入侵檢測(cè)系統(tǒng)的技術(shù)發(fā)展趨勢(shì)

褚永剛 楊義先



　　摘 要：提出了入侵檢測(cè)系統(tǒng)（ＩＤＳ）目前存在的主要問(wèn)題，并從５個(gè)方面詳細(xì)介紹了ＩＤＳ的發(fā)展趨勢(shì)，包括：改進(jìn)檢測(cè)方法以提高檢測(cè)準(zhǔn)確率；檢測(cè)和防范分布式攻擊及拒絕服務(wù)攻擊；實(shí)現(xiàn)ＩＤＳ與其他安全部件的互動(dòng)；ＩＤＳ的標(biāo)準(zhǔn)化工作；以及ＩＤＳ的測(cè)試和評(píng)估。


　　主題詞：入侵檢測(cè)系統(tǒng) 監(jiān)測(cè)準(zhǔn)確率 分布式攻擊 拒絕服務(wù)攻擊 標(biāo)準(zhǔn)化 測(cè)試評(píng)估



　　入侵檢測(cè)系統(tǒng)（ＩＤＳ：Ｉｎｔｒｕｓｉｏｎ Ｄｅｔｅｃｔｉｏｎ Ｓｙｓｔｅｍ）作為一種重要的安全部件，是網(wǎng)絡(luò)與信息安全防護(hù)體系的重要組成部分，是傳統(tǒng)計(jì)算機(jī)安全機(jī)制的重要補(bǔ)充。自１９８０年被提出以來(lái)，ＩＤＳ在２０多年間得到了較快的發(fā)展。特別是近幾年，由于非法入侵不斷增多，網(wǎng)絡(luò)與信息安全問(wèn)題變得越來(lái)越突出。ＩＤＳ作為一種主動(dòng)防御技術(shù)，越來(lái)越受到人們的關(guān)注。


　�。桑模邮紫韧ㄟ^(guò)在計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)收集到的信息進(jìn)行分析，判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，然后根據(jù)分析結(jié)果采取決策并作出適當(dāng)?shù)捻憫?yīng)。目前，國(guó)內(nèi)外有很多家研究機(jī)構(gòu)在從事ＩＤＳ的研究工作，不少?gòu)S家也開(kāi)發(fā)出了ＩＤＳ產(chǎn)品。但總的看來(lái)，現(xiàn)在對(duì)ＩＤＳ的研究還不夠深入，產(chǎn)品的性能也有待提高。具體說(shuō)來(lái)，ＩＤＳ目前存在的主要問(wèn)題有：


　　·ＩＤＳ產(chǎn)品的檢測(cè)準(zhǔn)確率比較低，漏報(bào)和誤報(bào)比較多；


　　·對(duì)分布式攻擊和拒絕服務(wù)攻擊的檢測(cè)和防范能力較弱；


　　·尚不能與其他安全部件很好地互動(dòng)；


　　·缺乏國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)；


　　·對(duì)ＩＤＳ產(chǎn)品的測(cè)試評(píng)估缺乏統(tǒng)一的標(biāo)準(zhǔn)和平臺(tái)。


　　入侵檢測(cè)技術(shù)還不夠成熟和完善，有很大的研究、發(fā)展空間，而現(xiàn)存的問(wèn)題就是今后入侵檢測(cè)技術(shù)的主要研究方向。以下從５個(gè)方面詳細(xì)介紹入侵檢測(cè)技術(shù)的主要發(fā)展趨勢(shì)。


