劉孟勇　辛燕

【摘 要】入侵檢測(cè)能有效彌補(bǔ)傳統(tǒng)防御技術(shù)的缺陷，近年來(lái)入侵檢測(cè)系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)安全的系統(tǒng)中的重要組成部分。本文在對(duì)當(dāng)前主流入侵檢測(cè)技術(shù)及系統(tǒng)進(jìn)行詳細(xì)研究分析的基礎(chǔ)上，指出了入侵檢測(cè)系統(tǒng)面臨的問(wèn)題和挑戰(zhàn)。最后對(duì)入侵檢測(cè)系統(tǒng)的未來(lái)發(fā)展方向進(jìn)行了討論，展望了應(yīng)用人工智能技術(shù)的入侵檢測(cè)系統(tǒng)、基于Android平臺(tái)的入侵檢測(cè)系統(tǒng)、基于云模型和支持向量機(jī)的特征選擇方法等新方向。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；入侵檢測(cè)；異常檢測(cè)；智能技術(shù)

0.引言

目前，在網(wǎng)絡(luò)安全日趨嚴(yán)峻的情況下，解決網(wǎng)絡(luò)安全問(wèn)題所采用的防火墻、身份認(rèn)證、數(shù)據(jù)加密、虛擬子網(wǎng)等一般被動(dòng)防御方法已經(jīng)不能完全抵御入侵。此時(shí)，研究開(kāi)發(fā)能夠及時(shí)準(zhǔn)確對(duì)入侵進(jìn)行檢測(cè)并能做出響應(yīng)的網(wǎng)絡(luò)安全防范技術(shù)，即入侵檢測(cè)技術(shù)（ID，Intrusion Detection），成為一個(gè)有效的解決途徑。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域中最主要的研究方向。

1.入侵檢測(cè)概述

1.1入侵檢測(cè)的基本概念

入侵檢測(cè)（Intrusion Detection），即是對(duì)入侵行為的檢測(cè)。入侵是指潛在的、有預(yù)謀的、未被授權(quán)的用戶試圖“接入信息、操縱信息、致使系統(tǒng)不可靠或不可用”的企圖或可能性。它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息，并對(duì)收集到的信息進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。而入侵檢測(cè)系統(tǒng)則是入侵檢測(cè)的軟件與硬件的組合。

1.2入侵檢測(cè)系統(tǒng)的通用模型

1987年Dorothy E Denning[1]提出了入侵檢測(cè)的模型，首次將入侵檢測(cè)作為一種計(jì)算機(jī)安全防御措施提出。該模型包括6個(gè)主要的部分：主體（Subjects）、對(duì)象（Objects）、審計(jì)記錄（Audit Record）、活動(dòng)檔案（Active Profile）、異常記錄（Anomaly Record ）、活動(dòng)規(guī)則（Activity Rules）。

2.入侵檢測(cè)系統(tǒng)采用的檢測(cè)技術(shù)

從技術(shù)上看，入侵可以分為兩類(lèi)：一種是有特征的攻擊，它是對(duì)已知系統(tǒng)的系統(tǒng)弱點(diǎn)進(jìn)行常規(guī)性的攻擊；另一種是異常攻擊。與此對(duì)應(yīng)，入侵檢測(cè)也分為兩類(lèi)：基于特征的（Signature-based即基于濫用的）和基于異常的（Anomaly-based，也稱(chēng)基于行為的）。

2.1基于特征的檢測(cè)

特征檢測(cè)，它是假定所有入侵者的活動(dòng)都能夠表達(dá)為一種特征或模式，分析已知的入侵行為并建立特征模型，這樣對(duì)入侵行為的檢測(cè)就轉(zhuǎn)化為對(duì)特征或模式的匹配搜索， 如果和已知的入侵特征匹配，就認(rèn)為是攻擊。它的難點(diǎn)在于如何設(shè)計(jì)模式，使其既能表達(dá)入侵又不會(huì)將正常的模式包括進(jìn)來(lái)。

2.2基于異常的檢測(cè)

