于 超

（山西晉煤集團通信分公司，山西 晉城 048000）

入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全中的研究

于 超

（山西晉煤集團通信分公司，山西 晉城 048000）

網(wǎng)絡(luò)安全面臨的最重要的威脅主要是不法分子和黑客對網(wǎng)絡(luò)中應用系統(tǒng)的入侵。傳統(tǒng)的防護辦法主要是以禁止策略方式進行防護，但僅通過禁止策略方式實現(xiàn)的網(wǎng)絡(luò)安全防護體系是不夠的。入侵檢測隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展逐步成熟起來，該技術(shù)是對不法分子的攻擊在沒有完成的情況下逐漸進行攔截的，防護效果非常明顯。文章首先對網(wǎng)絡(luò)入侵進行分析，其次對入侵檢測技術(shù)原理進行了闡述，最后對入侵檢測系統(tǒng)進行了研究。

入侵檢測；網(wǎng)絡(luò)安全；計算機

隨著社會科學技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)已經(jīng)涉及各行各業(yè)，應用系統(tǒng)已經(jīng)取代了手工流程，成為主流的辦公方式，大部分的企業(yè)或個體用戶在家里通過一臺聯(lián)網(wǎng)的計算機就能夠獲取到各種各樣的信息資源。由于網(wǎng)絡(luò)信息技術(shù)的發(fā)展和各企業(yè)及政府機構(gòu)的需要，越來越多的應用系統(tǒng)需要接入互聯(lián)網(wǎng)，在方便各單位工作業(yè)務(wù)信息交互的同時，黑客也盯上了這些信息資源，為了達到其自身的目的，越來越多的信息成為被攻擊的目標，在進行信息化建設(shè)的當代，網(wǎng)絡(luò)安全成為亟待解決的事情。

1 入侵分析

目前網(wǎng)絡(luò)入侵的方式，出現(xiàn)了許多類型，每種入侵的方式和過程各不相同，一些入侵方式比較簡單，只需通過網(wǎng)絡(luò)向指定目標發(fā)送資料包就能夠?qū)崿F(xiàn)攻擊，另一些入侵方式就比較復雜，需要對系統(tǒng)的訪問權(quán)限有一個逐步認識的過程，到一定的程度時完成入侵。網(wǎng)絡(luò)入侵主要包括以下3個部分：（1）盜取系統(tǒng)資源，主要是對目標系統(tǒng)的操作系統(tǒng)類型以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)信息的盜?。唬?）盜取系統(tǒng)訪問權(quán)限，主要是對系統(tǒng)的讀寫文件權(quán)限的盜??；（3）盜取系統(tǒng)超級用戶權(quán)限，通過超級權(quán)限，能夠?qū)ο到y(tǒng)中的文件進行隨意地操作，同時刪除其入侵的信息并對系統(tǒng)進行篡改。

非法用戶或黑客在鎖定目標并進行攻擊時，能夠在文件中獲取到一系列的主機列表以及黑客或非法用戶的一系列的域名列表，通過域名列表能夠得到主機名、IP地址、計算機類型等信息，有的甚至還能夠獲取到目標主機的單位信息。這時非法用戶或黑客需要偽造一個ID，才能夠以合法的身份訪問主體。在攻擊主機的目標達到后，非法用戶一般不會停手，他們會對主機中的其他信息進行攻擊，并在主機中安裝監(jiān)聽程序，實現(xiàn)進一步攻擊的目的。

2 入侵檢測技術(shù)原理

入侵檢測是一種試圖通過觀察行為、安全日志或?qū)徲嬞Y料來檢測發(fā)現(xiàn)針對計算機或網(wǎng)絡(luò)入侵的技術(shù)，這種檢測通過手工或?qū)＜蚁到y(tǒng)軟件對日志或其他網(wǎng)絡(luò)信息進行分析來完成。從另一個角度來說，入侵檢測是對非法用戶試圖盜取訪問主機的權(quán)限并入侵系統(tǒng)的過程進行檢測，將檢測到的信息進行分析，從分析結(jié)果中獲取自身是否被攻擊。入侵檢測是一種能夠主動去進行安全防護的行為方式，它能夠?qū)碜詢?nèi)部的攻擊、來自主機外的攻擊和內(nèi)部自身錯誤操作的行為進行檢測和防護的檢測方式，并在主機系統(tǒng)被攻擊之前進行堵截和防護。入侵檢測軟件的產(chǎn)生對各單位在網(wǎng)絡(luò)安全中的管理起到了極大的作用，其具有實時報警的功能，為網(wǎng)絡(luò)安全防護增加了一層保護網(wǎng)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到人們的高度重視。