改進(jìn)檢測(cè)方法 提高檢測(cè)準(zhǔn)確率


　　幾年前，當(dāng)ＩＤＳ剛剛被作為一種重要的安全部件在國(guó)內(nèi)被提出并使用時(shí)，人們對(duì)它的期望值很高。首先從理論上講，ＩＤＳ可以主動(dòng)地檢測(cè)到對(duì)系統(tǒng)或網(wǎng)絡(luò)的入侵，并對(duì)這些入侵進(jìn)行記錄和響應(yīng)，這是防火墻、身份識(shí)別和認(rèn)證、加密解密等其他許多安全策略所不能做到的。因此，引入ＩＤＳ可以彌補(bǔ)其他安全策略的不足，使得整個(gè)安全防護(hù)體系更加完善。其次，由于網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，系統(tǒng)遭受的入侵和攻擊越來(lái)越多，人們迫切需要一種可以有效防范和應(yīng)對(duì)這些入侵的安全策略和產(chǎn)品。在這種形勢(shì)下，國(guó)內(nèi)許多安全產(chǎn)品方面的廠商紛紛開(kāi)始開(kāi)發(fā)自己的ＩＤＳ產(chǎn)品，許多研究機(jī)構(gòu)也開(kāi)始了對(duì)ＩＤＳ的研究，ＩＤＳ成為網(wǎng)絡(luò)與信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)。


　　近來(lái)，ＩＤＳ雖然得到了比較大的發(fā)展，但總的情況并不讓人滿意。最大的問(wèn)題是現(xiàn)在的入侵檢測(cè)產(chǎn)品檢測(cè)準(zhǔn)確率比較低，誤報(bào)和漏報(bào)的情況比較多。本來(lái)ＩＤＳ是要減輕管理員的負(fù)擔(dān)，結(jié)果出現(xiàn)的大量誤報(bào)使得管理員疲于應(yīng)付，最后不得已反而想放棄ＩＤＳ。


　　出現(xiàn)這種情況的主要原因在于對(duì)ＩＤＳ的研究還不夠深入，技術(shù)上不夠成熟�，F(xiàn)在的ＩＤＳ產(chǎn)品，主要可以分為基于主機(jī)的ＩＤＳ和基于網(wǎng)絡(luò)的ＩＤＳ兩種，使用的檢測(cè)方法主要是誤用檢測(cè)（ｍｉｓｕｓｅ ｄｅｔｅｃｔｉｏｎ）和異常檢測(cè)（ａｎｏｍａｌｙ ｄｅｔｅｃｔｉｏｎ）。誤用檢測(cè)是對(duì)不正常的行為進(jìn)行建模，這些行為就是以前記錄下來(lái)的確認(rèn)了的誤用或攻擊。目前誤用檢測(cè)的方法主要是模式匹配，即將每一個(gè)已知的攻擊事件定義為一個(gè)獨(dú)立的特征，這樣對(duì)入侵行為的檢測(cè)就成為對(duì)特征的匹配搜索，如果和已知的入侵特征匹配，就認(rèn)為是攻擊。異常檢測(cè)是對(duì)正常行為建模，所有不符合這個(gè)模型的事件就被懷疑為攻擊�，F(xiàn)在異常檢測(cè)的方法主要是統(tǒng)計(jì)模型，它通過(guò)設(shè)置極限閾值等方法，將檢測(cè)數(shù)據(jù)與已有的正常行為比較，如果超出極限閾值，就認(rèn)為是入侵行為。


　　為了提高檢測(cè)準(zhǔn)確率，有人把其他領(lǐng)域的一些概念和方法引入到ＩＤＳ中來(lái)，主要有神經(jīng)網(wǎng)絡(luò)、模糊理論、免疫系統(tǒng)、數(shù)據(jù)挖掘等。這些方法主要是為了增強(qiáng)ＩＤＳ的學(xué)習(xí)能力，使得ＩＤＳ可以智能地檢測(cè)出未知攻擊。但這些方法基本上還都處于研究階段。


　　協(xié)議分析技術(shù)是一種比較好的誤用檢測(cè)技術(shù)，它彌補(bǔ)了模式匹配技術(shù)的一些不足，通過(guò)對(duì)協(xié)議進(jìn)行解碼，減少了ＩＤＳ需要分析的數(shù)據(jù)量，從而提高了解析的速度，由于協(xié)議比較規(guī)范，因此協(xié)議分析的準(zhǔn)確率比較高。目前一些產(chǎn)品已經(jīng)實(shí)現(xiàn)或部分實(shí)現(xiàn)了協(xié)議分析技術(shù)。


