上海市寶山區(qū)廣播電視臺(tái)技術(shù)部 張玉龍

1.引言

隨著網(wǎng)絡(luò)的普及，人類社會(huì)已經(jīng)進(jìn)入了信息化時(shí)代。在這個(gè)時(shí)代，Internet對人們的工作和生活起到了越來越大的影響。在人們享受Internet方便快捷的同時(shí)，各種入侵事件與入侵手法層出不窮，于是引發(fā)了一系列的安全問題。

由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高，曾經(jīng)作為最主要網(wǎng)絡(luò)安全防范手段的防火墻，已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。而作為對防火墻有益補(bǔ)充的入侵檢測系統(tǒng)（IDS），能夠幫助網(wǎng)絡(luò)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵的實(shí)時(shí)保護(hù)。

2.入侵檢測系統(tǒng)的起源

自1980年4月P.Anderson提出入侵檢測概念以來，入侵檢測系統(tǒng)經(jīng)過20多年的發(fā)展，已呈現(xiàn)出百家爭鳴的繁榮局面，國內(nèi)國外的許多大學(xué)和研究機(jī)構(gòu)都在對其進(jìn)行研究。傳統(tǒng)的入侵檢測系統(tǒng)是基于Denning的入侵檢測模型[1]，在該模型中，將審計(jì)記錄、系統(tǒng)日志以及其他可以監(jiān)測的系統(tǒng)活動(dòng)作為檢測系統(tǒng)是否異常操作的依據(jù)，并將監(jiān)測的數(shù)據(jù)與已知的入侵模式相比較或是與正常的系統(tǒng)狀態(tài)相比較以確定是否發(fā)生入侵。因此傳統(tǒng)的入侵檢測系統(tǒng)多采用模式匹配、統(tǒng)計(jì)分析和完整性分析技術(shù)。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，這些技術(shù)已不能適應(yīng)高速寬帶網(wǎng)絡(luò)發(fā)展的要求，存在檢測速度慢，攻擊特征規(guī)則庫更新不及時(shí)以及出現(xiàn)虛警、漏警等缺點(diǎn)。當(dāng)前入侵檢測技術(shù)的發(fā)展主要集中在大規(guī)模分布式和智能化檢測這兩個(gè)方向。在智能化方面采用的技術(shù)主要有專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘以及人工免疫等技術(shù)，SRI/CSL、普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這方面的研究代表了當(dāng)前的最高水平[2]。其中有代表性的有Columbia University的Wenke Lee研究組與1998年開始的，采用數(shù)據(jù)挖掘技術(shù)的Intrusion Detection Evaluation研究，已經(jīng)取得了較大進(jìn)展[3][4]；神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中研究的時(shí)間較長，并在不斷發(fā)展，日本、美國、英國等許多國家都有專門的研究機(jī)構(gòu)在進(jìn)行這方面的研究，已有多篇論文發(fā)表[5][6]；人工免疫方面，從1986年Farmer提出人工免疫的概念至今，人工免疫系統(tǒng)的研究已經(jīng)進(jìn)入穩(wěn)步發(fā)展的階段。至今為止總共提出了三種有效的基于人工免疫的入侵檢測模型：Stephanie Forrest小組提出的基于網(wǎng)絡(luò)的入侵檢測模型[7]，Dasgupta小組提出的多Agent系統(tǒng)模型[8]和Kim小組提出的基于陰性選擇和檢測子基因庫進(jìn)化的分布式檢測模型[9]。

3.人工免疫系統(tǒng)模型原理

生物免疫系統(tǒng)[10][11]可以保護(hù)人類機(jī)體不受諸如病毒、病菌等病原體的侵害，生物保護(hù)自身免受病菌的傷害是通過自身免疫來完成的。當(dāng)外部病菌侵入機(jī)體時(shí)，生物免疫系統(tǒng)通過組織淋巴細(xì)胞來識(shí)別“自己”和“非己”抗原，消滅并清除異物，在生物免疫系統(tǒng)中，淋巴細(xì)胞分為T淋巴細(xì)胞和B淋巴細(xì)胞，在抵御病菌入侵時(shí)，T淋巴細(xì)胞執(zhí)行特異性免疫反應(yīng)和調(diào)節(jié)功能，B淋巴細(xì)胞則在其表面產(chǎn)生抗體，探測對應(yīng)的抗原結(jié)構(gòu)和特征，它執(zhí)行識(shí)別、學(xué)習(xí)等功能。