3 入侵檢測系統(tǒng)

3.1 入侵檢測系統(tǒng)結(jié)構(gòu)

入侵檢測系統(tǒng)功能結(jié)構(gòu)如圖1所示。

圖1 入侵檢測系統(tǒng)功能結(jié)構(gòu)

通過圖1可知，資料提取模塊的功能主要是將相關(guān)資料發(fā)送給檢測系統(tǒng)，這些資料包括主機的日志和網(wǎng)絡(luò)資源，這些信息以資料源的形式存在，在提取到這些資料后進行審核并進行過濾和格式標準化等相關(guān)處理，處理完成后將資料發(fā)送給入侵分析模塊。

入侵分析是整個系統(tǒng)的核心部分，主要是對提取到的資料進行徹底的分析，從分析結(jié)果中提取到攻擊因素，根據(jù)這些因素生成事件，將事件發(fā)送給數(shù)據(jù)處理模塊。入侵分析有許多的分析方式，對于簡單的分析方式能夠只對事件中的行為進行記錄，對于復雜的分析方式能夠成為一個專家分析系統(tǒng)。

入侵分析實現(xiàn)了對原文件的整理、組織和分類，通過各種各樣的詳細分析，從中獲取隱含在其中的主機活動軌跡和特征，這些特征和軌跡成為入侵檢測系統(tǒng)判定是否有入侵行為的主要依據(jù)。可以分為構(gòu)建分析引擎、執(zhí)行分析、利用反饋信息優(yōu)化分析引擎3個階段：（1）對獲取到的資料進行過濾和格式標準化等相關(guān)處理后建立一個行為分類模型，建成后把該模型存儲在相關(guān)文件庫中作為檢測過程的參考依據(jù)；（2）將待檢測的數(shù)據(jù)流預處理為格式化的事件記錄，然后利用模式匹配、統(tǒng)計分析和完整性分析等技術(shù)，將格式化的事件記錄同數(shù)據(jù)庫中的內(nèi)容相比較，將此事件記錄分類為正常或異常，并根據(jù)預定的策略產(chǎn)生響應；（3）對入侵特征庫中的信息進行更新，這樣能夠及時地獲取到最新攻擊信息，在該階段能夠體現(xiàn)出入侵檢測系統(tǒng)是一個實時更新的動態(tài)變化的系統(tǒng)。

資料提取、入侵分析和數(shù)據(jù)處理3部分是相互關(guān)聯(lián)在一起的，資料提取能夠給入侵分析提供基礎(chǔ)的資料信息，然后入侵分析通過這些資料信息進行檢測，并將檢測的結(jié)果發(fā)送到數(shù)據(jù)處理模塊中，數(shù)據(jù)處理在對這些攻擊行為進行處理后能夠阻止入侵行為的進一步發(fā)生。入侵檢測技術(shù)發(fā)展的過程、入侵的方式和技術(shù)也在不斷地發(fā)展，部分黑客能夠繞過入侵檢測系統(tǒng)對主機進行攻擊，因此，入侵檢測系統(tǒng)在研究時要將系統(tǒng)的適應性和擴展性充分考慮進去，大大提高檢測的效率。