此外，網(wǎng)絡(luò)速度也構(gòu)成了對(duì)檢測(cè)準(zhǔn)確率的挑戰(zhàn)�，F(xiàn)在網(wǎng)絡(luò)的規(guī)模越來(lái)越大，網(wǎng)絡(luò)的速度也在不斷提高，因此ＩＤＳ產(chǎn)品必須要能夠適應(yīng)大規(guī)模高速網(wǎng)絡(luò)的要求，否則就會(huì)出現(xiàn)大量的漏報(bào)現(xiàn)象。為了能夠適應(yīng)高速網(wǎng)的要求，不得不改進(jìn)ＩＤＳ中一些現(xiàn)有的技術(shù)。


　　因此，改進(jìn)現(xiàn)有的入侵檢測(cè)方法，提出新的、可以應(yīng)用于大規(guī)模高速網(wǎng)絡(luò)的入侵檢測(cè)方法，對(duì)于適應(yīng)新的應(yīng)用需要，提高ＩＤＳ的準(zhǔn)確率非常必要。


檢測(cè)和防范分布式攻擊與拒絕服務(wù)攻擊


　　網(wǎng)絡(luò)或主機(jī)受到的攻擊最初都是由單機(jī)發(fā)起的，也就是參與對(duì)目標(biāo)主機(jī)或網(wǎng)絡(luò)攻擊的只有一臺(tái)機(jī)器。入侵檢測(cè)技術(shù)的發(fā)展使得這種一對(duì)一的攻擊方法越來(lái)越難以奏效。于是攻擊者就采取使用多臺(tái)主機(jī)，同時(shí)攻擊一臺(tái)機(jī)器的辦法。這就是所謂的分布式攻擊（ｄｉｓｔｒｉｂｕｔｅｄ ａｔｔａｃｋ），它可以在很短時(shí)間內(nèi)使被攻擊的主機(jī)癱瘓。分布式攻擊是多對(duì)一的攻擊，完成一次攻擊的時(shí)間比單機(jī)攻擊更短，成功率更高。此類(lèi)攻擊的單機(jī)信息模式與正常通信幾乎沒(méi)有差異，通常的檢測(cè)方法無(wú)法及時(shí)檢測(cè)出來(lái)，因此分布式攻擊更加隱蔽，更難被發(fā)現(xiàn)。


　　由于分布式攻擊有著隱蔽性強(qiáng)，攻擊力大的特點(diǎn)，因此現(xiàn)在入侵者使用分布式攻擊進(jìn)行入侵的情況越來(lái)越多。而目前的ＩＤＳ產(chǎn)品對(duì)于分布式攻擊的防范能力普遍較弱。如何很好地描述一種分布式攻擊，檢測(cè)到可疑攻擊后如何將分開(kāi)的攻擊特征合并，從中確定分布式攻擊，都是值得認(rèn)真研究的課題。


　　近年來(lái)出現(xiàn)的拒絕服務(wù)攻擊（ＤｏＳ：Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）對(duì)網(wǎng)絡(luò)安全和信息的可用性造成了巨大的威脅。它通過(guò)搶占目標(biāo)主機(jī)系統(tǒng)資源，使得系統(tǒng)過(guò)載或崩潰，從而達(dá)到阻止合法用戶使用系統(tǒng)的目的。１９９５年以后，ＤｏＳ越來(lái)越多地成為黑客研究的熱點(diǎn)，各種ＤｏＳ攻擊及其變種在網(wǎng)上廣為流傳，ＤｏＳ事件頻頻發(fā)生。由于ＤｏＳ多是利用系統(tǒng)的漏洞進(jìn)行攻擊，比如ＳＹＮ風(fēng)暴拒絕服務(wù)攻擊是利用了ＴＣＰ／ＩＰ的缺陷，Ｐｉｎｇ ｏｆ Ｄｅａｔｈ拒絕服務(wù)攻擊是利用了ＩＰ協(xié)議的缺陷。因此，防范ＤｏＳ并不是一件容易的事情�，F(xiàn)在對(duì)于ＤｏＳ的研究比較多，國(guó)內(nèi)一些廠家也開(kāi)發(fā)出了專(zhuān)門(mén)應(yīng)對(duì)ＤｏＳ的產(chǎn)品，但要想很好地檢測(cè)和防范ＤｏＳ，還有很多工作要做。