2.2.1基于概率統(tǒng)計(jì)模型的異常檢測(cè)方法

概率統(tǒng)計(jì)方法是最早也是使用得最多的一種異常檢測(cè)方法，這種入侵檢測(cè)方法是基于對(duì)用戶歷史行為建模以及在早期的證據(jù)或模型的基礎(chǔ)上，審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況。系統(tǒng)根據(jù)每個(gè)用戶以前的歷史行為，生成每個(gè)用戶的歷史行為記錄集，當(dāng)用戶改變他們的行為習(xí)慣時(shí)，這種異常就會(huì)被檢測(cè)出來(lái)。

2.2.2基于模型推理的入侵檢測(cè)技術(shù)

基于模型推理的入侵檢測(cè)的實(shí)質(zhì)是在審計(jì)記錄中搜索可能出現(xiàn)的攻擊子集。攻擊者在攻擊一個(gè)系統(tǒng)時(shí)往往在系統(tǒng)日志中留下他們的蹤跡。所以通過(guò)分析日志文件和審計(jì)信息，能夠發(fā)現(xiàn)成功的入侵或入侵企圖。入侵者所產(chǎn)生的種種行為組合在一起就構(gòu)成了行為序列，而這個(gè)行為序列是具有一定特征的模型。所以根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖。

2.2.3數(shù)據(jù)挖掘

數(shù)據(jù)挖掘強(qiáng)大的分析方法可以用于入侵檢測(cè)的建模，使用其中有關(guān)算法對(duì)審計(jì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和序列分析，可以挖掘出關(guān)聯(lián)規(guī)則和序列規(guī)則。

2.3入侵檢測(cè)的新技術(shù)

2.3.1基于生物免疫的入侵檢測(cè)

基于生物免疫的入侵檢測(cè)方法是通過(guò)模仿生物有機(jī)體的免疫系統(tǒng)工作機(jī)制，使得受保護(hù)的系統(tǒng)能夠?qū)⒎亲晕业姆欠ㄐ袨榕c自我的合法行為區(qū)分開(kāi)來(lái)。

2.3.2基于偽裝的檢測(cè)方法

基于偽裝的檢測(cè)方法，是指將一些虛假的信息提供給入侵者，如果入侵者應(yīng)用這些信息攻擊系統(tǒng)，就可以推斷系統(tǒng)正在遭受入侵；并且還可以誘惑入侵者，進(jìn)一步跟蹤入侵的來(lái)源。

2.3.3基于Agent的入侵檢測(cè)

無(wú)控制中心的多Agent結(jié)構(gòu)，每個(gè)檢測(cè)部件都是獨(dú)立的檢測(cè)單元，盡量降低了各檢測(cè)部件間的相關(guān)性，不僅實(shí)現(xiàn)了數(shù)據(jù)收集的分布化，而且將入侵檢測(cè)和實(shí)時(shí)響應(yīng)分布化，真正實(shí)現(xiàn)了分布式檢測(cè)的思想。

3.入侵檢測(cè)系統(tǒng)目前存在的問(wèn)題

入侵檢測(cè)系統(tǒng)近年來(lái)取得了較快的發(fā)展，但在理論研究和實(shí)際應(yīng)用中仍存在許多問(wèn)題：

（1）大量的誤報(bào)和漏報(bào)。由于現(xiàn)在的特征庫(kù)組織簡(jiǎn)單，造成漏報(bào)率和誤報(bào)率較高。

（2）系統(tǒng)的自適應(yīng)能力差，自我更新能力不強(qiáng)，系統(tǒng)缺乏靈活性。

（3）入侵檢測(cè)系統(tǒng)是失效開(kāi)放（Fail_open）的機(jī)制，也就是一旦系統(tǒng)停止作用，它所在的整個(gè)網(wǎng)絡(luò)是開(kāi)放的。因此，當(dāng)IDS遭受拒絕服務(wù)攻擊時(shí)，這種失效開(kāi)放的特性使得黑客可以實(shí)施攻擊而不被發(fā)現(xiàn)[2]。

（4）高速網(wǎng)絡(luò)下，入侵檢測(cè)系統(tǒng)的實(shí)時(shí)檢測(cè)效率低和誤警率較高。在高速網(wǎng)絡(luò)下，網(wǎng)絡(luò)吞吐量大，傳統(tǒng)的入侵檢測(cè)系統(tǒng)捕獲全部的數(shù)據(jù)包并進(jìn)行詳細(xì)分析幾乎是不可能做到的。

4.入侵檢測(cè)技術(shù)未來(lái)發(fā)展趨勢(shì)