3.2 入侵檢測系統(tǒng)組成

檢測系統(tǒng)主要部件有代理系統(tǒng)、存儲系統(tǒng)、分析系統(tǒng)、響應系統(tǒng)、控制系統(tǒng)。代理系統(tǒng)以各種方法收集信息，包括分析日志、監(jiān)視用戶行為、分析系統(tǒng)調(diào)用、分析該主機的網(wǎng)絡(luò)通信等。存儲系統(tǒng)的作用是用來存貯事件產(chǎn)生器捕獲的原始資料、分析結(jié)果等重要資料。分析系統(tǒng)是對事件發(fā)生器捕獲的原始信息、其他入侵檢測系統(tǒng)提供的可疑信息進行統(tǒng)一分析和處理的系統(tǒng)。響應系統(tǒng)是對確認的入侵行為采取相應措施的子系統(tǒng)。響應包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。控制系統(tǒng)是整個入侵檢測系統(tǒng)的中心，也是 IDS 提供給用戶的管理接口，用戶通過系統(tǒng)控制臺可以對子系統(tǒng)組件、安全通信、報表生成、負載均衡等進行控制和管理。

3.3 影響入侵檢測系統(tǒng)檢測性能的因素

作為使用者，我們希望入侵檢測系統(tǒng)在檢測的過程中可以對入侵的行為和正常行為進行明確的鑒別，這需要系統(tǒng)對主機在正常情況下的行為描述方法以及檢測的類別進行確定。當檢測系統(tǒng)無法對主機正常行為進行一個準確的描述時，這個系統(tǒng)一定會產(chǎn)生許多的誤報，這樣會給檢測結(jié)果帶來許多非攻擊的因素，造成檢測結(jié)果混亂。因此，對于高效的入侵檢測系統(tǒng)應該盡量去降低誤報率，但又具有強大的防護功能，對于零誤報的入侵檢測系統(tǒng)是不存在的，主要原因包括兩方面：（1）缺乏共享資料的機制，各單位自身的入侵檢測系統(tǒng)都是相互獨立的，各系統(tǒng)獲取到的攻擊信息各不相同，但無法實現(xiàn)信息的共享，無法形成一個信息庫，這樣就無法捕獲到所有的攻擊信息；（2）缺乏集中協(xié)調(diào)的機制，各單位的網(wǎng)絡(luò)中存在各種類型的主機，這些主機存在的安全問題也各不相同，這樣就需要針對各主機被攻擊的可能性進行部署入侵檢測系統(tǒng)，這些檢測系統(tǒng)的檢測特征、實現(xiàn)的功能和機制也各不相同，無法進行高效的協(xié)調(diào)工作。

4 結(jié)語

本文對網(wǎng)絡(luò)入侵進行分析，對入侵檢測技術(shù)原理和入侵檢測系統(tǒng)進行了研究，我國在網(wǎng)絡(luò)安全防御體系建設(shè)中相對比較落后，仍然需要在借鑒國外先進技術(shù)的基礎(chǔ)上不斷創(chuàng)新，研發(fā)出符合自身實際需求的網(wǎng)絡(luò)安全防御體系。

[1]諾斯科特.網(wǎng)絡(luò)入侵檢測分析員手冊[M].蔣建春，馮登國，譯.北京：人民郵電出版社，2000.

[2]麗貝卡.入侵檢測原理[M].鄧琦皓，譯.北京：人民郵電出版社，2013.

[3]普羅科特.入侵檢測實用手冊[M].余青霓，譯.北京：中國電力出版社，2014.

[4]唐國軍，李建華.入侵檢測技術(shù)[M].北京：清華大學出版社，2014.

Study on the intrusion detection system in network security

Yu Chao
（Shanxi Jincheng Coal Group Communication Branch Company, Jincheng 048000, China）

The most important threat to the network security is the invasion of illegal elements and hackers on the network application system. The traditional method of protection is mainly to prohibit the way of protection, but only through the prohibition of the way to implement the network security system is not enough. With the development of network security technology, the technology of intrusion detection is gradually mature, and the technology is the attack on illegal elements in the case of not complete the gradual interception,the protective effect is very obvious. In this paper, fi rstly, the network intrusion is analyzed, and then the principle of intrusion detection technology is expounded. Finally, the intrusion detection system is studied.

intrusion detection; network security; computer

于超（1982— ），男，山東煙臺，本科，助理工程師；研究方向：網(wǎng)絡(luò)安全。