入侵和入侵檢測技術發(fā)展綜述

盧濤1，馬力2

1．西安電子科技大學

2．西安郵電學院



　　摘　要：自從計算機問世以來，安全問題就一直存在著，使用者也一直未給予足夠的重視，結(jié)果大量連接到Internet上的計算機暴露在愈來愈頻繁的攻擊中。本文先介紹入侵行為的概念和演化，然后按時間順序，沿著技術發(fā)展的脈絡，回顧了入侵檢測技術從20世紀70年代初到今天的發(fā)展歷程。文章以歷史和實踐的觀點，透視入侵和入侵檢測技術相互制約，相互促進的演進過程。


關鍵詞：計算機安全；入侵檢測；入侵檢測系統(tǒng)；入侵檢測系統(tǒng)的歷史



1　引　言


　　自從計算機問世以來，安全問題就一直存在。特別是隨著Internet的迅速擴張和電子商務的興起，人們發(fā)現(xiàn)保護資源和數(shù)據(jù)的安全，讓他免受來自惡意入侵者的威脅是件相當困難的事。提到網(wǎng)絡安全，很多人首先想到的是防火墻，防火墻作為一種靜態(tài)的訪問控制類安全產(chǎn)品通常使用包過濾的技術來實現(xiàn)網(wǎng)絡的隔離。適當配置的防火墻雖然可以將非預期的訪問請求屏蔽在外，但不能檢查出經(jīng)過他的合法流量中是否包含著惡意的入侵代碼。在這種需求背景下，入侵檢測系統(tǒng)（IDS）應運而生。


　　入侵檢測系統(tǒng)（IDS）是將電子數(shù)據(jù)處理、安全審計、模式匹配及統(tǒng)計技術等有機地融合在一起，通過分析被檢測系統(tǒng)的審計數(shù)據(jù)或直接從網(wǎng)絡捕獲數(shù)據(jù)，發(fā)現(xiàn)違背安全策略或危及系統(tǒng)安全的行為和活動。本文主要討論入侵和入侵檢測技術從20世紀70年代初到今天的發(fā)展歷程。這個概念出自James P．Anderson在1972年的一項報告，隨后的30多年中，概念本身幾乎沒有改變。


2　入侵行為的概念、分類和演化


　　從最早期的計算機安全開始，人們就密切關注惡意使用者破壞保護機制的可能性。早期系統(tǒng)多為多用戶批處理系統(tǒng)。這個時期，主要的威脅來自系統(tǒng)的合法使用者，他們企圖得到未經(jīng)授權的材料。到了20世紀70年代，分時系統(tǒng)和其他的多用戶系統(tǒng)已成氣候，Willis H Ware主持的計算機安全防御科學特別工作


小組提供了一項報告，為處理多級數(shù)據(jù)的計算機系統(tǒng)的發(fā)展奠定了基礎。但這篇報告并沒有受到應有的重視，直到70年代中期，人們才開始進行構(gòu)建多級安全體系的系統(tǒng)研究。


　　1980年4月，詹姆斯·安德森（James P．Anderson）為美國空軍做的題為《Computer SecurityThreatMonitoring and Surveillance》（計算機安全威脅監(jiān)控與監(jiān)視）的技術報告，第一次詳細闡述了入侵檢測的概念，并首先為入侵和入侵檢測提出了一個統(tǒng)一的架構(gòu)，這是該領域的開山之作。他在論文中給出了入侵和入侵檢測技術方面的概念：


　　威脅（Threat）　可能存在有預謀的、未經(jīng)認可的嘗試：


①存取數(shù)據(jù)；


②操控數(shù)據(jù)；


③使系統(tǒng)不可靠或無法使用。


　　危險（Risk）　意外的和不可預知的數(shù)據(jù)暴露，或者，由于硬件故障、軟件設計的不完整和不正確所造成的違反操作完整性的問題。


　　脆弱性（Vulnerability）　已知的或可疑的硬件或軟件設計中的缺陷；使系統(tǒng)暴露的操作；意外暴露自己信息的操作。
攻擊（Attack）　實施威脅的明確的表達或行為。


