錢(qián) 琴

(延安職業(yè)技術(shù)學(xué)院，陜西 延安 716000 )

近幾年來(lái)隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展進(jìn)步，使得世界的信息化日新月異，網(wǎng)絡(luò)上的互動(dòng)也日益頻繁。由于互聯(lián)網(wǎng)無(wú)邊界的特性，衍生了許多網(wǎng)絡(luò)上的問(wèn)題，其中網(wǎng)絡(luò)考試的公平性是一直為人所詬病的。由于Internet與寬頻網(wǎng)絡(luò)的普及，再加上網(wǎng)絡(luò)Lastmile建設(shè)已漸趨完美，使得人們對(duì)網(wǎng)絡(luò)的使用率愈來(lái)愈高，各種網(wǎng)絡(luò)應(yīng)用非常興盛，若能夠設(shè)計(jì)出一套專(zhuān)屬家用型或是小型局域網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)即時(shí)監(jiān)控機(jī)制，并且透過(guò)Web－base來(lái)呈現(xiàn)，將可以使網(wǎng)絡(luò)在線考試的管理者不再局限在考場(chǎng)、教室，管理者只需透過(guò)網(wǎng)絡(luò)就可知道學(xué)生在校的考試狀況，從而達(dá)到行動(dòng)式監(jiān)控考試。

目前信息產(chǎn)業(yè)界有種類(lèi)繁多的網(wǎng)絡(luò)認(rèn)證考試，例如 Microsoft的 MCP、MCSE、MCDBA 等;Sun的SCSA、SCNA、SCJP 等;Cisco的 CCNA、CCNP、CCIE、CCDBA等，皆是通過(guò)網(wǎng)絡(luò)即時(shí)出題，即時(shí)作答，考完后隨即得知成績(jī)，迅速又便捷，可是畢竟仍是使用傳統(tǒng)舊式的人工監(jiān)考方式，加上也無(wú)網(wǎng)絡(luò)監(jiān)控管理機(jī)制，因此，仍舊無(wú)法得知考生是否有在網(wǎng)絡(luò)上作弊的嫌疑。

近年來(lái)網(wǎng)絡(luò)學(xué)習(xí)是知識(shí)經(jīng)濟(jì)發(fā)展的動(dòng)力，有了網(wǎng)絡(luò)之后，通過(guò)系統(tǒng)化的規(guī)劃設(shè)計(jì)，就可將學(xué)習(xí)環(huán)境虛擬建立在服務(wù)器上。學(xué)習(xí)者只要透過(guò)一般的瀏覽器或閱讀器(Reader)，便可以不受時(shí)空限制地上線學(xué)習(xí)，教師也可以隨時(shí)隨地通過(guò)在線來(lái)編撰教材與教授課程，根據(jù)各種在線教學(xué)活動(dòng)，了解學(xué)習(xí)者的進(jìn)度與成果。這種方法影響了傳統(tǒng)的教學(xué)方式，也將成為企業(yè)未來(lái)培訓(xùn)學(xué)習(xí)的新典范;然而網(wǎng)絡(luò)學(xué)習(xí)的評(píng)估方式忽略了在線考試的監(jiān)控，也因此促成了本研究的重要?jiǎng)訖C(jī)。

1 入侵偵測(cè)系統(tǒng)的分析

自從Anderson在1980年提出IDS(Intrusion Detection System，入侵檢測(cè)系統(tǒng))入侵偵測(cè)系統(tǒng)的技術(shù)報(bào)告后，入侵偵測(cè)系統(tǒng)的研究至今已超過(guò)二十年。根據(jù)Graham的定義，“入侵行為”意指:“某人(通常被稱(chēng)為Hacker或Cracker)企圖潛入或?yàn)E用(Misuse)系統(tǒng)”;而“入侵偵測(cè)系統(tǒng)”意指:“負(fù)責(zé)偵測(cè)這些入侵行為的系統(tǒng)”。Theuns則定義入侵偵測(cè)是使用自動(dòng)及智慧型的工具，即時(shí)偵測(cè)入侵者意圖。這樣的工具稱(chēng)之為入侵偵測(cè)系統(tǒng)IDS(Intrusion Detection System)。一般而言，入侵偵測(cè)系統(tǒng)就是一種網(wǎng)絡(luò)安全監(jiān)測(cè)工具，根據(jù)分析系統(tǒng)稽核檔或網(wǎng)絡(luò)封包內(nèi)容，即時(shí)偵測(cè)出對(duì)系統(tǒng)所進(jìn)行的攻擊行為，并回報(bào)給系統(tǒng)管理者，加強(qiáng)維護(hù)系統(tǒng)的安全［1］。