生物免疫系統(tǒng)具有良好的自適應(yīng)、自學(xué)習(xí)、自組織功能，是一個(gè)能進(jìn)行并行處理和分布協(xié)調(diào)的復(fù)雜系統(tǒng)，其中蘊(yùn)涵的信息處理機(jī)制和入侵監(jiān)測原理具有很大的相似性。從計(jì)算機(jī)安全、病毒檢測方面來看，生物免疫系統(tǒng)表現(xiàn)出來了巨大的潛能，其運(yùn)行機(jī)理、系統(tǒng)結(jié)構(gòu)、層次模型等和計(jì)算機(jī)安全系統(tǒng)非常相似。

人體免疫系統(tǒng)由多種免疫細(xì)胞組成，它的作用是專職機(jī)體的防偽功能。人工免疫系統(tǒng)是一個(gè)高分布、多層次的自適應(yīng)系統(tǒng)，能隨著環(huán)境變化識(shí)別出抗原。同時(shí)免疫系統(tǒng)所具有的多樣性、耐受性、免疫記憶、分布式并行處理、自組織、自學(xué)習(xí)，自適應(yīng)和輕量級等特點(diǎn)，正好滿足IDS的需求，基于人工免疫原理的入侵檢測系統(tǒng)LISYS已在一定程度上實(shí)現(xiàn)了對免疫系統(tǒng)真正的模仿。

4.基于人工免疫系統(tǒng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)

上海市寶山區(qū)廣播電視臺(tái)作為一家新聞從業(yè)單位，歷來安全工作就很重要。特別是信息的保密性、完整性和可用性對于我單位至關(guān)重要，但是信息系統(tǒng)和網(wǎng)絡(luò)會(huì)受到來自四面八方的威脅，而且現(xiàn)在也出現(xiàn)了許多網(wǎng)絡(luò)破壞技術(shù)，例如：計(jì)算機(jī)病毒、惡意代碼，還有各種具有迷惑性的網(wǎng)絡(luò)攻擊行為。因此本系統(tǒng)設(shè)計(jì)的主要目的是為檢測所在局域網(wǎng)的網(wǎng)絡(luò)情況：其包含網(wǎng)絡(luò)采集、網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)攻擊檢測功能。

網(wǎng)絡(luò)作為承載多業(yè)務(wù)的通訊基礎(chǔ)設(shè)施，在實(shí)際的建設(shè)過程中，應(yīng)該充分考慮本單位各項(xiàng)業(yè)務(wù)的特點(diǎn)。這些業(yè)務(wù)對網(wǎng)絡(luò)提出了以下要求：(1)帶寬的需求；(2)可靠性的需求；(3)網(wǎng)絡(luò)性能的需求；(4)網(wǎng)絡(luò)安全的需求；(5)網(wǎng)絡(luò)服務(wù)質(zhì)量的需求。