　　滲透／入侵（Penetration）一個成功的攻擊；（未經(jīng)認可的）獲得對文件和程序的使用，或?qū)τ嬎銠C系統(tǒng)的控制。


　　威脅概念中的③包括DOS（Denial Of Service）“拒絕服務攻擊”。盜用計算資源也屬于這個類別之內(nèi)。


　　一般來說，外部入侵者的首要工作是進入系統(tǒng)。所外人，也可能是合法用戶，但違規(guī)使用了未經(jīng)授權的資源。另一方面，除了拒絕服務攻擊外，多數(shù)攻擊都需要入侵者取得用戶身份。Anderson更進一步把入侵情況按表1所示分類。







　　20世紀80年代中后期，網(wǎng)絡計算已經(jīng)相當普遍，滲透和入侵也更廣泛。但許多廠商和系統(tǒng)管理員卻疏忽了這個危險。一些廠商在售出的系統(tǒng)中預先定義管理賬戶（曾有廠商使用User name：system，Password：manager），而很多系統(tǒng)操作員卻大意地忘記了改變這個缺省設置。


　　1988年11月2日，第一個大范圍的Internet上的攻擊和滲透事件發(fā)生了。肇事者是“莫理斯蠕蟲”，他采用多種傳輸技術在系統(tǒng)間復制，利用的是發(fā)送郵件程序的漏洞，這個漏洞允許郵寄的指令能在異地系統(tǒng)上執(zhí)行。除此之外，蠕蟲也利用在finger守護進程溢出串變量來擴散。蠕蟲代碼中還包含了一個高效的口令破解程序，他嘗試破解被他傳染的系統(tǒng)上的使用者的密碼。在“莫理斯蠕蟲”之后，DARPA建立了“計算機緊急情況反應小組”，也就是現(xiàn)在SEI（軟件工程學會）的CERT（ComputerEmergencyResponse Team）。


　　1996年，在線雜志Phrack發(fā)表了一篇緩沖溢出攻擊的文章，隨后這種攻擊事件就多了起來。CERT的一項研究顯示，從1997年開始，緩沖溢出攻擊變成逐漸嚴重。近年來報告給CERT／CC的攻擊事件中涉及緩沖溢出的百分比上升，這種漏洞攻擊流行的原因包括：系統(tǒng)的脆弱性；管理者（administrator）或超級用戶（super user）在目標系統(tǒng)中的特權，攻擊行為一般都要利用這些特權；這些攻擊的腳本或程序在Internet上的適用性很好，使用者只需很少的技巧。


　　和其他攻擊方式一樣，緩沖溢出已經(jīng)越來越復雜和更具綜合性。早期的攻擊主要是通過目標程序讀數(shù)據(jù)。后來發(fā)現(xiàn)，包含環(huán)境參數(shù)的變量也可能被當作攻擊向量使用。最近，基于格式串（format strings）的緩沖溢出也開始使用。


　　1992年，第一次大范圍的“root kits”開始出現(xiàn)。入侵者會像一個平常的使用者一樣進入系統(tǒng)，接著靠猜測、社會工程學或其他方式得到一個使用者的口令，然后他們嘗試利用系統(tǒng)的弱點成為root。一旦獲得root權限，版本不同的系統(tǒng)公用程序，像是Su，F(xiàn)tp和Ftpd就會被安裝和遠程執(zhí)行，這使侵入者能方便地再次進入（后門技術），而且，入侵者會修改系統(tǒng)信息，清理入侵痕跡，讓管理者和安全審計者難以察覺。


　　現(xiàn)在的攻擊行為向著大規(guī)模、自動和協(xié)同方向發(fā)展。攻擊已經(jīng)變得越來越復雜、越來越自動化。圖1中，實線代表攻擊行為，虛線代表入侵者需要掌握的技術，他顯示了從90年代起，攻擊行為的發(fā)展和對入侵者技術要求降低的情況。CERT／CC曾預言：攻擊行為的自動化可能在因特網(wǎng)上引發(fā)大規(guī)模的入侵活動，這在今天得到了驗證。






