劉秀平甘肅大學(xué)

?

淺析當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的方案研究

劉秀平
甘肅大學(xué)

摘要：隨著互聯(lián)網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)信息量迅速增長(zhǎng)，網(wǎng)絡(luò)安全問(wèn)題日趨突出。入侵檢測(cè)作為網(wǎng)絡(luò)安全的重要組成部分，已成為目前研究的熱點(diǎn)，本文介紹了入侵檢測(cè)系統(tǒng)的概念、功能、模式及分類(lèi)，指出了當(dāng)前入侵檢測(cè)系統(tǒng)存在的問(wèn)題并提出了改進(jìn)措施。在基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用給人們生活帶來(lái)方便的同時(shí)，網(wǎng)上黑客的攻擊活動(dòng)正以每年1O倍的速度增長(zhǎng)，因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1　入侵檢測(cè)系統(tǒng)的概念

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護(hù)中起著重要作用，其主要功能石控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn)，通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，以防范外對(duì)內(nèi)的非法訪問(wèn)。然而，由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力，為了彌補(bǔ)防火墻存在缺陷，引入了入侵檢測(cè)IDs(Intrusion Detection System)技術(shù)。入侵檢測(cè)是防火墻之后的第二道安全閘門(mén)，是對(duì)防火墻的合理補(bǔ)充，在不影響網(wǎng)絡(luò)性能的情況下，通過(guò)對(duì)網(wǎng)絡(luò)的檢測(cè)，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

入侵檢測(cè)定義為識(shí)別為被授權(quán)使用的計(jì)算機(jī)系統(tǒng)和有合法權(quán)利使用系統(tǒng)但卻濫用特權(quán)的過(guò)程。即通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為和被入侵的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(IDS)。一個(gè)入侵檢測(cè)產(chǎn)品通常由兩部分組成，即傳感器與控制臺(tái)。傳感器負(fù)責(zé)采集數(shù)據(jù)、分析數(shù)據(jù)并生成安全時(shí)間；控制臺(tái)主要起到中央管理作用。商品化的產(chǎn)品通常提供圖形界面的控制臺(tái)，這些控制臺(tái)基本上都支持Windows NT平臺(tái)。

入侵檢測(cè)系統(tǒng)的主要功能有：1、監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；2、核查系統(tǒng)配置和漏洞；3、識(shí)別已知進(jìn)攻并向相關(guān)人員報(bào)警；4、統(tǒng)計(jì)分析異常行為：5、評(píng)估重要系統(tǒng)和數(shù)據(jù)的完整性；6、操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。

2　入侵檢測(cè)系統(tǒng)模型及分類(lèi)

隨著技術(shù)的發(fā)展，后來(lái)人們又提出了基于規(guī)則的檢測(cè)方法。通用入侵檢測(cè)架構(gòu)(CIDF)組織，試圖將現(xiàn)有的入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化，闡述了一個(gè)入侵檢測(cè)系統(tǒng)分為以下4個(gè)組件：事件產(chǎn)生器、事件分析器、相應(yīng)單元和事件數(shù)據(jù)庫(kù)，同時(shí)將需要分析的數(shù)據(jù)統(tǒng)稱為事件。事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包，也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其他部分提供此事件：事件分析器分析得到的事件并產(chǎn)生分析結(jié)果；響應(yīng)單元?jiǎng)t是隊(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)；事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)地方的通稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)也可以是簡(jiǎn)單的文本文件對(duì)入侵檢測(cè)系統(tǒng)主要從數(shù)據(jù)源、檢測(cè)方法、分布形式、響應(yīng)方式等方面分類(lèi)，其中前兩種為主要的分類(lèi)方式。

按照數(shù)據(jù)來(lái)源分類(lèi)：

1、網(wǎng)絡(luò)型：網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)部署在網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)上，優(yōu)點(diǎn)是能夠檢測(cè)基于協(xié)議的攻擊，攻擊者不易轉(zhuǎn)移證據(jù)；檢測(cè)實(shí)時(shí)性強(qiáng)，無(wú)需改動(dòng)網(wǎng)絡(luò)拓?fù)洌瑢?duì)外透明，能降低本身守攻擊的可能性；可在幾個(gè)關(guān)鍵點(diǎn)上配置并觀察多個(gè)系統(tǒng)。主要缺點(diǎn)是對(duì)于加密信道和某些基于加密信道的應(yīng)用層協(xié)議無(wú)法實(shí)現(xiàn)數(shù)據(jù)解密，不能起到監(jiān)視作用；無(wú)法得到主機(jī)系統(tǒng)的實(shí)時(shí)狀態(tài)信息，檢測(cè)復(fù)雜攻擊的準(zhǔn)確率低；在實(shí)時(shí)檢測(cè)中，需對(duì)每個(gè)數(shù)據(jù)包都進(jìn)行協(xié)議解析和模式匹配，系統(tǒng)開(kāi)銷(xiāo)大。

