入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化

張曉芬　牛少彰


北京郵電大學(xué)信息安全中心



　　摘 要 入侵檢測(cè)系統(tǒng)（IDS）的標(biāo)準(zhǔn)化是必然要經(jīng)歷的階段，標(biāo)準(zhǔn)化的制定有利于不同的IDS之間的協(xié)作，從而發(fā)現(xiàn)新的入侵活動(dòng)；有利于IDS與訪問控制、應(yīng)急、入侵追蹤等系統(tǒng)交換信息，相互協(xié)作，形成一個(gè)整體有效的安全保障系統(tǒng)。本文首先介紹了網(wǎng)絡(luò)安全的重要性，并給出了防火墻和入侵檢測(cè)系統(tǒng)的相關(guān)知識(shí)，指出了其中存在的問題，從而說明了入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化產(chǎn)生的背景，接著介紹了國(guó)外已經(jīng)存在的標(biāo)準(zhǔn)草案，之后著重分析了制定IDS標(biāo)準(zhǔn)的意義以及國(guó)內(nèi)制定標(biāo)準(zhǔn)的可行性，最后展望了IDS標(biāo)準(zhǔn)化發(fā)展的方向。


　　關(guān)鍵詞 入侵檢測(cè)系統(tǒng)（IDS） 入侵檢測(cè)數(shù)據(jù)交換標(biāo)準(zhǔn) 通用入侵檢測(cè)



1 引言


　　在信息化社會(huì)中，計(jì)算機(jī)通信網(wǎng)絡(luò)在政治、軍事、金融、商業(yè)、交通、電信、文教等方面的作用日益增大。社會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴也日益增強(qiáng)。隨著網(wǎng)絡(luò)的開放性、共享性及互聯(lián)性的擴(kuò)大，特別是Internet的出現(xiàn)，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大。隨著網(wǎng)絡(luò)上各種新業(yè)務(wù)的興起，比如電子商務(wù)、電子現(xiàn)金等，以及各種專用網(wǎng)的建設(shè)，使安全問題顯得越來越重要。


　　網(wǎng)絡(luò)安全從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。防火墻技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種手段。可以用來拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶訪問網(wǎng)絡(luò)資源。但是，防火墻不能防止內(nèi)部的攻擊，因?yàn)樗�只是提供了�?duì)網(wǎng)絡(luò)邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問權(quán)，由此導(dǎo)致的事故占了全部事故的一半以上。而且，一旦闖入防火墻，防火墻就無法知道正在發(fā)生的事情。入侵檢測(cè)系統(tǒng)（IDS）是一種不同于防火墻的主動(dòng)保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全系統(tǒng)，是防范網(wǎng)絡(luò)攻擊的最后一道防線，是其他安全措施的必要補(bǔ)充，在網(wǎng)絡(luò)安全技術(shù)中起著不可替代的作用。入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎、基于分析引擎的結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。


　　但是，隨著計(jì)算機(jī)網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)，并且隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵的方式、類型、特征各不相同，入侵活動(dòng)變得復(fù)雜而又難以捉摸。某些入侵的活動(dòng)靠單一IDS不能檢測(cè)出來。不同的IDS之間沒有協(xié)作，結(jié)果造成缺少某種入侵模式而導(dǎo)致IDS不能發(fā)現(xiàn)新的入侵活動(dòng)。網(wǎng)絡(luò)的安全也要求IDS能夠與訪問控制、應(yīng)急、入侵追蹤等系統(tǒng)交換信息，相互協(xié)作，形成一個(gè)整體有效的安全保障系統(tǒng)。然而，要達(dá)到這些要求，需要一個(gè)標(biāo)準(zhǔn)來加以指導(dǎo)，系統(tǒng)之間要有一個(gè)約定，如數(shù)據(jù)交換的格式、協(xié)作方式等。


2 IDS標(biāo)準(zhǔn)研究狀況


　　為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國(guó)國(guó)防高級(jí)研究計(jì)劃署（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（IETF）的入侵檢測(cè)工作組（IDWG）發(fā)起制定了一系列IDS的標(biāo)準(zhǔn)草案。


