guī)則這六部分組成。該模型的系統(tǒng)框架如圖1所示。文獻(xiàn)針對(duì)網(wǎng)絡(luò)流量分析提出了一個(gè)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，彌補(bǔ)了基于主機(jī)的人侵檢測系統(tǒng)在分析網(wǎng)絡(luò)訪問者行為方面的不足。其模型架構(gòu)如圖2所示。

為了充分發(fā)揮上述兩種入侵檢測系統(tǒng)的優(yōu)勢，本文提出了一種混合型入侵檢測系統(tǒng)模型。該模型能夠分別對(duì)主機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行分析，擴(kuò)大了傳統(tǒng)人侵檢測系統(tǒng)的覆蓋范圍，提升了系統(tǒng)的可擴(kuò)展性與部署的靈活性。該系統(tǒng)的模型架構(gòu)如下圖3所示。

該系統(tǒng)模型由三部分組成，分別為網(wǎng)絡(luò)部分、本地目標(biāo)主機(jī)部分和入侵檢測分析引擎部分。在網(wǎng)絡(luò)部分，通過傳感器采集網(wǎng)絡(luò)數(shù)據(jù)包，并將采集到的數(shù)據(jù)上傳到入侵檢測分析引擎部分。在本地目標(biāo)主機(jī)部分，利用本地代理Agent作為采集數(shù)據(jù)的傳感器將本地主機(jī)的行為與系統(tǒng)數(shù)據(jù)上傳到人侵檢測分析引擎部分。在分析引擎模塊，將來自網(wǎng)絡(luò)和本地主機(jī)的數(shù)據(jù)統(tǒng)一格式化后存儲(chǔ)在審計(jì)記錄庫中，將這些數(shù)據(jù)特征化之后提取其中的行為模式存人到行為模式庫中，再從行為模式庫中提起這些行為向量與入侵模式庫中的入侵行為進(jìn)行匹配；如果匹配結(jié)果為異常行為，則記錄該異常，并更新人侵模式庫；如果匹配結(jié)果為合法行為，則記錄該行為，更新行為模式庫。

4.今后方向與展望

綜合上述的分析，本文試對(duì)人侵檢測系統(tǒng)的發(fā)展方向進(jìn)行如下展望：

1）在大數(shù)據(jù)時(shí)代背景下，入侵檢測技術(shù)與系統(tǒng)需要具備能夠?qū)崟r(shí)采集、處理、分析和展示來自終端設(shè)備與網(wǎng)絡(luò)的海量、多種類型的異構(gòu)數(shù)據(jù)。為了提升入侵檢測系統(tǒng)實(shí)時(shí)處理大數(shù)據(jù)的能力，基于云計(jì)算的分布式入侵檢測系統(tǒng)的研發(fā)顯得尤為必要。此外，為了直觀、高效的展示當(dāng)前的安全態(tài)勢，數(shù)據(jù)可視化技術(shù)也應(yīng)該被應(yīng)用于人侵檢測系統(tǒng)中，進(jìn)一步擴(kuò)展安全情報(bào)的理解、交流與分享能力，及時(shí)地向大眾預(yù)警新型的安全威脅案例。

2）入侵檢測技術(shù)與系統(tǒng)的部署平臺(tái)還存在局限性。在移動(dòng)互聯(lián)網(wǎng)時(shí)代，諸如智能手機(jī)、智能手表、平板電腦等智能移動(dòng)終端得到了普及，尤其是電子商務(wù)的興起增加了大眾對(duì)于基于移動(dòng)終端的入侵檢測與防御系統(tǒng)的迫切需求。但是，當(dāng)前大多數(shù)的人侵檢測系統(tǒng)都是部署在PC機(jī)或是網(wǎng)絡(luò)服務(wù)器之上，而且其運(yùn)行時(shí)需要占用大量的系統(tǒng)資源。如何能夠提高人侵檢測算法的效率，小型化入侵檢測系統(tǒng)，使之能夠適合部署于移動(dòng)智能終端是今后入侵檢測技術(shù)和系統(tǒng)發(fā)展的方向之一。

3）隨著社交網(wǎng)絡(luò)的蓬勃發(fā)展，來自社交媒體的網(wǎng)絡(luò)入侵威脅正在加劇。由于這種入侵行為利用合法用戶的好友身份作為掩護(hù)，具有極強(qiáng)的隱蔽性與欺騙性，導(dǎo)致傳統(tǒng)的基于異常檢測與誤用檢測的入侵檢測算法與模型顯得無能為力。因此，設(shè)計(jì)并實(shí)現(xiàn)適用于社交網(wǎng)絡(luò)的人侵檢測技術(shù)與系統(tǒng)也是未來的發(fā)展方向之一。

5.結(jié)束語

入侵檢測技術(shù)作為互聯(lián)網(wǎng)時(shí)代維護(hù)網(wǎng)絡(luò)空間安全的一種重要工具與方法，是防范敏感數(shù)據(jù)泄露、拒止惡意人侵與攻擊行為、保障企業(yè)、學(xué)校、政府和個(gè)人信息安全的有效手段。隨著網(wǎng)絡(luò)空間安全的重要性與嚴(yán)峻陛的日益突出，越來越多的人開始意識(shí)到了安全、可信的網(wǎng)絡(luò)環(huán)境的必要性。各大安全公司正在不斷推出新一代的入侵檢測設(shè)備，其功能越來越強(qiáng)大，檢測和防御的范圍逐漸擴(kuò)展，協(xié)作性也日益增強(qiáng)。作為一個(gè)具有實(shí)用價(jià)值的研究領(lǐng)域，入侵檢測技術(shù)及其系統(tǒng)具有重要的研究意義和廣闊的應(yīng)用前景。