3　入侵檢測技術的發(fā)展


　　審計是最早引入計算機安全領域的概念，像存取文件、變更他們的內(nèi)容或分類等的活動都記錄在審計數(shù)據(jù)中，安全管理員、系統(tǒng)操作員和維護人員和普通用戶一樣都要經(jīng)過行為審核。安德森提出要建立一個安全監(jiān)督系統(tǒng)，保護那些系統(tǒng)敏感信息。他還提出應該檢查什么、如何分析他、以及如何保護監(jiān)督系統(tǒng)免受攻擊，這成了今天IDS研究的核心內(nèi)容。


　　70年代后期，美國政府，包括DoD（國防部）和NIST（國家標準和技術協(xié)會）支持的計算機安全研究2開始了，安全審計也被考慮在這些研究中。1980年，安德森提出了另外一項報告，這次是針對一個空軍客戶，后者使用大型計算機處理大量的機密數(shù)據(jù)。報告中，安德森提出了減少分析數(shù)據(jù)量的方法，以及比較統(tǒng)計數(shù)據(jù)和總的觀察——也就是統(tǒng)計行為，以發(fā)現(xiàn)反常的行為。當一個安全違例發(fā)生或（統(tǒng)計上）反常的事件出現(xiàn)時，就會提醒安全官員。安全官員還能利用詳細的觀測資料做后續(xù)的評估。安德森的報告為SRI（Stanford Research Institute）和TRW（美國著名的數(shù)據(jù)安全公司）的早期工作提供了藍圖。在1980年代中期，入侵檢測方面的許多工作都被他的思路深深影響。


3．1　以Denning模型為代表的IDS早期技術


　　1984～1985年，Sytex為SPAWAR（美國海軍）開展了一個審計分析項目。他基于Unix系統(tǒng)的shell級的審計數(shù)據(jù)，論證這些數(shù)據(jù)能夠識別“正�！焙汀胺闯！笔褂玫膮^(qū)別。特里薩·蘭特（Teresa Lunt）在Sytex為這個項目工作，后來又去了SRI，在那里她參與并領導了IDES（入侵檢測專家系統(tǒng)）項目。


　　IDES項目是1984年由喬治敦大學的桃樂茜·頓寧（Dorothy Denning）和彼得·諾埃曼（PeterNeumann）開始的，是IDS早期研究中最重要的成就之一。IDES模型基于這樣的假設：有可能建立一個框架來描述發(fā)生在主體（通常是用戶）和客體（通常是文件、程序或設備）之間的正常的交互作用。這個框架由一個使用規(guī)則庫（規(guī)則庫描述了已知的違例行為）的專家系統(tǒng)支持。這能防止使用者逐漸訓練（誤導）系統(tǒng)把非法的行為當成正常的來接受，也就是說讓系統(tǒng)“見怪不怪”。


　　1988年，特里薩·蘭特等人改進了頓寧的入侵檢測模型，并開發(fā)出了一個IDES。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)，分別用于異常模型的建立和基于規(guī)則的特征分析檢測。系統(tǒng)的框架如圖2所示。






　　頓寧的模型假設：入侵行為明顯的區(qū)別于正常的活動，入侵者使用系統(tǒng)的模式不同于正常用戶的使用模式，通過監(jiān)控系統(tǒng)的跟蹤記錄，可以識別入侵者異常使用系統(tǒng)的模式，從而檢測出入侵者違反系統(tǒng)安全性的情況。論文中的一些提法看起來很吸引人，但卻并沒有多少有力的證據(jù)，有些想當然。