　　IDWG主要負(fù)責(zé)制定入侵檢測(cè)響應(yīng)系統(tǒng)之間共享信息的數(shù)據(jù)格式和交換信息的方式，以及滿足系統(tǒng)管理的需要。IDWG的任務(wù)是，對(duì)于入侵檢測(cè)系統(tǒng)、響應(yīng)系統(tǒng)和它們需要交互的管理系統(tǒng)之間的共享信息，定義數(shù)據(jù)格式和交換程序。IDWG提出的建議草案包括三部分內(nèi)容：入侵檢測(cè)消息交換格式（IDMEF）、入侵檢測(cè)交換協(xié)議（IDXP）以及隧道模型（Tunnel Profile）。


　　IDMEF描述了一種表示入侵檢測(cè)系統(tǒng)輸出消息的數(shù)據(jù)模型，并且解釋了使用這個(gè)模型的基本原理。IDMEF數(shù)據(jù)模型以面向?qū)ο蟮男问奖硎痉治銎靼l(fā)送給管理器的警報(bào)數(shù)據(jù)。數(shù)據(jù)模型的設(shè)計(jì)目標(biāo)是用一種明確的方式提供了對(duì)警報(bào)的標(biāo)準(zhǔn)表示法，并描述簡(jiǎn)單警報(bào)和復(fù)雜警報(bào)之間的關(guān)系。該數(shù)據(jù)模型用XML（可擴(kuò)展的標(biāo)識(shí)語(yǔ)言）實(shí)現(xiàn)。自動(dòng)的入侵檢測(cè)系統(tǒng)能夠使用IDMEF提供的標(biāo)準(zhǔn)數(shù)據(jù)格式，來對(duì)可疑事件發(fā)出警報(bào)。這種標(biāo)準(zhǔn)格式的發(fā)展將使得在商業(yè)、開放資源和研究系統(tǒng)之間實(shí)現(xiàn)協(xié)同工作的能力，同時(shí)允許使用者根據(jù)他們的強(qiáng)點(diǎn)和弱點(diǎn)獲得最佳的實(shí)現(xiàn)設(shè)備。實(shí)現(xiàn)IDMEF最適合的地方是入侵檢測(cè)分析器（或稱為“探測(cè)器”）和接收警報(bào)的管理器（或稱為“控制臺(tái)”）之間的數(shù)據(jù)信道。


　　IDXP是一個(gè)用于入侵檢測(cè)實(shí)體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議，能夠?qū)崿F(xiàn)IDMEF消息、非結(jié)構(gòu)文本和二進(jìn)制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙方認(rèn)證、完整性和保密性等安全特征。IDXP模型為建立連接、傳輸數(shù)據(jù)和斷開連接。


　　DARPA提出的建議是通用入侵檢測(cè)框架（CIDF），最早由加州大學(xué)戴維斯分校安全實(shí)驗(yàn)室主持起草工作。CIDF主要介紹了一種通用入侵說明語(yǔ)言（CISL），用來表示系統(tǒng)事件、分析結(jié)果和響應(yīng)措施。為了把IDS從邏輯上分為面向任務(wù)的組件，CIDF試圖規(guī)范一種通用的語(yǔ)言格式和編碼方式以表示在組件邊界傳遞的數(shù)據(jù)。CIDF所做的工作主要包括四部分：IDS的體系結(jié)構(gòu)、通信體制、描述語(yǔ)言和應(yīng)用編程接口（API）。


　　CIDF根據(jù)IDS系統(tǒng)通用的需求以及現(xiàn)有的IDS系統(tǒng)的結(jié)構(gòu)，將IDS系統(tǒng)的構(gòu)成劃分為五類組件：事件組件、分析組件、數(shù)據(jù)庫(kù)組件、響應(yīng)組件和目錄服務(wù)組件。從功能的角度，這種劃分體現(xiàn)了入侵檢測(cè)系統(tǒng)所必須具有的體系結(jié)構(gòu)：數(shù)據(jù)獲取、數(shù)據(jù)管理、數(shù)據(jù)分析、行為響應(yīng)，因此具有通用性。這些組件以GIDO（統(tǒng)一入侵檢測(cè)對(duì)象）格式進(jìn)行數(shù)據(jù)交換。GIDO是對(duì)事件進(jìn)行編碼的標(biāo)準(zhǔn)通用格式（由CIDF描述語(yǔ)言CISL定義）。這里的組件只是邏輯實(shí)體，一個(gè)組件可能是某臺(tái)計(jì)算機(jī)上的一個(gè)進(jìn)程甚至線程，也可能是多個(gè)計(jì)算機(jī)上的多個(gè)進(jìn)程。


