入侵檢測(cè)技術(shù)概論

劉娜1 王巍1 李可2 閆鑌2


中國(guó)網(wǎng)通河南省通信公司


中國(guó)科學(xué)院高能物理研究所



　　摘要 隨著計(jì)算機(jī)技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)系統(tǒng)已經(jīng)從獨(dú)立的主機(jī)發(fā)展到復(fù)雜的、互連的開放式系統(tǒng)，這給人們?cè)谛畔⒗�用和資源共享上帶來了很大的便利。與此同時(shí)，人們又面臨著由于入侵而引發(fā)的一系列安全問題的困擾。本文介紹了當(dāng)今網(wǎng)絡(luò)安全技術(shù)的熱點(diǎn)之一：入侵檢測(cè)技術(shù)。文章首先講述了入侵檢測(cè)的定義及分類，并分析了其檢測(cè)方法，最后說明了它的發(fā)展趨勢(shì)及其應(yīng)用前景。


　　關(guān)鍵詞 入侵檢測(cè)系統(tǒng) 網(wǎng)絡(luò)安全 防火墻



1 引言


　　隨著Internet高速發(fā)展，個(gè)人、企業(yè)以及政府部門越來越多地依靠網(wǎng)絡(luò)傳遞信息, 然而網(wǎng)絡(luò)的開放性與共享性容易使它受到外界的攻擊與破壞,信息的安全保密性受到嚴(yán)重影響。網(wǎng)絡(luò)安全問題已成為世界各國(guó)政府、企業(yè)及廣大網(wǎng)絡(luò)用戶最關(guān)心的問題之一。


　　 試圖破壞信息系統(tǒng)的完整性、機(jī)密性、可信性的任何網(wǎng)絡(luò)活動(dòng)都稱為網(wǎng)絡(luò)入侵。防范網(wǎng)絡(luò)入侵最常用的方法就是防火墻。防火墻（Firewall）是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合,它屬于網(wǎng)絡(luò)層安全技術(shù),其作用是為了保護(hù)與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨(dú)節(jié)點(diǎn)。它具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。


　　但是，防火墻只是一種被動(dòng)防御性的網(wǎng)絡(luò)安全工具，僅僅使用防火墻是不夠的。首先，入侵者可以找到防火墻的漏洞，繞過防火墻進(jìn)行攻擊。其次，防火墻對(duì)來自內(nèi)部的攻擊無能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過,而這是遠(yuǎn)遠(yuǎn)不能滿足用戶復(fù)雜的應(yīng)用要求的。于是就產(chǎn)生了入侵檢測(cè)技術(shù)[1]。


2 入侵檢測(cè)技術(shù)


　　入侵檢測(cè)的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵檢測(cè)的概念,在該文中Aderson提出審計(jì)追蹤可應(yīng)用于監(jiān)視入侵威脅，但由于當(dāng)時(shí)所有已有的系統(tǒng)安全程序都著重于拒絕未經(jīng)認(rèn)證主體對(duì)重要數(shù)據(jù)的訪問,這一設(shè)想的重要性當(dāng)時(shí)并未被理解。1987年Dorothy.E.Denning[2]提出入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)的抽象模型,首次將入侵檢測(cè)的概念作為一種計(jì)算機(jī)系統(tǒng)安全防御問題的措施提出，與傳統(tǒng)加密和訪問控制的常用方法相比,IDS是全新的計(jì)算機(jī)安全措施。1988年的Morris Internet蠕蟲事件使得Internet近5天無法使用。該事件使得對(duì)計(jì)算機(jī)安全的需要迫在眉睫,從而導(dǎo)致了許多IDS系統(tǒng)的開發(fā)研制。


　　入侵檢測(cè)（Intrusion Detection）的定義為：識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此作出反應(yīng)的過程。IDS則是完成如上功能的獨(dú)立系統(tǒng)。IDS能夠檢測(cè)未授權(quán)對(duì)象（人或程序）針對(duì)系統(tǒng)的入侵企圖或行為(Intrusion)，同時(shí)監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作(Misuse)。


　�。�1）從系統(tǒng)的不同環(huán)節(jié)收集信息；


　　（2）分析該信息，試圖尋找入侵活動(dòng)的特征；


　�。�3）自動(dòng)對(duì)檢測(cè)到的行為做出響應(yīng)；


　　（4）紀(jì)錄并報(bào)告檢測(cè)過程結(jié)果。


　　入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)能很好的彌補(bǔ)防火墻的不足，從某種意義上說是防火墻的補(bǔ)充[1]。