2、主機(jī)型：主機(jī)型入侵檢測(cè)系統(tǒng)部署在主機(jī)上，監(jiān)視分析主機(jī)審計(jì)記錄以檢測(cè)入侵，效率高，能準(zhǔn)確定位入侵并進(jìn)一步分析。有點(diǎn)是不需要額外的硬件，可用于加密以及交換環(huán)境，對(duì)網(wǎng)絡(luò)流量不敏感，檢測(cè)粒度細(xì)，目標(biāo)明確集中，可監(jiān)測(cè)敏感文件、程序或端口。缺點(diǎn)是占用主機(jī)資源，依賴于系統(tǒng)可靠性，可移植性差，只能檢測(cè)針對(duì)本機(jī)的攻擊，不適合檢測(cè)基于網(wǎng)絡(luò)協(xié)議的攻擊，數(shù)據(jù)源主要包括系統(tǒng)審計(jì)信息、系統(tǒng)日志信息、內(nèi)核信息、應(yīng)用審計(jì)信息、系統(tǒng)目標(biāo)信息。

3、混合型：混合型入侵檢測(cè)結(jié)合了網(wǎng)絡(luò)入侵檢測(cè)和主機(jī)入侵檢測(cè)二者的優(yōu)點(diǎn)，在關(guān)鍵主機(jī)上采用主機(jī)入侵檢測(cè)，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上采用網(wǎng)絡(luò)入侵檢測(cè)。

按照檢測(cè)方法分類(lèi)：

1、異常檢測(cè)(Anomaly Detection)：異常檢測(cè)志根據(jù)用戶行為或者資源狀況正常程度，將當(dāng)前情況和輪廓(Profile)比較以發(fā)現(xiàn)入侵，不依賴具體行為，可發(fā)現(xiàn)未知攻擊。異常檢測(cè)認(rèn)為入侵是異常的子集，有統(tǒng)計(jì)分析、非參量統(tǒng)計(jì)分析、專(zhuān)家系統(tǒng)、量化分析和基于規(guī)則的檢測(cè)，但關(guān)鍵在正常模式(Normal Profile)的建立及利用該模式與當(dāng)前狀況比較。

2、濫用檢測(cè)(Misuse Detection)：濫用檢測(cè)方法定義入侵模式，通過(guò)模式是否出現(xiàn)來(lái)判斷，也稱基于知識(shí)的檢測(cè)(Knowledge Based Detection)。它依據(jù)具體攻擊特征細(xì)微變化就會(huì)使之無(wú)能為力，漏報(bào)率較高，對(duì)系統(tǒng)依賴性高，一致性較差，檢測(cè)范圍守已知知識(shí)局限，難以檢測(cè)內(nèi)部入侵，而且將具體入侵手段抽象成知識(shí)也很困難，該方法主要有簡(jiǎn)單模式匹配、專(zhuān)家系統(tǒng)、狀態(tài)轉(zhuǎn)移法、條件概率、擊鍵監(jiān)控、信息反饋批處理分析等。

3、特征檢測(cè)(Specificati0n—Based Detection)：特征檢測(cè)定義系統(tǒng)輪廓，將系統(tǒng)行為與輪廓比較，不屬于正常行為的事件定義為入侵，該方法常采用某種特征語(yǔ)言定義系統(tǒng)的安全策略，當(dāng)系統(tǒng)特征不能準(zhǔn)確囊括所有的狀態(tài)時(shí)就會(huì)漏報(bào)或誤報(bào)。

3　入侵檢測(cè)系統(tǒng)存在的問(wèn)題和改進(jìn)措施

3.1面臨的主要問(wèn)題

(1)誤報(bào)

誤報(bào)是入侵檢測(cè)系統(tǒng)將正?；蚝戏ú僮髯鳛槿肭质录M(jìn)行報(bào)警。假警報(bào)不但令人討厭，并且降低了入侵檢測(cè)系統(tǒng)的效率；而且攻擊者往往可以利用包結(jié)構(gòu)偽造無(wú)威脅“正?！奔倬瘓?bào)，以誘使被攻擊方把入侵檢測(cè)系統(tǒng)關(guān)掉。

