陸泉名

（常州大學(xué)，江蘇 常州 213000）

0 引言

信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)自身的開放性、交互性和共享性等特點，導(dǎo)致網(wǎng)絡(luò)在進(jìn)行數(shù)據(jù)的快速傳播時，易受系統(tǒng)內(nèi)外因素的干擾，造成網(wǎng)絡(luò)漏洞迭出，留下難以及時發(fā)現(xiàn)的安全隱患。信息技術(shù)的不斷發(fā)展，衍生出了多種不同技術(shù)類型，例如數(shù)據(jù)分析技術(shù)與數(shù)據(jù)入侵術(shù)等?；ヂ?lián)網(wǎng)生態(tài)環(huán)境的變化，不僅沒有減少數(shù)據(jù)傳輸中的安全風(fēng)險，反而從側(cè)面加劇了入侵技術(shù)的發(fā)展。入侵檢測系統(tǒng)能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵行為，并加以干預(yù)，降低數(shù)據(jù)安全風(fēng)險。隨著網(wǎng)絡(luò)技術(shù)的更新迭代，傳統(tǒng)的網(wǎng)絡(luò)入侵檢測技術(shù)已不適應(yīng)時代的發(fā)展要求。

傳統(tǒng)的入侵檢測系統(tǒng)程序多為手動編寫，工作量大，本身也存在一定的局限性，檢測方法有限，無法及時發(fā)現(xiàn)規(guī)則庫之外的攻擊，難以實現(xiàn)實時、高效地檢測。與此同時，入侵檢測系統(tǒng)(Intrusion Detection System，IDS）本身也可能成為攻擊目標(biāo)。對此，本文以網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計為論點，分析其中的概念行內(nèi)容，并設(shè)計了一種網(wǎng)絡(luò)入侵檢測系統(tǒng)，該系統(tǒng)通過對已有入侵?jǐn)?shù)據(jù)進(jìn)行檢測和分析，利用關(guān)聯(lián)規(guī)則，建立檢測系統(tǒng)規(guī)則庫，使系統(tǒng)具有良好的擴(kuò)展性，并通過實驗結(jié)果分析防御外部入侵檢測的措施。

1 網(wǎng)絡(luò)入侵檢測的概述

1.1 網(wǎng)絡(luò)入侵檢測

顧名思義，網(wǎng)絡(luò)入侵檢測只有同時具備網(wǎng)絡(luò)入侵行為與入侵檢測行為兩部分動作，方可完成對檢測閉環(huán)的干預(yù)。為第一時間發(fā)現(xiàn)外界對網(wǎng)絡(luò)安全系統(tǒng)的入侵行為，該檢測系統(tǒng)需要實時、穩(wěn)定運(yùn)行，能實時對訪問者DNS碼等數(shù)據(jù)進(jìn)行檢測，一旦發(fā)現(xiàn)存在異常行為，應(yīng)能第一時間加以干預(yù)或禁止訪問。

IDS是一種兼具個安全軟件和硬件功能的獨立系統(tǒng)。能夠?qū)ιa(chǎn)過程進(jìn)行自動監(jiān)測分析［1］。這一系統(tǒng)能夠探測未經(jīng)許可的物體(人或程序）的入侵企圖或行為，同時監(jiān)測授權(quán)物體對系統(tǒng)資源的非法操作。IDS檢測到的入侵行為通常包括如下幾個方面：(1）從系統(tǒng)的各個環(huán)節(jié)收集信息，對信息進(jìn)行分析，試圖發(fā)現(xiàn)入侵行為的特點。(2）通過自動響應(yīng)檢測到的行為，記錄和報告檢查結(jié)果。(3）該技術(shù)具有實時響應(yīng)特點，能夠通過對信息的監(jiān)測，分析指令行為，及時發(fā)現(xiàn)入侵動作，減少指令對內(nèi)外部數(shù)據(jù)的入侵行為，同時也可通過監(jiān)測自身數(shù)據(jù)行為是否正確，在規(guī)范自身操作指令的同時，防止外界數(shù)據(jù)入侵，從而達(dá)到保障網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的效能。這套IDS系統(tǒng)在一定程度上彌補(bǔ)了防火墻的缺陷。