　　CIDF組件在一個(gè)分層的體系結(jié)構(gòu)里進(jìn)行通信，這個(gè)體系結(jié)構(gòu)包括三層：GIDO層、消息層和協(xié)商傳輸層。GIDO層的任務(wù)就是提高組件之間的互操作性，就如何表示各種各樣的事件做了詳細(xì)的定義。消息層確保被加密認(rèn)證消息在防火墻或NAT等設(shè)備之間傳輸過程中的可靠性。消息層沒有攜帶有語(yǔ)義的任何信息，它只關(guān)心從源地址得到消息并送到目的地；相應(yīng)地，GIDO層只考慮所傳遞消息的語(yǔ)義，而不關(guān)心這些消息怎樣被傳遞。協(xié)商傳輸層規(guī)定GIDO在各個(gè)組件之間的傳輸機(jī)制。


　　CIDF的通信機(jī)制主要討論消息的封裝和傳遞，分為四個(gè)方面：①匹配服務(wù)：它為CIDF組件提供一種標(biāo)準(zhǔn)的統(tǒng)一機(jī)制，并且為組件定位共享信息的通信“合作者”。因此極大提高了組件的互操作性,減少了開發(fā)多組件入侵檢測(cè)與響應(yīng)系統(tǒng)的難度；②路由：組件之間要通信時(shí)，有時(shí)需要經(jīng)過非透明的防火墻，發(fā)送方先將數(shù)據(jù)包傳遞給防火墻的關(guān)聯(lián)代理，然后再由此代理將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地。CIDF采用了源路由和絕對(duì)路由；③消息層：消息層的使用達(dá)到了下面的目標(biāo)：提供一個(gè)開放的體系結(jié)構(gòu)，使通信獨(dú)立于操作系統(tǒng)、編程語(yǔ)言和網(wǎng)絡(luò)協(xié)議，簡(jiǎn)化向CIDF中添加新的組件，支持認(rèn)證與保密的安全要求，同步（封鎖進(jìn)程與非封鎖進(jìn)程）；④消息層處理：消息層處理規(guī)定了消息層消息的處理方式，它包括四個(gè)規(guī)程：標(biāo)準(zhǔn)規(guī)程、可靠傳輸規(guī)程、保密規(guī)程和鑒定規(guī)程。


　　CIDF的工作重點(diǎn)是定義了一種應(yīng)用層的語(yǔ)言CISL，用來描述IDS組件之間傳送的信息，以及制定一套對(duì)這些信息進(jìn)行編碼的協(xié)議。CISL使用了一種被稱為S表達(dá)式的通用語(yǔ)言構(gòu)建方法，S表達(dá)式是標(biāo)識(shí)符和數(shù)據(jù)的簡(jiǎn)單循環(huán)分組，即對(duì)標(biāo)記加上數(shù)據(jù)，然后封裝在括號(hào)內(nèi)完成編組。CISL使用范例對(duì)各種事件和分析結(jié)果進(jìn)行編碼，把編碼的句子進(jìn)行適當(dāng)?shù)姆庋b，就得到了GIDO。GIDO的構(gòu)建與編碼是CISL的重點(diǎn)。


　　CIDF的API負(fù)責(zé)GIDO的編碼、解碼和傳遞，它提供的調(diào)用功能使得程序員可以在不了解編碼和傳遞過程具體細(xì)節(jié)的情況下，以一種很簡(jiǎn)單的方式構(gòu)建和傳遞GIDO。它分為兩類：GIDO編碼/解碼API和消息層API。