對(duì)于入侵檢測(cè)技術(shù)的未來(lái)，我們除了完善傳統(tǒng)的技術(shù)，更應(yīng)該開(kāi)發(fā)出新的入侵檢測(cè)技術(shù)來(lái)維護(hù)網(wǎng)絡(luò)的安全。今后的入侵檢測(cè)技術(shù)的發(fā)展方向集中在以下幾個(gè)方面：

（1）面向IPv6的入侵檢測(cè)。下一代互聯(lián)網(wǎng)采用IPv6協(xié)議，目前世界正處于從IPv4向IPv6過(guò)渡時(shí)期。隨著IPv6應(yīng)用范圍的擴(kuò)展，入侵檢測(cè)系統(tǒng)支持IPv6將是一大發(fā)展趨勢(shì)，是入侵檢測(cè)技術(shù)未來(lái)幾年該領(lǐng)域研究的主流[3]。

（2）近年來(lái)，網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)是逐漸轉(zhuǎn)向高層應(yīng)用。根據(jù)Gartner[4]的分析，目前對(duì)網(wǎng)絡(luò)的攻擊70%以上是集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢(shì)。所以入侵檢測(cè)系統(tǒng)對(duì)應(yīng)用層的保護(hù)將成為未來(lái)研究的方向。

（3）入侵檢測(cè)系統(tǒng)的自身保護(hù)和易用性的提高。目前的入侵檢測(cè)產(chǎn)品大多采用硬件結(jié)構(gòu)，黑箱式接入，免除自身的安全問(wèn)題[5]。同時(shí)，大多數(shù)的使用者對(duì)易用性的要求也日益增強(qiáng)，這些都是優(yōu)秀的入侵檢測(cè)產(chǎn)品以后繼續(xù)發(fā)展細(xì)化的趨勢(shì)。

（4）使用智能化的方法與手段來(lái)進(jìn)行入侵檢測(cè)。即現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法。

（5）分布式、協(xié)作式入侵檢測(cè)和通用式入侵檢測(cè)體系結(jié)構(gòu)的研究。隨著網(wǎng)絡(luò)系統(tǒng)的復(fù)雜化以及入侵方式的多樣化，檢測(cè)系統(tǒng)的體系結(jié)構(gòu)也在發(fā)展。

（6）基于云模型和支持向量機(jī)的入侵檢測(cè)特征選擇方法。解決了目前算法的缺陷。

5.結(jié)束語(yǔ)

入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全防御系統(tǒng)的重要組成部分，它彌補(bǔ)了防火墻的兩個(gè)致命缺點(diǎn)：無(wú)法檢測(cè)內(nèi)部網(wǎng)絡(luò)存在的入侵行為；無(wú)法檢測(cè)出不通過(guò)防火墻但違反安全策略的行為。

目前我國(guó)檢測(cè)系統(tǒng)的應(yīng)用還遠(yuǎn)遠(yuǎn)沒(méi)有普及，由于（下轉(zhuǎn)第198頁(yè)）（上接第119頁(yè)）計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全涉及我們國(guó)家的國(guó)防軍事安全和政治社會(huì)經(jīng)濟(jì)穩(wěn)定，我們必須在學(xué)習(xí)和借鑒其他國(guó)家先進(jìn)理論和技術(shù)的基礎(chǔ)上，研究具有國(guó)際先進(jìn)甚至領(lǐng)先水平的網(wǎng)絡(luò)安全技術(shù)，研制具有自主知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)網(wǎng)絡(luò)安全產(chǎn)品。 [科]

【參考文獻(xiàn)】

[1]AmoroEG.IntrusionDetection.AnIntroductiontoInternetSurveillance，Correlation，Traps，Traceback，andResponse.http：//www.intrusion.net，1999.

[2]姚蘭，王新梅.入侵檢測(cè)系統(tǒng)的現(xiàn)狀與發(fā)展趨勢(shì)[J].電信科學(xué)，2002（12）：32-33.

[3]林果園，曹天杰.入侵檢測(cè)系統(tǒng)研究綜述[J].計(jì)算機(jī)應(yīng)用與軟件，2009，26（3）：16.

[4]http：//www.csoonline.com /analyst/report400.html，2006-12-2.

[5]付永鋼.計(jì)算機(jī)信息安全技術(shù)[M].北京：清華大學(xué)出版社，2012.