3 入侵檢測(cè)的分類




　　 現(xiàn)有的分類，大都基于信息源和分析方法進(jìn)行分類[3, 4]。


3.1 根據(jù)信息源的不同，分為基于主機(jī)型和基于網(wǎng)絡(luò)型兩大類


3.1.1 基于主機(jī)的入侵檢測(cè)系統(tǒng)（Host-based Intrusion Detection System，HIDS）


　　基于主機(jī)的IDS可監(jiān)測(cè)系統(tǒng)、事件和Windows NT下的安全記錄以及Unix環(huán)境下的系統(tǒng)記錄。當(dāng)有文件被修改時(shí)，IDS將新的記錄條目與已知的攻擊特征相比較，看它們是否匹配。如果匹配，就會(huì)向系統(tǒng)管理員報(bào)警或者作出適當(dāng)?shù)捻憫?yīng)。


　　基于主機(jī)的IDS在發(fā)展過程中融入了其他技術(shù)。檢測(cè)對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個(gè)常用方法是通過定期檢查文件的校驗(yàn)和來進(jìn)行的，以便發(fā)現(xiàn)異常的變化。反應(yīng)的快慢取決于輪訊間隔時(shí)間的長(zhǎng)短。許多產(chǎn)品都是監(jiān)聽端口的活動(dòng)，并在特定端口被訪問時(shí)向管理員報(bào)警。這類檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。


3.1.2 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Network-based Intrusion Detection System，NIDS）


　　基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)包作為分析數(shù)據(jù)源。它通常利用一個(gè)工作在混雜模式下的網(wǎng)卡來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流。它的分析模塊通常使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來識(shí)別攻擊行為。一旦檢測(cè)到了攻擊行為，IDS的響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，比如報(bào)警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。不同入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同，但通常都包括通知管理員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等[5]。


3.1.3 基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的集成


　　許多機(jī)構(gòu)的網(wǎng)絡(luò)安全解決方案都同時(shí)采用了基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測(cè)系統(tǒng)。因?yàn)檫@兩種系統(tǒng)在很大程度上是互補(bǔ)的。實(shí)際上，許多客戶在使用IDS時(shí)都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)。在防火墻之外的檢測(cè)器檢測(cè)來自外部Internet的攻擊。DNS、Email和Web服務(wù)器經(jīng)常是攻擊的目標(biāo)，但是它們又必須與外部網(wǎng)絡(luò)交互，不可能對(duì)其進(jìn)行全部屏蔽，所以應(yīng)當(dāng)在各個(gè)服務(wù)器上安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，其檢測(cè)結(jié)果也要向分析員控制臺(tái)報(bào)告。因此，即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)也常常需要基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測(cè)能力。下面給出一個(gè)中等規(guī)模的機(jī)構(gòu)設(shè)置入侵檢測(cè)系統(tǒng)的入侵檢測(cè)解決方案[6, 7]。


3.2 根據(jù)檢測(cè)所用分析方法的不同，可分為誤用檢測(cè)和異常檢測(cè)


3.2.1 誤用檢測(cè)（Misuse Detection）


　　設(shè)定一些入侵活動(dòng)的特征（Signature），通過現(xiàn)在的活動(dòng)是否與這些特征匹配來檢測(cè)。常用的檢測(cè)技術(shù)為：


　　（l）專家系統(tǒng)：采用一系列的檢測(cè)規(guī)則分析入侵的特征行為。規(guī)則，即知識(shí)，是專家系統(tǒng)賴以判定入侵存在與否的依據(jù)。除了知識(shí)庫的完備性外，專家系統(tǒng)還依靠條件庫的完備性，這一點(diǎn)又取決于審計(jì)記錄的完備性、實(shí)時(shí)性和易用性。此外，匹配算法的快慢，也對(duì)專家系統(tǒng)的工作效率有很大的影響。


　　 （2）基于模型的入侵檢測(cè)方法：入侵者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為序列，如猜測(cè)口令的行為序列。這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的缺點(diǎn)相比，這一方法的優(yōu)點(diǎn)在于它基于完善的不確定性推理數(shù)學(xué)理論�；�于模型的入侵檢測(cè)方法可以僅監(jiān)測(cè)一些主要的審計(jì)事件。當(dāng)這些事件發(fā)生后，再開始記錄詳細(xì)的審計(jì)，從而減少審計(jì)事件處理負(fù)荷。這種檢測(cè)方法的另外一個(gè)特點(diǎn)是可以檢測(cè)組合攻擊（coordinate attack）和多層攻擊（multi-stage attack）。為分布式IDS系統(tǒng)所采用。


　�。�3）簡(jiǎn)單模式匹配（Pattern Matching）：基于模式匹配的入侵檢測(cè)方法將已知的入侵特征編碼成為與審計(jì)記錄相符合的模式。當(dāng)新的審計(jì)事件產(chǎn)生時(shí)，這一方法將尋找與它相匹配的已知入侵模式。