　�。保梗梗鼓暌詠�(lái)，一種綜合了分布式攻擊和拒絕服務(wù)攻擊特點(diǎn)的新型攻擊開(kāi)始出現(xiàn)，這就是分布式拒絕服務(wù)攻擊（ＤＤｏＳ：Ｄｉｓｔｒｉｂｕｔｅｄ Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）。發(fā)起攻擊的主機(jī)通過(guò)控制數(shù)臺(tái)脆弱主機(jī)，把它們武裝成一臺(tái)臺(tái)極具攻擊力的攻擊者，然后讓它們同時(shí)對(duì)目標(biāo)主機(jī)發(fā)起攻擊，帶寬在相差懸殊的力量對(duì)比下，目標(biāo)主機(jī)很快就會(huì)崩潰。對(duì)于ＤＤｏＳ的研究已成為攻擊研究的熱點(diǎn)。
實(shí)現(xiàn)ＩＤＳ與其他安全部件的互動(dòng)


　　實(shí)現(xiàn)網(wǎng)絡(luò)與信息的安全是一項(xiàng)系統(tǒng)工程，不是哪一種單獨(dú)的安全部件就可以完成的。只有在不同的安全部件之間實(shí)現(xiàn)互聯(lián)互動(dòng)，才能夠更好地發(fā)揮它們各自的作用，才可以比較好地保證網(wǎng)絡(luò)與信息的安全。隨著防火墻、入侵檢測(cè)等技術(shù)的不斷發(fā)展，實(shí)現(xiàn)它們之間的互動(dòng)顯得越來(lái)越重要。因此，對(duì)于安全部件之間的互動(dòng)協(xié)議和接口標(biāo)準(zhǔn)的研究，也會(huì)是對(duì)ＩＤＳ研究的一個(gè)重要方向。對(duì)于這方面的研究現(xiàn)在還比較少，一些ＩＤＳ廠家只針對(duì)自己的產(chǎn)品做了一些接口函數(shù)，并且大多數(shù)是以防火墻為中心的�，F(xiàn)在只有少數(shù)廠家是以ＩＤＳ為中心考慮安全部件的互動(dòng)和接口的，但也僅局限于自己開(kāi)發(fā)的ＩＤＳ和防火墻產(chǎn)品。


　　由于ＩＤＳ的地位越來(lái)越重要，防護(hù)的網(wǎng)絡(luò)規(guī)模越來(lái)越大，因此應(yīng)該把ＩＤＳ和其他安全部件放在一個(gè)對(duì)等的位置來(lái)考慮它們之間的互動(dòng)。應(yīng)該考慮不同廠家的ＩＤＳ之間，ＩＤＳ和防火墻之間，ＩＤＳ與響應(yīng)部件之間的互動(dòng)。在這方面，還有不少具體的工作要做。


ＩＤＳ的標(biāo)準(zhǔn)化工作


　　標(biāo)準(zhǔn)化的工作對(duì)于一項(xiàng)技術(shù)的發(fā)展至關(guān)重要。在某一個(gè)技術(shù)領(lǐng)域，如果沒(méi)有相應(yīng)的標(biāo)準(zhǔn)，那么該領(lǐng)域的發(fā)展將會(huì)是無(wú)序的。令人遺憾的是，盡管ＩＤＳ經(jīng)歷了２０多年的發(fā)展，近幾年又成為網(wǎng)絡(luò)與信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)，但到目前為止，尚沒(méi)有一個(gè)相關(guān)的國(guó)際標(biāo)準(zhǔn)出現(xiàn)，國(guó)內(nèi)也沒(méi)有ＩＤＳ方面的標(biāo)準(zhǔn)。因此，ＩＤＳ的標(biāo)準(zhǔn)化工作應(yīng)引起業(yè)界的廣泛重視。


