清華大學(xué)合肥公共安全研究院 汪曙光 劉天霽 方明英 周青奎 郭 志

1 引言

入侵檢測是監(jiān)測計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程，它源于傳統(tǒng)的系統(tǒng)審計(jì)的實(shí)現(xiàn)。審計(jì)定義為：“為確保準(zhǔn)確性而對賬號進(jìn)行正式的、系統(tǒng)的檢查”。入侵檢測拓寬了傳統(tǒng)審計(jì)的概念，它以幾乎不間斷的方式進(jìn)行檢測，從而形成了一個(gè)連續(xù)的檢測過程。入侵檢測的最終目的是根據(jù)給定的信息系統(tǒng)的安全策略發(fā)現(xiàn)攻擊行為或者試圖攻擊的行為。此外，還要為對抗入侵及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大[1-4]。入侵檢測系統(tǒng)可分為實(shí)時(shí)入侵檢測和事后入侵檢測。其原理分別如圖1和圖2所示。

圖1 實(shí)時(shí)入侵檢測技術(shù)原理圖

圖2 事后入侵檢測技術(shù)原理圖

2 入侵檢測的模型

美國國防高級研究計(jì)劃署（DARPA)為了提高入侵檢測系統(tǒng)產(chǎn)品間的互操作性，從而規(guī)范了入侵檢測系統(tǒng)標(biāo)準(zhǔn)[6-7]。提出了公共入侵檢測系統(tǒng)的模型，并且將其分為以下四個(gè)部分：

響應(yīng)單元

事件分析器

事件數(shù)據(jù)庫

事件產(chǎn)生器

3 網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署與測試

3.1 網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署

網(wǎng)絡(luò)入侵檢測系統(tǒng)共分三個(gè)部件：網(wǎng)絡(luò)探測器、網(wǎng)絡(luò)監(jiān)視器及控制臺。網(wǎng)絡(luò)探測器安裝于感興趣網(wǎng)絡(luò)節(jié)點(diǎn)上。一個(gè)比較典型的網(wǎng)絡(luò)上的OD入侵檢測系統(tǒng)部署圖為：

圖3 DN入侵檢測系統(tǒng)典型部署圖

3.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)的測試

測試和評估入侵檢測系統(tǒng)非常困難，涉及到操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件以及數(shù)據(jù)庫等技術(shù)方面的問題，目前還沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)。整個(gè)測試需要4臺以上計(jì)算機(jī)，其中電腦A上安裝了DN入侵檢測系統(tǒng)的探測器，充當(dāng)網(wǎng)絡(luò)探測代理及被攻擊者，電腦B上安裝了DN入侵檢測系統(tǒng)的監(jiān)視器，充當(dāng)監(jiān)視代理，電腦C安裝了存儲數(shù)據(jù)庫及控制臺，電腦D充當(dāng)攻擊者。

3.2.1 端口掃描攻擊測試

●測試工具：PortScan V1.0

●測試過程：在主機(jī)D上設(shè)置PortScan V1.0掃描的IP地址為主機(jī)A的IP地址，端口地址為：1～999，點(diǎn)擊確定開始運(yùn)行。掃描結(jié)束后，查看DN入侵檢測系統(tǒng)的檢測結(jié)果。

●檢測結(jié)果：運(yùn)行在主機(jī)A上的探測器終端顯示如圖4所示。

圖4 網(wǎng)絡(luò)探測器的惡意掃描告警界面

在管理終端遠(yuǎn)程登陸控制臺（主機(jī)C），查看入侵信息模塊，可以看到監(jiān)視代理發(fā)送過來的告警信息（惡意掃描的告警代碼為S01），如圖5所示。

圖5 控制臺的惡意掃描告警界面

3.2.2 B02K木馬攻擊測試

●測試上具：BO2K

●測試過程：在主機(jī)D上配置好BO的客戶設(shè)置后，利用文件共享文件的方式將B02K的服務(wù)器端程序傳送到運(yùn)行DN入侵檢測系統(tǒng)探測器的主機(jī)A，然后通過主機(jī)D上的客戶端程序?qū)Ψ?wù)進(jìn)行命令操作。

●測試結(jié)果：運(yùn)行在主機(jī)A上的探測器終端顯示如圖6所示，表明探測器的檢測模塊已經(jīng)檢測到了B02K木馬攻擊（B02K木馬的告警代碼為B01）。

圖6 網(wǎng)絡(luò)探測器的BO2K木馬告警界面

在管理終端遠(yuǎn)程登陸控制臺（主機(jī)C），查看入侵信息模塊，可以看到監(jiān)視代理發(fā)送過來的告警信息。

4 總結(jié)

在對測試結(jié)果進(jìn)行分析時(shí)，發(fā)現(xiàn)在負(fù)載較重的情況下，存在一定的漏報(bào)與誤報(bào)率，在性能和可用性方面，還有待進(jìn)一步測試。測試中所反映出的問題將在后續(xù)工作中予以解決。

[1]E.H.Spafford.The Internet Worm Program:An Analysis,ACM COMPUTER COMMUNICATION REVIEW:19(1),Jan.1989.

[2]蔣建春,馮登國,等.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].國防工業(yè)出版社,2010,7.

[3]Sebring,M.M,Sellhouse,E.,Hanna,M.E.,Whitehurst,R.A.Expert system in intrusion detection:A case study.In Proceedings of the 11th National Computer Security Conference,pages:74-81,Oct.2016.

[4]Martin Rocsch.Snort-Lightweight intrusion detection for networks.In the Proceedings of the 13th Large Installation System Administration Conference,Seattle,Washington,USA November 2016.

[5]Paxson,V:Bro:A System for Detecting Network Intruders in Real-Time,in Proceedings of the 7th USENIX Security Symposium,TX,January.2014.

[6]Shen C,Xue S.Design and implementation of distributed collaborative intrusion detection system model[C]//International Conference on Fuzzy Systems & Knowledge Discovery.IEEE,2010:1224-1228.

[7]薛金蓉,張洪斌.可信時(shí)間戳的網(wǎng)絡(luò)服務(wù)器取證技術(shù)研究[J].電子科技大學(xué)學(xué)報(bào),2007,36(S3):48-50.