1.2 網(wǎng)絡(luò)入侵檢測的重要性

計算機(jī)網(wǎng)絡(luò)安全運(yùn)行需要多種內(nèi)外部條件支持，在保證系統(tǒng)提供安全服務(wù)的前提下，也需要保證數(shù)據(jù)的安全性特點。隨著世界互聯(lián)網(wǎng)技術(shù)水平的整體發(fā)展，連接進(jìn)入網(wǎng)絡(luò)的用戶也在不斷增加，巨大用戶需求與安全信息防護(hù)需求背景，衍生出入侵檢測這一技術(shù)。如何尋求信息安全與網(wǎng)絡(luò)服務(wù)間的平衡，減少系統(tǒng)受到的外來入侵者的攻擊成為目前網(wǎng)絡(luò)安全領(lǐng)域亟待解決的問題之一。若單一應(yīng)用防火墻技術(shù)，將會出現(xiàn)部分入侵行為難以被識別的問題。入侵檢測技術(shù)作為對網(wǎng)絡(luò)防火墻技術(shù)的有益補(bǔ)充，能夠提升信息傳輸過程中的安全防護(hù)水平，保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行機(jī)制的安全性。

該技術(shù)在進(jìn)行網(wǎng)絡(luò)入侵檢測時，具有五大安全防護(hù)行為：第一，能識別入侵行為；第二，能確定入侵?jǐn)?shù)據(jù)的來源；第三，能有效對數(shù)據(jù)的行為傾向進(jìn)行監(jiān)測與預(yù)判；第四，能對入侵信息及時響應(yīng)并發(fā)送報告給網(wǎng)絡(luò)安全管理人員，將網(wǎng)絡(luò)入侵行為的危害降到最低；第五，能識別出防火墻技術(shù)無法識別的網(wǎng)絡(luò)入侵行為?？梢?，開展網(wǎng)絡(luò)入侵檢測，能夠為網(wǎng)絡(luò)數(shù)據(jù)安全提供一條有力的實踐路徑。

目前的網(wǎng)絡(luò)入侵檢測產(chǎn)品大多采用單數(shù)據(jù)包模式匹配檢測方法，如何提高這種方法在處理大規(guī)模模式集時的檢測效率和整體性能已經(jīng)成為研究的焦點［2］。有必要對現(xiàn)有的網(wǎng)絡(luò)入侵檢測技術(shù)進(jìn)行檢測與深入分析，分析其中存在的問題，并針對性地設(shè)計出實用性強(qiáng)、防護(hù)性高、響應(yīng)快的入侵檢測系統(tǒng)，為我國的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)提供研究數(shù)據(jù)支持。

1.3 網(wǎng)絡(luò)入侵檢測的工作流程

入侵檢測的工作流程可以大致分為以下幾個步驟：(1）從系統(tǒng)的不同環(huán)節(jié)收集信息；(2）分析該信息，試圖尋找入侵活動的特征；(3）自動對檢測到的行為做出響應(yīng)；(4）紀(jì)錄并報告檢測過程結(jié)果。

1.4 入侵檢測方法和技術(shù)

當(dāng)前，各地安全部門常用的入侵檢測方式可歸納為如下4種：(1）移動代理型：適合大規(guī)模信息數(shù)據(jù)的收集與處理；(2）軟件計算方法型：主要以神經(jīng)網(wǎng)絡(luò)檢測為代表，具備深度學(xué)習(xí)機(jī)制，是日后網(wǎng)絡(luò)入侵檢測的主流技術(shù)；(3）統(tǒng)計方法性：通過將數(shù)據(jù)指令的行為與日常行為發(fā)生的概率作比較，若兩者差異較大，則被定性為異常活動；(4）專家系統(tǒng)型：以“智庫”為支持，網(wǎng)絡(luò)安全防護(hù)人員通過定時更新專家系統(tǒng)數(shù)據(jù)庫，保障知識庫內(nèi)數(shù)據(jù)的完備性，以便靈敏識別最新的入侵行為，并做出響應(yīng)。