根據(jù)Sobirey［2］所收集整理的IDS 入侵偵測(cè)系統(tǒng)共有92種。雖然各式各樣的IDS入侵偵測(cè)系統(tǒng)不斷的因應(yīng)市場(chǎng)需求而產(chǎn)生，但針對(duì)其運(yùn)作模式Network－based與Host－based分別作如下論述。

1.1 網(wǎng)絡(luò)型入侵偵測(cè)系統(tǒng)

網(wǎng)絡(luò)型入侵偵測(cè)系統(tǒng)(Network－Based IDS)主要是涉及擷取網(wǎng)絡(luò)中所有封包，然后根據(jù)所擷取的封包作分析與偵測(cè)的動(dòng)作;網(wǎng)絡(luò)型入侵偵測(cè)系統(tǒng)以記錄并分析網(wǎng)路封包的方式來(lái)偵測(cè)入侵行為，其主要建置在網(wǎng)路的骨干上。單一的網(wǎng)絡(luò)型入侵偵測(cè)系統(tǒng)便可監(jiān)聽(tīng)大量的網(wǎng)路資訊。網(wǎng)絡(luò)型入侵偵測(cè)系統(tǒng)通常包含一組監(jiān)聽(tīng)裝置，用于監(jiān)聽(tīng)記錄網(wǎng)路封包并將所偵測(cè)到疑似攻擊的封包回報(bào)到單一獨(dú)立的管理控制臺(tái)(Management Console)［3］。大多數(shù)的入侵偵測(cè)系統(tǒng)是處在隱形模式(Stealth Mode)下運(yùn)作，所以對(duì)攻擊者而言，在偵測(cè)這些系統(tǒng)的存在以及其所部署的位置是非常困難的。此類(lèi)的IDS入侵偵測(cè)系統(tǒng)有:NSM(Network Security Monitor)、DIDS(Distributed Intrusion Detection System)、NFR(Network Flight Recorder)等等。主要有下列優(yōu)點(diǎn):

(1)成本較低。

(2)可偵測(cè)到主機(jī)式入侵偵測(cè)系統(tǒng)偵測(cè)不到的攻擊行為。

(3)駭客消除入侵證據(jù)較為困難。

(4)作業(yè)系統(tǒng)獨(dú)立。

(5)即時(shí)監(jiān)控、即時(shí)回應(yīng)。

(6)惡意企圖事先偵測(cè)。

由于僅需在局域網(wǎng)絡(luò)中增設(shè)一臺(tái)監(jiān)視主機(jī)，因此無(wú)需更動(dòng)網(wǎng)絡(luò)結(jié)構(gòu)中的網(wǎng)絡(luò)作業(yè)系統(tǒng)。但相對(duì)的，網(wǎng)絡(luò)型入侵偵測(cè)系統(tǒng)也有其一定的缺點(diǎn)如下:

(1)若網(wǎng)絡(luò)的型態(tài)過(guò)大，網(wǎng)絡(luò)型入侵偵測(cè)系統(tǒng)往往會(huì)漏失掉許多封包，無(wú)法完全監(jiān)控網(wǎng)絡(luò)上所有流通的封包數(shù)［4］。

(2)若要擷取大型網(wǎng)絡(luò)上的流量并處理分析，往往需要更有效率的CPU處理速度，以及更大的記憶體空間。

(3)如果封包已經(jīng)加密，則網(wǎng)絡(luò)型入侵偵測(cè)系統(tǒng)就無(wú)法調(diào)查其中的內(nèi)容，可能會(huì)錯(cuò)失包含在封包中的某些攻擊信息。

(4)對(duì)在攻擊者直接坐在受害者主機(jī)前的攻擊行為是無(wú)能為力的。

1.2 主機(jī)式入侵偵測(cè)系統(tǒng)

主機(jī)式入侵偵測(cè)系統(tǒng)(Host－based IDS)發(fā)展始在80年代早期，通常只觀察、稽核系統(tǒng)日志檔是否有惡意的行為，用以防止類(lèi)似事件再發(fā)生。主要是以本機(jī)電腦系統(tǒng)上的稽核資料(Auditdata)為基礎(chǔ)所進(jìn)行的入侵偵測(cè)工作，主機(jī)式入侵偵測(cè)系統(tǒng)主要是靠記錄并分析該主機(jī)上的各項(xiàng)活動(dòng)程序以偵測(cè)是否有不適當(dāng)?shù)拇嫒⌒袨椤＝逵蛇@樣的方式來(lái)判斷該主機(jī)上某個(gè)特定的處理程序或使用者是否正在進(jìn)行可疑的攻擊行為。這類(lèi)的IDS入侵偵測(cè)系統(tǒng)有:Computer Watch、Discovery、Haystack、IDES(Intrusion－Detection Expert System)、MIDAS(MulticsIntrusion Detection and Alerting System)等等。在WindowsNT/2000的環(huán)境下，通?？梢愿鶕?jù)監(jiān)測(cè)系統(tǒng)、事件及安全日志檢視器中所記載的內(nèi)容來(lái)加以過(guò)濾、比對(duì)，從中發(fā)現(xiàn)出可疑的攻擊行為;在UNIX環(huán)境下，則監(jiān)督系統(tǒng)日志。當(dāng)有事件發(fā)生時(shí)，主機(jī)式入侵偵測(cè)系統(tǒng)即作入侵行為的比對(duì)，若有符合，則由回應(yīng)模組通知系統(tǒng)管理員，以對(duì)攻擊行為進(jìn)行適當(dāng)?shù)姆磻?yīng)。