　　CIDF和IDWG都還不成熟，目前仍在不斷地改進(jìn)和完善中，但可以預(yù)見，標(biāo)準(zhǔn)化是未來的入侵檢測(cè)系統(tǒng)必然方向，而CIDF或IDWG很可能會(huì)代表將來的IDS國(guó)際通用標(biāo)準(zhǔn)。


3 入侵檢測(cè)標(biāo)準(zhǔn)研究的意義


　　當(dāng)面對(duì)入侵活動(dòng)越來越廣泛，并且許多攻擊是經(jīng)過長(zhǎng)時(shí)期準(zhǔn)備、通過網(wǎng)上協(xié)作開展進(jìn)行時(shí)，入侵檢測(cè)系統(tǒng)和它的組件之間共享這種類型攻擊信息十分重要。共享讓系統(tǒng)之間對(duì)可能即將來臨的攻擊發(fā)出警報(bào)。主要的意義在于共享攻擊特征數(shù)據(jù)，安全控制系統(tǒng)之間相互協(xié)作有利于產(chǎn)品評(píng)估。


　　 數(shù)據(jù)交換標(biāo)準(zhǔn)化解決了入侵檢測(cè)系統(tǒng)和它的組件之間共享攻擊信息問題。提高了IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性。CIDF使得IDS系統(tǒng)能夠劃分為具有不同的功能模型組件，在不同于最初被創(chuàng)建的環(huán)境下，這些組件依然能夠被重新使用。同時(shí)，CIDF解決了不同入侵檢測(cè)系統(tǒng)的互操作性和共存問題。它所提供的標(biāo)準(zhǔn)數(shù)據(jù)格式，使得IDS中的各類數(shù)據(jù)可以在不同的系統(tǒng)之間傳遞并共享。CIDF的完善的互用性標(biāo)準(zhǔn)以及最終建立的一套開發(fā)接口和支持工具，提供了獨(dú)立開發(fā)部分組件的能力。


　　盡管計(jì)算機(jī)網(wǎng)絡(luò)資源共享在進(jìn)一步加強(qiáng)，網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，網(wǎng)絡(luò)入侵的方式、類型、特征各不相同，入侵活動(dòng)變得復(fù)雜而又難以捉摸，只要有統(tǒng)一的入侵檢測(cè)標(biāo)準(zhǔn)，就能夠檢測(cè)出靠單一的IDS不能檢測(cè)出來的某些入侵活動(dòng)。而且，標(biāo)準(zhǔn)的制定使得不同的IDS之間存在協(xié)作，形成某種入侵模式使得IDS能夠發(fā)現(xiàn)新的入侵活動(dòng)。同時(shí)IDS能夠與訪問控制、應(yīng)急、入侵追蹤等系統(tǒng)交換信息，相互協(xié)作，形成一個(gè)整體有效的安全保障系統(tǒng)，滿足網(wǎng)絡(luò)安全的需求。


4 關(guān)于國(guó)內(nèi)開展入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)的思考


　　 要使得國(guó)內(nèi)廠商做出的安全產(chǎn)品能夠符合國(guó)際標(biāo)準(zhǔn)，與其他安全產(chǎn)品互相溝通，并且具有長(zhǎng)久的生命力，就必須把IDS的標(biāo)準(zhǔn)化提高到一個(gè)重要的高度。目前國(guó)內(nèi)還沒有制定出入侵檢測(cè)標(biāo)準(zhǔn)。要建立國(guó)內(nèi)的入侵檢測(cè)標(biāo)準(zhǔn)和IDS產(chǎn)品的測(cè)試開展，應(yīng)該從以下幾點(diǎn)進(jìn)行。


　　首先應(yīng)該宣傳IDS的重要性。國(guó)外就特別關(guān)注入侵檢測(cè)技術(shù)的發(fā)明創(chuàng)新及應(yīng)用研究。DARPA資助20多個(gè)項(xiàng)目，用于入侵檢測(cè)系統(tǒng)測(cè)試評(píng)估的費(fèi)用達(dá)1000萬美元。麻省理工學(xué)院林肯實(shí)驗(yàn)室開發(fā)了非實(shí)時(shí)的IDS性能評(píng)估工具，該工具能夠動(dòng)態(tài)地加速重放大量的數(shù)據(jù)，迅速產(chǎn)生所需測(cè)試數(shù)據(jù)。IBM公司蘇黎世研究實(shí)驗(yàn)室也開發(fā)了一套IDS測(cè)評(píng)工具。