由于不同的網(wǎng)絡(luò)及主機(jī)存在不同的安全問(wèn)題，不同的入侵檢測(cè)系統(tǒng)有各自的功能；因此沒(méi)有一個(gè)入侵檢測(cè)系統(tǒng)可以完全避免誤報(bào)。

(2)漏報(bào)

漏報(bào)是指入侵檢測(cè)系統(tǒng)將本來(lái)的入侵事件作為合法操作而放過(guò)，從而讓受保護(hù)的網(wǎng)絡(luò)和計(jì)算機(jī)受到攻擊。

(3)有組織的攻擊

攻擊可以來(lái)自四方八面，特別是要檢測(cè)出攻擊者花費(fèi)很長(zhǎng)時(shí)間組織策劃的高技術(shù)攻擊是一件很難的事。此外，高速網(wǎng)絡(luò)技術(shù)，尤其是交換技術(shù)以及加密信道技術(shù)的發(fā)展，產(chǎn)生的巨大通信量對(duì)數(shù)據(jù)分析也提出了新的要求。

3.2相應(yīng)改進(jìn)措施

從總體上講，目前除了完善常規(guī)的、傳統(tǒng)的技術(shù)外，入侵檢測(cè)統(tǒng)應(yīng)重點(diǎn)加強(qiáng)與統(tǒng)計(jì)分析相關(guān)技術(shù)的研究。許多學(xué)者也在嘗試研究新的檢測(cè)方法，如采用自動(dòng)代理主動(dòng)防御方法，將免疫學(xué)原理應(yīng)用到入侵檢測(cè)的方法等。其主要發(fā)展方向可以概括為：

(1)分布式入侵檢測(cè)與CIDF。傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的檢測(cè)明顯不足，同時(shí)不同的入侵檢測(cè)系統(tǒng)之間不能協(xié)同工作。為此需要分布式入侵檢測(cè)技術(shù)與CIDF。

(2)應(yīng)用層入侵檢測(cè)。許多入侵的語(yǔ)義只有在應(yīng)用層才能理解，而目前的入侵檢測(cè)系統(tǒng)僅能檢測(cè)Web之類(lèi)的通用協(xié)議，不能處理～Lotus Notes數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶／服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測(cè)保護(hù)。

(3)智能入侵檢測(cè)。目前，入侵方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能體系、神經(jīng)網(wǎng)絡(luò)與遺傳算法應(yīng)用在入侵檢測(cè)領(lǐng)域，但這些只是一些嘗試性的研究工作，需要對(duì)智能化的入侵檢測(cè)系統(tǒng)進(jìn)一步研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。

(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻、PKIX、安全電子交易(SET)等網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。

(5)建立入侵檢測(cè)系統(tǒng)評(píng)價(jià)體系。設(shè)計(jì)通用的入侵檢測(cè)測(cè)試、評(píng)估方法和平臺(tái)，實(shí)現(xiàn)對(duì)多種入侵檢測(cè)系統(tǒng)的檢測(cè)，己成為當(dāng)前入侵檢測(cè)系統(tǒng)的另一重要研究與發(fā)展領(lǐng)域。評(píng)價(jià)入侵檢測(cè)系統(tǒng)可從檢測(cè)范圍、系統(tǒng)資源占用、自身的可靠性等方面進(jìn)行，評(píng)價(jià)指標(biāo)有：能否保證自身的安全、運(yùn)行與維護(hù)系統(tǒng)的開(kāi)銷(xiāo)、報(bào)警準(zhǔn)確率、負(fù)載能力以及可支持的網(wǎng)絡(luò)類(lèi)型、支持的入侵特征數(shù)、是否支持IP碎片重組、是否支持TCP流重組等。

4　結(jié)束語(yǔ)

入侵檢測(cè)系統(tǒng)(IDS)是近十多年發(fā)展起來(lái)的新一代安全防范技術(shù)，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測(cè)、記錄、報(bào)警、響應(yīng)于一體的動(dòng)態(tài)安全技術(shù)，不僅能檢測(cè)來(lái)自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。

關(guān)鍵字：入侵檢測(cè) 入侵檢測(cè)系統(tǒng) 網(wǎng)絡(luò)安全