　　頓寧的模型中有6個主要構(gòu)件：主體、對象、審計數(shù)據(jù)、輪廓特征（或可稱為“范型”profiles）、異常記錄和行為規(guī)則。范型（profiles）表示主體的行為特色，也是模型檢測方面的關鍵。行為規(guī)則描述系統(tǒng)驗證一定條件后抽取的行為，他們能“……更新范型，檢測異常行為，能把異常和可能的入侵關聯(lián)起來并提出報告”。審計紀錄由一個行為觸發(fā)，而且記錄主體嘗試的行為、行為本身、行動對準的目標、任何可能導致例外的情況以及行為消耗的資源和獨特的時間戳標記。審計記錄會和范型進行比較（使用適當?shù)囊?guī)則），那些符合異常條件的事件將被識別出來。這個模型獨立于特定的系統(tǒng)平臺、應用環(huán)境、系統(tǒng)弱點以及入侵的類型，也不需要額外的關于安全機制、系統(tǒng)脆弱性或漏洞攻擊方面的知識，他為構(gòu)建入侵監(jiān)測系統(tǒng)提供了一個通用的框架。


　　桃樂茜·頓寧的“入侵檢測模型”論文很有影響，但現(xiàn)在讀起來有點令人失望，主要是因為其中許多當時沒回答的問題到今天仍舊沒有滿意的答案。


3．2　中期：統(tǒng)計學理論和專家系統(tǒng)相結(jié)合


　　80年代末，一些其他值得注意的系統(tǒng)開發(fā)出來，大部分走的是將統(tǒng)計學理論和專家系統(tǒng)結(jié)合在一起的路子。有幾個系統(tǒng)，特別是在Haystack和NADIR中，分析引擎把幾個商業(yè)數(shù)據(jù)庫管理系統(tǒng)（比如Oracle，Sybase）聚合在一起，發(fā)揮他們各自的優(yōu)勢。


　　MIDAS由美國國家安全局下屬的計算機安全中心開發(fā)，用來監(jiān)控他的Multics系統(tǒng)——Dock master。他使用混合的專家系統(tǒng)和統(tǒng)計學分析方法，以及來自Multics應答系統(tǒng)（Answering System）的已檢查的審計日志信息，應答系統(tǒng)控制用戶的注冊（注冊信息由其他數(shù)據(jù)源擴充）。MIDAS是最早基于連接互聯(lián)網(wǎng)的系統(tǒng)開發(fā)的產(chǎn)品之一。


　　Wisdom和Sense，分別由Los Alamos和OakRidge開發(fā)，是另一個專家系統(tǒng)和統(tǒng)計學分析方法的混合。他使用非參量的統(tǒng)計技術從歷史審計數(shù)據(jù)中產(chǎn)生規(guī)則。就像很多其他機器學習方法一樣，他也遇到了很多問題，包括獲取訓練數(shù)據(jù)的困難、高的誤報率和規(guī)則庫對存儲能力的過高需求。


　　直到那時，IDS系統(tǒng)仍舊依靠受保護主機收集的審計數(shù)據(jù)，但加州大學戴維斯分校開發(fā)的網(wǎng)絡系統(tǒng)監(jiān)控器——NSM（The Network System Monitor）改變了這個狀況。NSM在入侵檢測技術發(fā)展史上是繼IDES之后的又一個里程碑，他監(jiān)控以太網(wǎng)段上的網(wǎng)絡流量，并把他作為分析的主要數(shù)據(jù)源。從當時的檢測報告上可以看到，NSM檢測了超過100 000的網(wǎng)絡連接，并從中識別出超過300個入侵。今天，大部分商業(yè)IDS系統(tǒng)直接使用從網(wǎng)絡探測的數(shù)據(jù)作為他們主要，甚至是惟一的數(shù)據(jù)源。


3．3　基于網(wǎng)絡的NIDS是目前的主流技術


　　1994年，Mark Crosbie和Gene Spafford建議使用自治代理（Autonomous Agents）以便提高IDS的可伸縮性、可維護性、效率和容錯性，這個思想跟上了計算機科學中其他領域的研究的潮流，比如說軟件代理。另一個解決當時多數(shù)入侵檢測系統(tǒng)伸縮性不足的研究成果是1996年提出的GRIDS(Graph-based Intrusion Detection System）系統(tǒng)，該系統(tǒng)對大規(guī)模自動或協(xié)同攻擊的檢測很有效，這種跨越多個管理區(qū)域的自動協(xié)同攻擊顯然是入侵行為發(fā)展的方向。