4.1 網(wǎng)絡(luò)入侵系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

目前主流的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)主要由數(shù)據(jù)采集模塊，數(shù)據(jù)分析模塊，程序管理模塊等組成，其中數(shù)據(jù)采集模塊主要負(fù)責(zé)實(shí)現(xiàn)采集系統(tǒng)所在網(wǎng)絡(luò)的數(shù)據(jù)包并進(jìn)行預(yù)處理：數(shù)據(jù)分析模塊的功能就是根據(jù)數(shù)據(jù)采集模塊得到的數(shù)據(jù)進(jìn)行處理和分析，對當(dāng)前網(wǎng)絡(luò)狀況進(jìn)行評估和分析；程序管理模塊則是要對整個(gè)系統(tǒng)的各個(gè)事件進(jìn)行響應(yīng)，包括對網(wǎng)絡(luò)異常的處理[12]。這樣的系統(tǒng)結(jié)構(gòu)將數(shù)據(jù)的獲取、分析、處理分為相對獨(dú)立的模塊，有利于分別單獨(dú)實(shí)現(xiàn)，也有利于系統(tǒng)在不同操作系統(tǒng)上的移植。當(dāng)然，對于數(shù)據(jù)分析模塊的實(shí)現(xiàn)，不同系統(tǒng)有不同的解決方案，但是總體來說因?yàn)閷Ω鞣N規(guī)則的匹配都相對獨(dú)立和簡單，沒有進(jìn)一步分析規(guī)則之間的聯(lián)系，從而影響了系統(tǒng)的性能。

寶山廣播電視臺(tái)網(wǎng)絡(luò)入侵檢測的系統(tǒng)結(jié)構(gòu)也基本上采用上述的結(jié)構(gòu)，其中對數(shù)據(jù)分析模塊的功能進(jìn)行了設(shè)計(jì)，在本系統(tǒng)中該部分包括協(xié)議分析模塊、流量檢測模塊、固有檢測模塊、自適應(yīng)檢測模塊。根據(jù)上面的不足，本系統(tǒng)利用當(dāng)前結(jié)構(gòu)，改進(jìn)了網(wǎng)絡(luò)數(shù)據(jù)分析模塊的流程，增加了預(yù)檢測機(jī)制，在下一節(jié)將較為詳細(xì)地討論這一流程的改進(jìn)。系統(tǒng)框架如圖3-1所示。

由圖3-1可見，該系統(tǒng)采用了兩層結(jié)構(gòu)設(shè)計(jì)，第一層是以免疫響應(yīng)的固有免疫原理為理論基礎(chǔ)的固有檢測；第二層是以免疫響應(yīng)的自我適應(yīng)免疫原理為理論基礎(chǔ)的自適應(yīng)檢測，它以自適應(yīng)的方式解決第一層不能識(shí)別的新攻擊或類似于正常行為的攻擊，并不斷對規(guī)則庫里的規(guī)則實(shí)施演化，以彌補(bǔ)傳統(tǒng)入侵檢測技術(shù)的不足。

由于網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)入?yún)f(xié)議棧時(shí)都是按照特定的格式進(jìn)行封裝的。因此基于已知的網(wǎng)絡(luò)數(shù)據(jù)報(bào)結(jié)構(gòu)，可以先利用報(bào)的層次性對網(wǎng)絡(luò)協(xié)議逐層解析并分析數(shù)據(jù)包中的協(xié)議標(biāo)志，而協(xié)議分析模塊就是采用這種方法對檢測數(shù)據(jù)先進(jìn)行預(yù)處理，然后再使用模式匹配算法來進(jìn)行檢測。

固有檢測類似于固有免疫，前者是一個(gè)特異性的防御方法，后者是一個(gè)非特異性的防御。固有檢測不能改變它的識(shí)別能力去識(shí)別新的攻擊或入侵，但由于依據(jù)具體特征庫進(jìn)行判斷，所以檢測準(zhǔn)確度高。

報(bào)警單元主要功能是指發(fā)現(xiàn)入侵行為后，檢測系統(tǒng)采用的一種靜態(tài)行為，它的目的事告知管理員發(fā)生了入侵，常采用的報(bào)警方式有發(fā)送EMAIL、發(fā)出報(bào)警聲音等。