　　 （4）軟計(jì)算方法：軟計(jì)算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。近年來己有關(guān)于運(yùn)用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)實(shí)驗(yàn)的報(bào)道，但還沒有正式的產(chǎn)品問世。


3.2.2 異常檢測(cè)（Anomaly detection）


　　異常檢測(cè)假設(shè)入侵者活動(dòng)異常于正常的活動(dòng)。為實(shí)現(xiàn)該類檢測(cè)，IDS建立正常活動(dòng)的“規(guī)范集（Normal profile）”，當(dāng)主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。異常檢測(cè)的優(yōu)點(diǎn)之一為具有抽象系統(tǒng)正常行為從而檢測(cè)系統(tǒng)異常行為的能力。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測(cè)新的入侵行為。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來自于系統(tǒng)的各種指標(biāo)。比如CPU使用率、內(nèi)存使用率、登錄的時(shí)間和次數(shù)、網(wǎng)絡(luò)活動(dòng)、文件的改動(dòng)等。異常檢測(cè)的缺點(diǎn)是：若入侵者了解到檢測(cè)規(guī)律，就可以小心的避免系統(tǒng)指標(biāo)的突變，而使用逐漸改變系統(tǒng)指標(biāo)的方法逃避檢測(cè)。另外檢測(cè)效率也不高，檢測(cè)時(shí)間較長(zhǎng)。最重要的是，這是一種“事后”的檢測(cè)，當(dāng)檢測(cè)到入侵行為時(shí)，破壞早已經(jīng)發(fā)生了。


　　統(tǒng)計(jì)方法是當(dāng)前產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常用的方法，它是一種成熟的入侵檢測(cè)方法，它使入侵檢測(cè)系統(tǒng)能夠?qū)W習(xí)主體的日常行為，將那些與正�；顒�(dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)標(biāo)識(shí)成為異常活動(dòng)。常用的入侵檢測(cè)統(tǒng)計(jì)模型為：操作模型、方差、計(jì)算參數(shù)的方差、多元模型、馬爾柯夫過程模型和時(shí)間序列分析。統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過入侵檢測(cè)系統(tǒng)[8~11]。


4 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)


　　目前，國(guó)內(nèi)、外入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)[12, 13]為：


　�。�1）分布式入侵檢測(cè)。這個(gè)概念有兩層含義：第一層，即針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法：第二層即使用分布式的方法來檢測(cè)分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測(cè)信息的協(xié)同處理與入侵攻擊的全局信息的提取。分布式系統(tǒng)是現(xiàn)代IDS主要發(fā)展方向之一，它能夠在數(shù)據(jù)收集、入侵分析和自動(dòng)響應(yīng)方面最大限度地發(fā)揮系統(tǒng)資源的優(yōu)勢(shì)，其設(shè)計(jì)模型具有很大的靈活性。


　�。�2）智能化入侵檢測(cè)。即使用智能化的方法與手段來進(jìn)行入侵檢測(cè)。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識(shí)與泛化。利用專家系統(tǒng)的思想來構(gòu)建IDS也是常用的方法之一。


　　（3）網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻、PKIX、安全電子交易（SET）等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。例如，基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)相結(jié)合，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測(cè)技術(shù)很好地集成起來，相互補(bǔ)充，提供集成化的攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)等功能。


5 IDS的應(yīng)用前景[14]


　　在互聯(lián)網(wǎng)高速上網(wǎng)迅速發(fā)展的今天，隨著安全事件的急劇增加以及入侵檢測(cè)技術(shù)逐步成熟，入侵檢測(cè)系統(tǒng)將會(huì)有很大的應(yīng)用前景。比如銀行的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)（支付網(wǎng)關(guān)、網(wǎng)上銀行等），科研單位的開發(fā)系統(tǒng)，軍事系統(tǒng)，普通的電子商務(wù)系統(tǒng)，ICP等，都需要有IDS的護(hù)衛(wèi)。


　�。�1）無線網(wǎng)絡(luò)。移動(dòng)通信由于具有不受地理位置的限制、可自由移動(dòng)等優(yōu)點(diǎn)而得到了用戶的普遍歡迎和廣泛使用，目前全球有7300萬人使用無線數(shù)據(jù)電話。但是移動(dòng)通信在帶來可移動(dòng)的優(yōu)越性的同時(shí)也帶來系統(tǒng)安全性的問題。由于移動(dòng)通信的固有特點(diǎn)，移動(dòng)臺(tái)（MS）與基站（BS）之間的空中無線接口是開放的，這樣整個(gè)通信過程，包括通信、鏈路的建立、信息的傳輸（如用戶的身份信息、位置信息、語音以及其它數(shù)據(jù)流）均暴露在第三方面前；而且在移動(dòng)通信系統(tǒng)中，移動(dòng)用戶與網(wǎng)絡(luò)之間不存在固定物理連接的特點(diǎn)使得移動(dòng)用戶必須通過無線信道傳遞其身份信息，以便于網(wǎng)絡(luò)端能正確鑒別移動(dòng)用戶的身份，而這些信息就可能被第三者截獲，并偽造信息，假冒此用戶身份使用通信服務(wù)；另外無線網(wǎng)絡(luò)也容易受到黑客和病毒的攻擊。因此，IDS在無線網(wǎng)絡(luò)方面有廣闊的應(yīng)用前景。


