文/ 楊望

入侵檢測這個名詞自上世紀80年代誕生以來，已經走過了30多個年頭，中間經歷了Gartner公司所謂“IDS已死”宣告的最艱難時刻，雖然一直未曾擺脫“花瓶”的詬病，但伴隨入侵檢測開發(fā)出的各項技術已經實際應用在了“下一代防火墻”等各種實際的安全環(huán)境中，而研究者也一直未放棄各種入侵檢測技術的研究。RAID（Recent Advance in Intrusion Detection, 入侵檢測的最近進展）會議自1998年開始舉辦，已經成為了入侵檢測研究領域最重要的會議之一。本文通過對RAID 2012會議發(fā)表的論文總結，簡單介紹在入侵檢測技術研究領域的最新方向。

大數據挖掘

大數據是目前網絡安全的熱門話題，入侵檢測也不例外。傳統(tǒng)的入侵檢測關注邊界的數據，而現在各組織更加關注內部的大數據——日志數據。這一類的研究目前大多集中在大型IT公司或運營商內部，利用第一手的各類日志數據進行挖掘研究。今年的RAID 2012會議中來自美國最大的ISP運營商AT&T的研究人員基于網絡設備的訪問日志設計并實現了一個特殊的入侵檢測系統(tǒng)ALERT-ID。對于運營商而言，數以萬計的路由器、交換機和防火墻等網絡設備是最重要的保護對象，如果被人惡意篡改了這些設備的規(guī)則，就可能造成嚴重的拒絕服務或者隱私泄漏攻擊。文章研究者基于設備的訪問日志從三個方面研究了網絡設備的訪問行為。首先是失敗登錄嘗試，一般而言，這是最容易被想到的行為，正常用戶不會輸錯密碼或者只會錯一兩次，而多次的輸入密碼錯誤就意味著一次可能的暴力密碼攻擊。其次是登錄訪問行為，作者從登錄地址、賬戶的關系以及“跳板” （stepping-stone）行為來分析建立每臺設備的正常用戶行為。一般而言，每臺設備的管理者應該從相對固定的IP或者子網來使用相同的賬號進行登錄，當然由于設備的性質不同，每臺設備上的管理者的行為也可能不同，所以這里需要為每臺設備建立自己的管理者登錄行為模型?！疤濉笔且环N比較特殊的登錄行為，用戶并不直接從自己的主機登錄網絡設備，而是登錄到其他網絡設備后再跳轉到最終的網絡設備?！疤濉毙袨樵谡５木W絡管理中并不常見，所以也被作為行為模型的重要依據。最后作者為每個用戶（賬號）的行為建立模型。每個用戶（賬號）登錄設備的時間、頻率、以及其在設備上執(zhí)行的操作都應該有其規(guī)律性，文章作者依據這些因素來檢查賬號的行為是否符合正常。對于作者采用的算法而言，依然是傳統(tǒng)的基于統(tǒng)計的異常檢測方法，主要的創(chuàng)新在于將算法應用到了大型運營商的網絡管理行為中。

信息聯(lián)動

入侵檢測系統(tǒng)一般各看各家，每家的系統(tǒng)只管自己的網絡，但現實中的攻擊卻往往是遍地開花，因此入侵系統(tǒng)之間的信息共享和聯(lián)動往往能借他人的信息，保自己的安全。入侵檢測系統(tǒng)Bro的開發(fā)團隊提出了一個開放的框架為入侵檢測系統(tǒng)添加實時情報共享的功能。Bro的開發(fā)者指出，盡管目前在一些大型組織內部，已經開始建立了基于聯(lián)邦制的信息共享平臺，但這些信息平臺的共享目前還不能很好地和入侵檢測系統(tǒng)聯(lián)動起來。究其原因是，信息是動態(tài)產生的，但入侵檢測系統(tǒng)的規(guī)則是靜態(tài)的，大多數的入侵檢測系統(tǒng)更新規(guī)則需要規(guī)則的重新編譯和系統(tǒng)的重啟過程，因此所謂的信息聯(lián)動也只能是一個半實時的過程。為了真正實現信息的聯(lián)動，研究人員提出需要將共享的信息實時加入到入侵檢測系統(tǒng)的決策和響應過程中，并基于Bro的實現模型提出了一個開放的框架，該框架可以接受任何符合JSON格式輸入的實時信息，并在運行環(huán)境證明該框架對系統(tǒng)造成的性能損失有限。

專業(yè)領域的檢測

除了通用的入侵檢測技術，在各種專門領域的入侵檢測技術是RAID討論的熱點。來自比利時的研究人員討論了針對Flash文件的各類ActionScript攻擊代碼，并基于常見CVE漏洞攻擊技術的特征提出了一種基于樸素貝耶斯網絡進行合法與惡意代碼的分類的算法。來自盧森堡的研究人員則討論了釣魚域名的響應方法。常見的釣魚域名響應是發(fā)現釣魚網站的攻擊后再將該域名加入黑名單，可這時往往釣魚網站已經造成了對用戶的傷害和損失。研究人員提出根據歷史釣魚域名的特征進行分詞重構以推測可能出現的新的釣魚域名，并即時監(jiān)控域名注冊信息，一旦這些被預測的釣魚域名被注冊，就可以立即被發(fā)現并做出響應。隨著計算機技術的發(fā)展，一些意想不到的領域也應用了入侵檢測技術，如智能電網。來自喬治亞理工學院的研究人員提出了專門針對智能電網的入侵檢測技術來解決電網領域中一種特殊的入侵——竊電。研究人員將傳統(tǒng)的統(tǒng)計算法應用到智能電表的電量觀測值變化上，通過觀測值與歷史值的比較來評估是否竊電現象的發(fā)生。