響應(yīng)單元的主要功能就是指發(fā)生入侵后，如今檢測系統(tǒng)必須采取一種積極主動(dòng)的方式，來阻止入侵的繼續(xù)進(jìn)行。這種積極主動(dòng)的相應(yīng)機(jī)制通常采用以下兩種方式：(1)發(fā)送Reset包切斷連接；(2)重新配置路由器或防火墻，拒絕來自攻擊主機(jī)的數(shù)據(jù)包通過。對于報(bào)警，主要是使用了屏幕顯示和語音報(bào)警方式。對報(bào)警級別進(jìn)行了區(qū)分：低級級別、一般級別、緊急級別。區(qū)分的依據(jù)主要是攻擊行為的嚴(yán)重程度。例如land攻擊我們可以將其定義為緊急級別。根據(jù)級別的不同，在屏幕顯示的時(shí)候可以采用不同的顯示形式，在語音報(bào)警時(shí)發(fā)出不同的報(bào)警鳴聲。

4.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)主流程設(shè)計(jì)

系統(tǒng)主要流程如圖3-2，在系統(tǒng)的初始化部分啟動(dòng)數(shù)據(jù)包獲取模塊的程序，捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，每經(jīng)過一定的時(shí)間，系統(tǒng)對所有的數(shù)據(jù)進(jìn)行一次統(tǒng)一處理，更新協(xié)議分析的結(jié)果，并更新顯示。對于一般的入侵檢測系統(tǒng)，設(shè)計(jì)入侵檢測模塊流程時(shí)基本上采用模式直接匹配規(guī)則的方法，將所有規(guī)則用程序進(jìn)行一定的描述，然后在每次時(shí)間間隔到期之后都逐一匹配所有規(guī)則，如果發(fā)現(xiàn)有匹配的則報(bào)等并記錄。這樣的流程雖然具有結(jié)構(gòu)簡單，容易擴(kuò)展的優(yōu)點(diǎn)，但也存在著一定的缺陷，每次都要匹配所有規(guī)則對于一個(gè)將要具有很多規(guī)則的系統(tǒng)來說無疑是一個(gè)較大的負(fù)擔(dān)，另外，直接匹配的規(guī)則在可操作性上存在一些問題，很多攻擊和正常的網(wǎng)絡(luò)服務(wù)在網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)上的差異性并不是特別大，用簡單的閥值較難在檢出率與誤檢率之間取得較好得平衡，需要進(jìn)一步的分析，這樣就影響了系統(tǒng)的整體性能[13]。

圖3 -1 系統(tǒng)框架圖

圖3 -2 系統(tǒng)流程圖

針對上述缺陷，我們分析網(wǎng)絡(luò)攻擊的流程：在網(wǎng)絡(luò)攻擊的開始階段，黑客并不會(huì)盲目的用單一的方法進(jìn)攻網(wǎng)絡(luò)上的所有主機(jī)，這樣效率太低而且非常容易暴露目標(biāo)。黑客往往會(huì)先用網(wǎng)絡(luò)掃描工具對感興趣的部分主機(jī)進(jìn)行掃描，分析主機(jī)可能存在的漏洞與缺陷，再針對這些漏洞采用有效的攻擊手段，在攻陷了目標(biāo)主機(jī)后，黑客可能在目標(biāo)主機(jī)上植入木馬和病毒，讓被攻陷的主機(jī)繼續(xù)攻擊其它主機(jī)，由于單一木馬程序的攻擊手段較為簡單，這時(shí)的攻擊具有一定的盲目性，即不經(jīng)過網(wǎng)絡(luò)掃描等分析，直接對所在網(wǎng)絡(luò)進(jìn)行成片的攻擊，這時(shí)又會(huì)造成網(wǎng)絡(luò)流量的明顯異常。對此，我們將流量檢測作為我們網(wǎng)絡(luò)攻擊檢測的預(yù)檢測手段，在時(shí)間到期的時(shí)候進(jìn)行這種異常檢測，如果檢測正常則不進(jìn)行進(jìn)一步的檢測，只有在預(yù)檢測異常的情況下才進(jìn)行規(guī)則的逐一匹配，有效地減輕了系統(tǒng)的負(fù)荷，另外，這樣的結(jié)構(gòu)還能簡化攻擊檢測規(guī)則的制定，因?yàn)槌霈F(xiàn)類似流量異常又出現(xiàn)規(guī)則中出現(xiàn)的情況次數(shù)會(huì)比較少，可以明顯地減少誤檢率，攻擊規(guī)則可以盡量考慮攻擊本身的特點(diǎn)而較少考慮與普通流量的差異。