主機(jī)式入侵偵測(cè)系統(tǒng)有下列的優(yōu)點(diǎn):

(1)確定駭客是否成功入侵。

(2)監(jiān)測(cè)特定主機(jī)系統(tǒng)活動(dòng)。

(3)較適合有加密及網(wǎng)絡(luò)交換器(Switch)的環(huán)境。

(4)不需另外增加硬體設(shè)備。

(5)監(jiān)控系統(tǒng)特定主要軟件。

(6)近乎即時(shí)監(jiān)控、即時(shí)回應(yīng)。

然而主機(jī)式入侵偵測(cè)系統(tǒng)也具有某些功能上的限制:

(1)各種作業(yè)系統(tǒng)有各種不同的稽核紀(jì)錄檔，因此必須針對(duì)各不同主機(jī)、不同版本或完全不同的作業(yè)平臺(tái)安裝各種主機(jī)式入侵偵測(cè)系統(tǒng)。

(2)入侵者可能經(jīng)由其他系統(tǒng)漏洞入侵系統(tǒng)并得到系統(tǒng)管理者的權(quán)限，導(dǎo)致主機(jī)式入侵偵測(cè)系統(tǒng)失去其效用。

(3)主機(jī)式入侵偵測(cè)系統(tǒng)可能會(huì)因?yàn)镈oS(Denial of Service)而失去作用。

(4)主機(jī)式入侵偵測(cè)系統(tǒng)并不能用來(lái)作網(wǎng)絡(luò)的監(jiān)測(cè)與掃描主機(jī)所在的整個(gè)局域網(wǎng)，因?yàn)閮H能看到經(jīng)由該主機(jī)所接收到的網(wǎng)絡(luò)封包資訊。

(5)由于當(dāng)主機(jī)式入侵偵測(cè)系統(tǒng)處在監(jiān)測(cè)狀態(tài)也消耗主機(jī)的系統(tǒng)資源，也會(huì)影響被監(jiān)測(cè)主機(jī)本身的功能。

2 入侵偵測(cè)系統(tǒng)的偵測(cè)技術(shù)

目前入侵偵測(cè)系統(tǒng)所使用的偵測(cè)技術(shù)主要分為兩種方式∶不當(dāng)使用偵測(cè)方式(Misuse Detection)及異常使用偵測(cè)方式(Anomaly Detection)［5］。不當(dāng)使用偵測(cè)方式目前廣泛地被各大入侵偵測(cè)系統(tǒng)的廠商所采用;而異常使用偵測(cè)方式目前尚在研究階段，主要為入侵偵測(cè)系統(tǒng)研究機(jī)構(gòu)以及少數(shù)廠商所采用。

3.1 不當(dāng)使用偵測(cè)方式

不當(dāng)使用偵測(cè)方式又可被稱(chēng)為“特征比對(duì)”方式(signature－based)，主要是以比對(duì)的方式將所偵測(cè)到的可疑攻擊行為與系統(tǒng)事先所定義的入侵攻擊模式資料庫(kù)進(jìn)行分析比對(duì)，而入侵攻擊模式資料庫(kù)中則詳細(xì)定義著各種入侵攻擊方式的特征資料(attackpattern/signature)，一旦比對(duì)出相似的入侵攻擊模式，便將其視為是一種入侵攻擊行為。采用此方式的入侵偵測(cè)系統(tǒng)必須事先進(jìn)行設(shè)定微調(diào)以得到最高的效能及準(zhǔn)確的偵測(cè)率。

優(yōu)點(diǎn):

(1)不當(dāng)使用偵測(cè)方式的入侵偵測(cè)系統(tǒng)在偵測(cè)攻擊行為上非常有效率而且不會(huì)產(chǎn)生過(guò)多的誤判警訊(falsepositive)。

(2)不當(dāng)使用偵測(cè)方式的入侵偵測(cè)系統(tǒng)能夠快速并可靠地偵測(cè)出特定的攻擊手法，能有效的幫助資訊安全人員迅速地整理出正確的應(yīng)對(duì)之策。

缺點(diǎn):