但是仍需注意的是，在網(wǎng)絡(luò)安全技術(shù)發(fā)展的同時，網(wǎng)絡(luò)入侵技術(shù)也在不斷發(fā)展。唯有網(wǎng)絡(luò)安全技術(shù)發(fā)展優(yōu)于網(wǎng)絡(luò)入侵技術(shù)時，才能保證數(shù)據(jù)的安全。上文中所提及的4種安全檢測方式，并不能一勞永逸，檢測出所有的數(shù)據(jù)入侵行為。故網(wǎng)絡(luò)安全技術(shù)人員在開展安防工作時，應(yīng)根據(jù)自身處理數(shù)據(jù)類型的不同，選取合適的入侵檢測方式。從國內(nèi)外入侵檢測技術(shù)最新發(fā)展的情況來看，異常發(fā)現(xiàn)技術(shù)＋發(fā)現(xiàn)技術(shù)仍為入侵檢測技術(shù)發(fā)展的主流，在人工智能的不斷發(fā)展下，一種基于深度學(xué)習(xí)的神經(jīng)網(wǎng)絡(luò)安全入侵檢測技術(shù)，將廣泛地應(yīng)用于數(shù)據(jù)安全防護(hù)領(lǐng)域中。

2 網(wǎng)絡(luò)入侵檢測的分類

2.1 根據(jù)其所采用的分析方法進(jìn)行分類

以分析方法不同為歸類準(zhǔn)則，可將其分為兩類：(1）誤用檢測：較為依賴數(shù)據(jù)庫中所積累的已知攻擊行為數(shù)據(jù)，對于最新的并未納入數(shù)據(jù)庫中的攻擊行為則不能靈敏響應(yīng)。同時，若入侵?jǐn)?shù)據(jù)代碼存在偽裝機(jī)制，那么誤用檢測則可能出現(xiàn)錯誤識別，將入侵行為錯誤地認(rèn)為是正確行為，從而影響安全防護(hù)的可靠性。(2）異常檢測：可作為誤用檢測的一種補(bǔ)充技術(shù)，能夠?qū)π滦偷?、從未見過的入侵行為進(jìn)行響應(yīng)。其數(shù)據(jù)監(jiān)測的原理是給予統(tǒng)計學(xué)分析技術(shù)，但缺點在于，針對非常規(guī)的正常指令，該系統(tǒng)也能進(jìn)行攔截，從而出現(xiàn)誤報的現(xiàn)象。因此在應(yīng)用該技術(shù)時，需要配備專業(yè)的數(shù)據(jù)安全專家，以人工角度再次對數(shù)據(jù)的行為所屬進(jìn)行定性，確保系統(tǒng)的安全運(yùn)行。

2.2 根據(jù)其檢測對象進(jìn)行分類

2.2.1 主機(jī)型入侵檢測

該檢測方式常應(yīng)用于UNIS系統(tǒng)中，能夠執(zhí)對數(shù)據(jù)的行為進(jìn)行安全檢測、對不同事件的行為進(jìn)行定性，并對系統(tǒng)中的指令進(jìn)行實時監(jiān)測。例如，在修改文件時，利用HIDS比較新紀(jì)錄項和已知攻擊特征，以判斷它們是否匹配。如果匹配，則通知系統(tǒng)管理員。該系統(tǒng)還將基于主機(jī)的入侵檢測技術(shù)引入開發(fā)，通過預(yù)先輸入定期定時檢測代碼，在一定時間間隔內(nèi)對數(shù)據(jù)庫中重要的內(nèi)容進(jìn)行安全核查，檢查是否有木馬入侵或病毒感染現(xiàn)象。一旦發(fā)現(xiàn)異常情況，可及時通知技術(shù)人員。此外，在檢測過程中，該檢測方式經(jīng)常應(yīng)用到統(tǒng)計學(xué)分析，通過系統(tǒng)對指令的響應(yīng)時間進(jìn)行計算，在訪問特定端口時，訪問時間出現(xiàn)異常變化，系統(tǒng)也將及時響應(yīng)［2］。