現(xiàn)在國(guó)際上主要有兩個(gè)組織在做這方面的工作，它們是公共入侵檢測(cè)框架工作組（ＣＩＤＦ）和入侵檢測(cè)工作小組（ＩＤＷＧ）。ＣＩＤＦ早期由美國(guó)國(guó)防部高級(jí)研究計(jì)劃署（ＤＡＲＰＡ）贊助研究，現(xiàn)在由ＣＩＤＦ工作組負(fù)責(zé)，這是一個(gè)開(kāi)放組織。ＩＤＷＧ是互聯(lián)網(wǎng)工程任務(wù)組（ＩＥＴＦ）下的一個(gè)工作小組，專(zhuān)門(mén)研究制定入侵檢測(cè)領(lǐng)域的草案（標(biāo)準(zhǔn)），它的工作目標(biāo)是定義ＩＤＳ中的數(shù)據(jù)格式、信息交換過(guò)程和交換協(xié)議。ＩＤＷＧ現(xiàn)在比較活躍，在不斷修改它們提出的草案，力爭(zhēng)使其成為國(guó)際標(biāo)準(zhǔn)。


　　在ＩＤＳ中，應(yīng)該進(jìn)行標(biāo)準(zhǔn)化的工作主要包括：大規(guī)模分布式ＩＤＳ的體系結(jié)構(gòu)、入侵特征等數(shù)據(jù)的描述（格式）、ＩＤＳ內(nèi)部的通信協(xié)議和數(shù)據(jù)交換協(xié)議、安全部件間的互動(dòng)協(xié)議和接口標(biāo)準(zhǔn)等。


ＩＤＳ的測(cè)試和評(píng)估


　　近年來(lái)，ＩＤＳ得到了很大的發(fā)展，我國(guó)在入侵檢測(cè)方面的研究工作和產(chǎn)品開(kāi)發(fā)也有了很大的進(jìn)展，但現(xiàn)在對(duì)入侵檢測(cè)測(cè)試評(píng)估方面的研究還不是很多�，F(xiàn)在的入侵檢測(cè)產(chǎn)品很需要一個(gè)大家公認(rèn)的ＩＤＳ測(cè)試評(píng)估標(biāo)準(zhǔn)，各個(gè)產(chǎn)品都使用這個(gè)統(tǒng)一的尺度來(lái)衡量、比較彼此的優(yōu)劣�，F(xiàn)在一些入侵檢測(cè)產(chǎn)品的宣傳未必就十分可信，即使是完全可信的，由于不是由權(quán)威的檢測(cè)部門(mén)使用測(cè)試評(píng)估標(biāo)準(zhǔn)來(lái)進(jìn)行檢測(cè)得出的結(jié)果，所以也難免被使用者懷疑。因此，盡快建立一套ＩＤＳ的測(cè)試評(píng)估標(biāo)準(zhǔn)，對(duì)產(chǎn)品開(kāi)發(fā)商和用戶都有好處。


　　進(jìn)行測(cè)試評(píng)估的研究，關(guān)鍵的問(wèn)題是：網(wǎng)絡(luò)流量仿真、用戶行為仿真、攻擊特征庫(kù)的構(gòu)建、評(píng)估環(huán)境的實(shí)現(xiàn)和評(píng)測(cè)結(jié)果的分析。核心問(wèn)題則是建立一個(gè)測(cè)試ＩＤＳ的標(biāo)準(zhǔn)環(huán)境，這個(gè)環(huán)境可以模擬真實(shí)的網(wǎng)絡(luò)流量、用戶行為和攻擊行為。所有的入侵檢測(cè)產(chǎn)品都在這個(gè)標(biāo)準(zhǔn)環(huán)境下測(cè)試，自然就可以區(qū)分出產(chǎn)品的優(yōu)劣。


　　對(duì)于ＩＤＳ的測(cè)試和評(píng)估，雖然不是ＩＤＳ本身的技術(shù)，但對(duì)于促進(jìn)ＩＤＳ的發(fā)展和ＩＤＳ產(chǎn)品的推廣非常重要。國(guó)家有關(guān)部門(mén)對(duì)此應(yīng)該予以足夠的重視。




----《世界電信》