(1)不當(dāng)使用偵測(cè)方式的入侵偵測(cè)系統(tǒng)必須經(jīng)過(guò)手動(dòng)微調(diào)設(shè)定以偵測(cè)各種不同的攻擊，因此必須經(jīng)常不斷地更新最新的入侵攻擊方式特征資料，以便有效地偵測(cè)最新的攻擊行為。

(2)大部份不當(dāng)使用偵測(cè)方式的入侵偵測(cè)系統(tǒng)刻意地縮小入侵攻擊方式特征的定義范圍，以避免偵測(cè)到不同版本的一般攻擊行為。其目的是為了提高偵測(cè)的準(zhǔn)確率，但卻犧牲了偵測(cè)的彈性空間。

3.2 異常使用偵測(cè)方式

異常使用偵測(cè)方式又可被稱(chēng)為“政策比對(duì)”方式(policy－based)。異常使用偵測(cè)方式的入侵偵測(cè)系統(tǒng)以識(shí)別不尋常的主機(jī)或網(wǎng)路運(yùn)作行為的方式來(lái)偵測(cè)是否有攻擊行為發(fā)生。此種方式以觀察攻擊行為不同于一般使用狀態(tài)的相異處來(lái)進(jìn)行偵測(cè)。通常需事先建立正常使用狀態(tài)下的基準(zhǔn)線(baseline)，再對(duì)網(wǎng)路系統(tǒng)上的各種活動(dòng)進(jìn)行比對(duì)是否有別于一般正常狀態(tài)下的使用。很可惜的是因?yàn)榧夹g(shù)層面上的瓶頸，采用此方式的入侵偵測(cè)系統(tǒng)一般來(lái)說(shuō)產(chǎn)生過(guò)多的誤判警訊，因?yàn)橐话愕氖褂谜咝袨榧熬W(wǎng)路上的各項(xiàng)活動(dòng)是非常難掌握的。另外，研究學(xué)者強(qiáng)烈地認(rèn)為「異常使用」偵測(cè)方式的入侵偵測(cè)系統(tǒng)將有效地提供偵測(cè)未知攻擊方式的能力，有別于不當(dāng)使用偵測(cè)方式的入侵偵測(cè)系統(tǒng)僅能對(duì)已知的攻擊方式做偵測(cè)。

優(yōu)點(diǎn):

(1)異常使用偵測(cè)方式的入侵偵測(cè)系統(tǒng)以偵測(cè)不尋常的行為模式的方式，因此不需要經(jīng)過(guò)特定的微調(diào)設(shè)定即可偵測(cè)到各種不同的攻擊行為，而且也不需要如不當(dāng)使用偵測(cè)方式一般，需經(jīng)常性地更新及維護(hù)入侵攻擊模式資料庫(kù)。

(2)異常使用偵測(cè)方式入侵偵測(cè)系統(tǒng)所收集的資訊可以提供給不當(dāng)使用偵測(cè)方式入侵偵測(cè)系統(tǒng)用來(lái)作各種入侵攻擊方式特征的定義。

缺點(diǎn):

(1)異常使用偵測(cè)方式通常會(huì)產(chǎn)生大量的錯(cuò)誤警訊，主要是因?yàn)槭褂谜咝袨榧熬W(wǎng)路活動(dòng)之不可預(yù)測(cè)的天性。

(2)異常使用偵測(cè)方式通常需要大量經(jīng)過(guò)篩選的系統(tǒng)事件記錄，以便確實(shí)地描述一般行為的特征。

3 結(jié)束語(yǔ)

由于本研究尚未評(píng)估 Snort［6］、EtherReal、Network Security Monitor、Network Flight Recorder 等其它具封包偵測(cè)技術(shù)的入侵偵測(cè)系統(tǒng)，因此，若能以此系統(tǒng)搭配各種封包偵測(cè)技術(shù)，再統(tǒng)計(jì)出最佳執(zhí)行效率與最低封包遺失率，將可有效提升系統(tǒng)的功能與可信度。

［1］楊忠勇.基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)的研究［D］.西安:西北工業(yè)大學(xué)，2007.

［2］M.Sobirey，“Currently 92 Intrusion Detection Systems”，http://www － rnks.informatik.tu － cottbus.de/～ sobirey/ids.html.2001.

［3］黎喜權(quán).無(wú)線局域網(wǎng)中入侵檢測(cè)系統(tǒng)研究［J］.長(zhǎng)沙:湖南大學(xué)，2006.

［4］張旋.基于無(wú)線網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)研究［C］.武漢:武漢理工大學(xué)，2006.

［5］馬麗.基于行為的入侵防御系統(tǒng)研究［D］.北京:北京林業(yè)大學(xué)，2007.

［6］凌曉明.基于Snort的分布式入侵檢測(cè)系統(tǒng)［J］.濟(jì)南:山東大學(xué)，2006.