2.2.2 網(wǎng)絡(luò)型入侵檢測

IDS以數(shù)據(jù)包為分析數(shù)據(jù)源，通常用一塊網(wǎng)卡在混合模式下工作，通過網(wǎng)絡(luò)對數(shù)據(jù)流進(jìn)行實時監(jiān)測和分析。當(dāng)入侵行為發(fā)生時，該系統(tǒng)的安全檢測模塊將快速做出響應(yīng)，并將數(shù)據(jù)上報給網(wǎng)絡(luò)安全管理人員。同時第一時間做干預(yù)，例如中止用戶的訪問權(quán)限、停止系統(tǒng)服務(wù)等。分析當(dāng)前各大安防中心常用的網(wǎng)絡(luò)安全入侵檢方式，結(jié)果表明，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)最為常見［3］，而且在互聯(lián)網(wǎng)之外，可以用防火墻之外的探測器進(jìn)行檢測。因為E-mail和Web服務(wù)器通常是攻擊的目標(biāo)，但是它們需要與外部網(wǎng)絡(luò)進(jìn)行交互，并且不能完全屏蔽，所以基于主機(jī)的入侵檢測系統(tǒng)應(yīng)該安裝在不同的服務(wù)器上，并向分析人員發(fā)送報告。

2.2.3 基于多個網(wǎng)絡(luò)/基礎(chǔ)設(shè)施的入侵檢測

在該模式下，入侵檢測系統(tǒng)做出的行為響應(yīng)模式與上述兩類方式有顯著差別，其主要方式為緊急事件反應(yīng)。因為該系統(tǒng)在運(yùn)行時，需要與多個網(wǎng)絡(luò)基站間建立聯(lián)系，若想要充分發(fā)揮每個監(jiān)控實體的監(jiān)測效能，則需要建立順暢的信息溝通機(jī)制，保證各個IDS模塊間的輸出數(shù)據(jù)均能被有效傳遞、有效分析、有效利用［4］。

對上述3種入侵檢測技術(shù)進(jìn)行研究能夠發(fā)現(xiàn)，任何一種技術(shù)都有其適用面，但同時也存在一定的不足。一套完善的網(wǎng)絡(luò)安全檢測系統(tǒng)絕對不是基于單一一種組織架構(gòu)的，而是多種組織架構(gòu)的融合，各數(shù)據(jù)處理技術(shù)間呈間斷分布式分布，同時兼具網(wǎng)絡(luò)檢測與主機(jī)檢測兩種技術(shù)［5］。目前仍存在的問題是，相關(guān)匹配技術(shù)的發(fā)展與日俱增，IDS系統(tǒng)模型的安全可靠性水平卻是隨著時間的延長而抵減的，目前并沒有一種可以一勞永逸的IDS技術(shù)能夠完全實現(xiàn)自動檢測并阻止攻擊，一般都需要進(jìn)行實時更新，方可滿足某一時期的信息安全檢測需求。

3 入侵檢測設(shè)計與實驗

3.1 整體設(shè)計思路

隨著5G技術(shù)的不斷發(fā)展，云化架構(gòu)在網(wǎng)絡(luò)安全管理中應(yīng)用范圍愈發(fā)廣泛。在虛擬機(jī)的安全防護(hù)方面，應(yīng)重點在其中安排編排組件、應(yīng)用組件、虛擬機(jī)監(jiān)測及入侵監(jiān)測系統(tǒng)。其中，入侵檢測系統(tǒng)為網(wǎng)絡(luò)安全防護(hù)第一步。為進(jìn)一步減少網(wǎng)絡(luò)入侵對數(shù)據(jù)安全造成的影響，當(dāng)前的網(wǎng)絡(luò)入侵檢測系統(tǒng)一旦檢測出異常情況，將立即啟動隔離應(yīng)用程序，并對進(jìn)入系統(tǒng)的各個用戶處理權(quán)限及行為進(jìn)行足跡追蹤，甚至確定目標(biāo)IP。若發(fā)現(xiàn)某一用戶當(dāng)天或當(dāng)月試圖高頻訪問時，入侵檢測系統(tǒng)應(yīng)及時向管理人員發(fā)送入侵檢測預(yù)警信號，并在近階段由人工授權(quán)方式?jīng)Q定用戶能否訪問本端口。