　　其次將IDS標(biāo)準(zhǔn)作為一個(gè)項(xiàng)目，進(jìn)行分工合作。讓更多的研究者參與到IDS標(biāo)準(zhǔn)的研究中，分別針對(duì)每一點(diǎn)去進(jìn)行開發(fā)研究，這樣做出來的產(chǎn)品更為成熟、更加能夠經(jīng)受得住市場(chǎng)的沖擊。具有長(zhǎng)久的生命力。


　　然后成立IDS討論組如郵件列表，進(jìn)行交換意見。最后起草IDS標(biāo)準(zhǔn)草案，征求意見稿。


　　國(guó)內(nèi)制定IDS標(biāo)準(zhǔn)的可行性。從技術(shù)路線來看，國(guó)內(nèi)可以取國(guó)外研究組織的研究成果，結(jié)合我國(guó)實(shí)際情況，制定可操作的標(biāo)準(zhǔn)。同時(shí)靠國(guó)內(nèi)研究單位力量，調(diào)查IDS產(chǎn)品狀況，然后制定標(biāo)準(zhǔn)草案。在制定標(biāo)準(zhǔn)的過程中可能會(huì)遇到難點(diǎn)，如標(biāo)準(zhǔn)的實(shí)際可操作性和標(biāo)準(zhǔn)的完備性。如何來解決相應(yīng)的難點(diǎn)？我們可以組織人員調(diào)查研究國(guó)外IDS標(biāo)準(zhǔn)，在制定了IDS標(biāo)準(zhǔn)草案稿后，廣泛征求意見使得標(biāo)準(zhǔn)盡可能地完善。同時(shí)建立IDS評(píng)估測(cè)試實(shí)驗(yàn)室來驗(yàn)證標(biāo)準(zhǔn)的可操作性。國(guó)外安全機(jī)構(gòu)早已建立起弱點(diǎn)數(shù)據(jù)庫(kù)系統(tǒng)，入侵者往往借助系統(tǒng)弱點(diǎn)而成功地進(jìn)行攻擊。因此，檢測(cè)弱點(diǎn)使用常會(huì)發(fā)現(xiàn)入侵者。同時(shí)，弱點(diǎn)數(shù)據(jù)庫(kù)系統(tǒng)會(huì)讓安全管理員意識(shí)到系統(tǒng)存在，從而及時(shí)修補(bǔ)弱點(diǎn)漏洞，防止入侵。www.whitehats.com 已建立了全球免費(fèi)的攻擊特征數(shù)據(jù)庫(kù)系統(tǒng)，IDS可以利用這些特征庫(kù)來檢測(cè)入侵者。在弱點(diǎn)數(shù)據(jù)庫(kù)系統(tǒng)和攻擊特征數(shù)據(jù)庫(kù)系統(tǒng)基礎(chǔ)上，設(shè)計(jì)IDS測(cè)試方法，并構(gòu)建常用的檢測(cè)公共庫(kù)，因此就能夠?qū)崿F(xiàn)IDS的評(píng)估系統(tǒng)。測(cè)試環(huán)境包括兩個(gè)方面，一種是在線實(shí)時(shí)網(wǎng)絡(luò)環(huán)境，另一種是離線網(wǎng)絡(luò)環(huán)境�？紤]到測(cè)試的復(fù)雜性，可以使用系統(tǒng)仿真測(cè)試。


5 結(jié)束語(yǔ)


　　IDS是近年來發(fā)展起來的促進(jìn)系統(tǒng)安全的技術(shù)，它日益受到各國(guó)政府和學(xué)者的重視。其標(biāo)準(zhǔn)化的發(fā)展尚未成熟，我國(guó)在這一方面所做的工作相對(duì)更少，本文較全面地介紹了IDS標(biāo)準(zhǔn)化所涉及的一些問題，以期推動(dòng)我國(guó)IDS標(biāo)準(zhǔn)化的研究。




----《中國(guó)數(shù)據(jù)通信》