5.總結(jié)

本文借鑒了人工免疫原理，結(jié)合誤用檢測與異常檢測兩種檢測技術(shù)并引入了協(xié)議分析的方法，提出并設(shè)計(jì)一種層次化的網(wǎng)絡(luò)入侵檢測系統(tǒng)。

計(jì)算機(jī)網(wǎng)絡(luò)安全問題是一個(gè)永恒的命題，它將伴隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展而一直存在并發(fā)展。本文所設(shè)計(jì)的網(wǎng)絡(luò)入侵檢測系統(tǒng)就是這樣一個(gè)不斷學(xué)習(xí)的系統(tǒng)，會(huì)自我進(jìn)行不斷的完善。但是這樣的學(xué)習(xí)還不夠，引入神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘技術(shù)來進(jìn)一步進(jìn)化未成熟檢測器，應(yīng)該是生成成熟檢測器的另一種有效手段?；谌斯っ庖咴淼娜肭謾z測模型和系統(tǒng)是近年來生物領(lǐng)域中研究的重點(diǎn)和難點(diǎn)，它的研究對于解決當(dāng)前網(wǎng)絡(luò)安全所面臨的嚴(yán)重危機(jī)具有十分重要的意義。當(dāng)然，除了網(wǎng)絡(luò)安全技術(shù)，還要強(qiáng)調(diào)網(wǎng)絡(luò)安全策略和管理手段的重要性。只有當(dāng)這些綜合起來，才有可能確保網(wǎng)絡(luò)的安全。

[1]enning DE.An Intrusion Decection Model[C].IEEE Transaction on Software Engineering,1986.

[2]宋獻(xiàn)濤,葉慧敏.IDS風(fēng)雨二十年歷程.中國IT實(shí)驗(yàn)室,http://cisco.chinaitlab.com/IDS/6058.html.

[3]Week Lee.A Date Mining Framework for constructing Features and Models for Intru-Sion Detection System.COLUMBIA UNIVERSITY,1999.

[4]Lee W, Stolfo S J.A data mining framework for building intrusion detection Model.In:Going L,Reiter MK,eds,Proceedings of the 1999 IEEE Symposium on Security And Privacy.Oakland,CA:IEEE Computer Society Press,1999:120-132

[5]閻永凡,張昌水.人工神經(jīng)網(wǎng)絡(luò)與模擬進(jìn)化計(jì)算[M].北京:清華大學(xué)出版社,2000.

[6]戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測[M].清華大學(xué)出版社,2002.

[7]Forrest S,Perelson A S,Allen L,Cherukuri R.Self-Nonself Discrimination in a Computer.Proceedings of IEEE Symposiun on Research in Security and Privacy, 16-18,May,1994:202-212,Oakland,CA,Also available at ftp://ftp.cs.umn.edu/pub/forrest/ virus.Ps.

[8]Dasgupta D.Immunity-based intrusion detection systems:ageneral framework.Proceedings of the 22nd National Information Systems Security Confeerence(NISSC),October 18-21,1999.

[9]Kim J,Bentley P J.Evaluating negative selection in an arti fi cial immune system for network intrusion detection.Proceedings of Genetic and Evolutionary Computation Conference 2001(GECCO-2001),San Francisco, July 7-11,2001:1220-1227.

[10]陳慰峰.醫(yī)學(xué)免疫學(xué)(第四版)[M].北京:人民衛(wèi)生出版社,2004.

[11]吳敏毓.醫(yī)學(xué)免疫學(xué)[M].合肥:中國科技大學(xué)出版社,1999.

[12]黃人薇.淺析入侵檢測技術(shù)有關(guān)問題[J].大眾科技,2006,1(87).

[13]張新剛,劉妍,王星輝.基于入侵檢測系統(tǒng)(IDS)的分析與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(6).