　　1997年，CISCO要求WheelGroup公司將入侵檢測與他的路由器結(jié)合。同年，ISS成功開發(fā)了RealSecure，他是在Windows NT下運行的分布式網(wǎng)絡入侵檢測系統(tǒng)，被人們廣泛使用。1996年的第一次開發(fā)是傳統(tǒng)的基于探測器的NIDS（網(wǎng)絡入侵檢測系統(tǒng)，監(jiān)視整個網(wǎng)絡段），在Windows和Solaris 2．6上運行。1998年后期，RealSecure發(fā)展成為一個混合式的入侵檢測系統(tǒng)。他對入侵行為具有廣泛的反應能力包括斷開連接、發(fā)送SNMP信息、Email提醒、運行客戶程序記錄會話內(nèi)容等，并能根據(jù)檢測策略自動產(chǎn)生審計策略。


　　NIDS系統(tǒng)由安全控制中心和多個探測器組成。安全控制中心完成整個分布式安全監(jiān)測預警系統(tǒng)的管理與配置。探測器負責監(jiān)測其所在網(wǎng)段上的數(shù)據(jù)流，進行實時自動攻擊識別和響應。NIDS的主要特點有：


　�。�1）NIDS采用透明工作方式，他靜靜地監(jiān)視本網(wǎng)段數(shù)據(jù)流，對網(wǎng)絡通信不附加任何延時，不影響網(wǎng)絡傳輸?shù)男�率�?br>

　�。�2）NIDS采用集中管理的分布工作方式，能夠遠程監(jiān)控�？梢詫γ恳粋�探測器進行遠程配置，可以監(jiān)測多個網(wǎng)絡出口或應用于廣域網(wǎng)絡監(jiān)測，并支持加密通信和認證。


　�。�3）NIDS能進行運行狀態(tài)實時監(jiān)測，遠程啟停管理。


（4）NIDS的安全域過濾技術使其具有良好的應用擴充能力，可以在單機處理能力不足的情況下，通過安全域拆分，用多機并行處理滿足系統(tǒng)應用需求。


　�。�5）以安全策略模板，安全事件，安全事件響應方式支持安全策略定義。


　�。�6）探測器支持多接口，有隱蔽自身的自我保護功能。


　　近年來的技術創(chuàng)新還有：Forrest將免疫原理運用到分布式入侵檢測中；1998年Ross Anderson和AbidaKhattk將信息檢索技術引入這個領域。


4　結(jié)　語


　　本文沿著時間的軸線，回顧了從20世紀70年代初到今日的入侵和入侵檢測的歷史。通過縱向的比較和分析以后，我們可以看到，隨著計算機技術的發(fā)展，人們對于安全問題的認識和理解也不斷的演進，入侵檢測技術的產(chǎn)生是必然的結(jié)果。但這項技術在理論基礎上還不是很完備，這使得他多少帶有一些經(jīng)驗和假設的成分。我們認為，入侵檢測領域的進一步發(fā)展存在著很多方向和不確定性，也有賴于計算機智能科學上的研究和突破，這些突破可能在未來給入侵檢測技術帶來重大的影響。



參考文獻



［1］　Arbaugh W A，F(xiàn)ithen W L，McHugh J．Windows of vulnerability：A case study analysis［J］．IEEEComput．2000，33（12）．


［2］　Bace RG．Intrusion Detection［M］．Technology Series．Macmillan，London，2000．


［3］　Denning DE，Edwards DL，Jagannathan R，et al．A prototype IDES：A real-timeintrusion detection expert system［C］．
Technical report，Computer ScienceLaboratory［D］．SRIInternational，Menlo Park，1987．


［4］　Todd Heberlein L，Gihan Dias V，KarlLevittN．et al．A Network security monitor［M］．1991．


［5］　唐正軍，等．網(wǎng)絡入侵監(jiān)測系統(tǒng)的設計與實現(xiàn)［M］．北京：電子工業(yè)出版社，1999．



摘自　現(xiàn)代電子技術