　�。�2）IDS走進(jìn)家庭。最近幾年來IDS讓公司經(jīng)理們不必?fù)?dān)心黑客和內(nèi)部作案人員，現(xiàn)在IDS要保護(hù)家庭里的個(gè)人計(jì)算機(jī)。越來越多的人通過互聯(lián)網(wǎng)將家中的計(jì)算機(jī)與公司聯(lián)網(wǎng)，到2005年全世界將有2600萬人用上住宅高速互聯(lián)網(wǎng)服務(wù)。而由于使用了寬帶，這些用戶的網(wǎng)絡(luò)或DSL調(diào)制解調(diào)器總是處于打開的狀態(tài)，對(duì)黑客有極大的誘惑力。黑客可以由此侵入網(wǎng)絡(luò)，盜竊信用卡、身份證明或進(jìn)入網(wǎng)絡(luò)管理系統(tǒng)，一些傳播很快的病毒還會(huì)把個(gè)人計(jì)算機(jī)的內(nèi)容暴露給黑客，這些都預(yù)示著IDS將逐漸走入家庭。


6 結(jié)束語


　　最后我們應(yīng)該明白的是：IDS盡管是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要組成部分，但它不是一個(gè)完全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全解決方案，它不能替代其他安全系統(tǒng)如：訪問控制、身份識(shí)別與認(rèn)證、加密、防火墻、病毒的檢測(cè)與殺除等的功能。但可以將它與其他安全系統(tǒng)，如防火墻系統(tǒng)、安全網(wǎng)管系統(tǒng)等增強(qiáng)協(xié)作，以增加其自身的動(dòng)態(tài)靈活反應(yīng)及免疫能力，為我們提供更加安全的網(wǎng)絡(luò)環(huán)境。



參 考 文 獻(xiàn)


[1] 祁建清，閆鑌，楊正 . IDS研究概述，電子對(duì)抗技術(shù)，第16卷第4期，2001


[2] Denning D E. An intrusion- detection model[J]. IEEE Trans-action on Software Engineering, 1987,SE- 1 3 :222～232


[3] Sandeep Kumar. Classification and detection of Computer Intrusions. Ph.D thesis, Indiana: Purdue University


[4] Dacier M, Jackson K. Intrusion detection. Computer Networks, 1999;31(23-24):2433-2434


[5] 劉春頌，楊壽保，杜濱 . 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)及其實(shí)現(xiàn)，計(jì)算機(jī)應(yīng)用 . 第23卷第2期，2003


[6] 江波，郭巧 . 基于網(wǎng)絡(luò)的IDS的幾點(diǎn)改進(jìn)措施 . 計(jì)算機(jī)工程與設(shè)計(jì)，第24卷第3期，2003


[7] 杜彥輝等 . 基于網(wǎng)絡(luò)和主機(jī)相結(jié)合的入侵檢測(cè)技術(shù) . 火力與指揮控制，第27卷第2期，2002


[8] 李昀，李偉華 . 分布式入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn) . 計(jì)算機(jī)工程與應(yīng)用，2003，04


[9] 魯宏偉，羅鋼 . 基于專家系統(tǒng)的入侵檢測(cè)方法，武鋼技術(shù) . 2003年第 41卷第 1期


[10] 肖瀛等 . 智能神經(jīng)網(wǎng)絡(luò)在Internet入侵檢測(cè)中的應(yīng)用 . 高技術(shù)通訊，2002，07


[11] 譚小彬等 . 計(jì)算機(jī)系統(tǒng)入侵檢測(cè)的隱馬爾可夫模型 . 計(jì)算機(jī)研究與發(fā)展，第40卷第2期，2003


[12] 張穎，王輝 . 一種與入侵檢測(cè)互動(dòng)的 Internet安全防范系統(tǒng) . 計(jì)算機(jī)工程與應(yīng)用2003，07


[13] 胡華平等 . 面向大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)與預(yù)警系統(tǒng)研究 . 國(guó)防科技大學(xué)學(xué)報(bào)，第 2 5卷第1期，2003


[14] 周建國(guó)，曹慶國(guó)，趙慶軍 . 計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究 . 計(jì)算機(jī)工程，第29卷第2期，2003




----《中國(guó)數(shù)據(jù)通信》