3.2 入侵檢測系統(tǒng)設(shè)計

整個IDS系統(tǒng)設(shè)計的核心內(nèi)容是：挖掘數(shù)據(jù)間的關(guān)聯(lián)規(guī)則，挖掘數(shù)據(jù)間的序列規(guī)則，根據(jù)規(guī)則定義進(jìn)行分類識別，以便對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行及時、有效的分析。因為不同的系統(tǒng)模型對應(yīng)不同的數(shù)據(jù)挖掘算法，IDS放源代碼能夠有效地應(yīng)對大多數(shù)網(wǎng)絡(luò)攻擊［6］。但Snort檢測模型效率不高，且存在誤報、漏報現(xiàn)象，由于不能實現(xiàn)實時動態(tài)檢測，需要對Snort檢測模型進(jìn)行改進(jìn)，本文的總體設(shè)計思路如下：(1）在Snort檢測模型中加入正常行為模塊，對網(wǎng)絡(luò)行為進(jìn)行有針對性的規(guī)則關(guān)聯(lián)分析和聚類分析，根據(jù)規(guī)則過濾出已知行為信息，從而獲取異常數(shù)據(jù)；(2）通過增加規(guī)則匹配模塊，提高系統(tǒng)的動態(tài)生成效果；(3）采用動態(tài)擴(kuò)展機(jī)制，及時有效地對規(guī)則庫進(jìn)行更新迭代，提高規(guī)則庫的完整性［7］。

本設(shè)計選取了一個網(wǎng)絡(luò)適配器對所有網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行實時監(jiān)控與分析，選用網(wǎng)絡(luò)接口引擎、探測器、過濾器對元器件做網(wǎng)絡(luò)數(shù)據(jù)的采集一分析，其中入侵分析模塊為核心。當(dāng)確保各項軟硬件及元件配備完善后，即可進(jìn)行系統(tǒng)軟件設(shè)計。首先為設(shè)計snort頁面，一個IP地址僅對應(yīng)一個頁面。當(dāng)系統(tǒng)檢測出頁面數(shù)據(jù)發(fā)生改變時，則重新依照規(guī)則文件流程開展檢測。檢測流程可按照如下流程開展：分析傳輸文件存儲數(shù)量級水平，并對檢測文件中是否含有危險入侵信息進(jìn)行判斷。若入侵信息監(jiān)測異常，則終止后續(xù)操作。若信息監(jiān)測安全，應(yīng)等待規(guī)則文件展示數(shù)量增加時，按照實際信息比例擴(kuò)大snort頁面數(shù)據(jù)展示范圍，并總結(jié)規(guī)則文件，結(jié)束整個流程。在分析信息危險水平時，應(yīng)對訪問端口的入侵行為過濾系數(shù)進(jìn)行整體分析，在分析過程中，應(yīng)注意收集如下數(shù)據(jù)：規(guī)格文件的平均數(shù)量級水平、微信入侵信息相關(guān)量化差、單位時間內(nèi)數(shù)據(jù)信息輸入量、系統(tǒng)數(shù)據(jù)訪問識別權(quán)限等數(shù)據(jù)精確參數(shù)，最終代入如下公式：構(gòu)建出過濾系數(shù)計算結(jié)果。

3.2 網(wǎng)絡(luò)入侵檢測實驗

本文使用KDDCUP99典型數(shù)據(jù)集，這是一個信息豐富且包含非訓(xùn)練網(wǎng)絡(luò)數(shù)據(jù)的測試集，它通過具有識別特征的訓(xùn)練模擬真實的網(wǎng)絡(luò)攻擊環(huán)境［8］。前提是構(gòu)建硬件和軟件環(huán)境，本文所用的主機(jī)服務(wù)器是Intel7處理器，32 G內(nèi)存，1T硬盤，基于VC＋＋6.0開發(fā)環(huán)境，利用KDDCUP99測試數(shù)據(jù)集，MySQL8.0.11版數(shù)據(jù)庫，Windows7操作系統(tǒng)，通過分析網(wǎng)絡(luò)入侵檢測系統(tǒng)的誤報、漏報和檢測時間，本研究對該方法的有效性進(jìn)行了評價。實驗結(jié)果表明，不同算法和軟件系統(tǒng)的搭配會造成大約5%的檢測差距［9］。

4 結(jié)語

當(dāng)下社會進(jìn)入信息時代，網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，在給人們的生活帶來便利的同時，也會發(fā)生一定程度的信息泄露。網(wǎng)絡(luò)入侵檢測是否能保障個人隱私和財產(chǎn)安全已成為亟待解決的問題。為了更好地應(yīng)對人為入侵，網(wǎng)絡(luò)入侵檢測技術(shù)需要進(jìn)行多種調(diào)整，應(yīng)用層檢測和自適應(yīng)檢測將會是今后的發(fā)展方向。