安振亞

（山東省科學技術協(xié)會學會服務中心，山東 濟南250001）

1 入侵技術發(fā)展的體現(xiàn)

（1）入侵的綜合化與復雜化。入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網(wǎng)絡防范技術的多重化，攻擊的難度增加，使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。

（2）入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。通過一定的技術，可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術后，對于被攻擊對象攻擊的主體是無法直接確定的。

（3）入侵的規(guī)模擴大。對于網(wǎng)絡的入侵與攻擊，在其初期往往是針對于某公司或一個網(wǎng)站，其攻擊的目的可能為某些網(wǎng)絡技術愛好者的獵奇行為，也不排除商業(yè)的盜竊與破壞行為。由于戰(zhàn)爭對電子技術與網(wǎng)絡技術的依賴性越來越大，隨之產(chǎn)生、發(fā)展、逐步升級到電子戰(zhàn)與信息戰(zhàn)。對于信息戰(zhàn)，無論其規(guī)模與技術都與一般意義上的計算機網(wǎng)絡的入侵與攻擊都不可相提并論。信息戰(zhàn)的成敗與國家主干通信網(wǎng)絡的安全是與任何主權國家領土安全一樣的國家安全。

（4）入侵技術的分布化。以往常用的入侵與攻擊行為往往由單機執(zhí)行。由于防范技術的發(fā)展使得此類行為不能奏效。所謂的分布式拒絕服務（DDoS）在很短時間內可造成被攻擊主機的癱瘓。且此類分布式攻擊的單機信息模式與正常通信無差異，所以往往在攻擊發(fā)動的初期不易被確認。分布式攻擊是近期最常用的攻擊手段。

（5）攻擊對象的轉移。入侵與攻擊常以網(wǎng)絡為侵犯的主體，但近期來的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡改為攻擊網(wǎng)絡的防護系統(tǒng)，且有愈演愈烈的趨勢?，F(xiàn)已有專門針對IDS作攻擊的報道。攻擊者詳細地分析了IDS的審計方式、特征描述、通信模式找出IDS的弱點，然后加以攻擊。

2 入侵檢測系統(tǒng)存在的問題

入侵檢測系統(tǒng)還存在相當多的問題，這些問題大多是目前入侵檢測系統(tǒng)的結構所難以克服的。

（1）攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以及越來越復雜細致的攻擊手法。入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術，才能不致被攻擊者遠遠超越。

（2）惡意信息采用加密的方法傳輸。網(wǎng)絡入侵檢測系統(tǒng)通過匹配網(wǎng)絡數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測系統(tǒng)往往假設攻擊信息是通過明文傳輸?shù)?，因此對信息的稍加改變便可能騙過入侵檢測系統(tǒng)的檢測。

（3）不能知道安全策略的內容。必須協(xié)調、適應多樣性的環(huán)境中的不同的安全策略。網(wǎng)絡及其中的設備越來越多樣化，入侵檢測系統(tǒng)要能有所定制以更適應多樣的環(huán)境要求。

（4）不斷增大的網(wǎng)絡流量。用戶往往要求入侵檢測系統(tǒng)盡可能快的報警，因此需要對獲得的數(shù)據(jù)進行實時的分析，這導致對所在系統(tǒng)的要求越來越高，商業(yè)產(chǎn)品一般都建議采用當前最好的硬件環(huán)境。盡管如此，對日益增大的網(wǎng)絡流量，單一的入侵檢測系統(tǒng)系統(tǒng)仍很難應付。

（5）不恰當?shù)淖詣臃磻嬖陲L險。一般的IDS都有入侵響應的功能，如記錄日志，發(fā)送告警信息給console、發(fā)送警告郵件，防火墻互動等，敵手可以利用IDS的響應進行間接攻擊，使入侵日志迅速增加，塞滿硬盤；發(fā)送大量的警告信息，使管理員無法發(fā)現(xiàn)真正的攻擊者，并占用大量的cpu資源；發(fā)送大量的告警郵件，并占用接收警告郵件服務器的系統(tǒng)資源；發(fā)送虛假的警告信息，使防火墻錯誤配置，如攻擊者假冒大量不同的IP進行模擬攻擊，而入侵檢測系統(tǒng)系統(tǒng)自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉，造成一些正常的IP無法訪問等。

（6）自身的安全問題。入侵檢測系統(tǒng)本身也往往存在安全漏洞。因為IDS是安裝在一定的操作系統(tǒng)之上，操作系統(tǒng)本身存在漏洞或IDS自身防御力差，就可能受到smurf、synflood等攻擊。此類攻擊很有可能造成IDS的探測器丟包、失效或不能正常工作。

（7）存在大量的誤報和漏報。采用當前的技術及模型，完美的入侵檢測系統(tǒng)無法實現(xiàn)。這種現(xiàn)象存在的主要原因是：入侵檢測系統(tǒng)必須清楚的了解所有操作系統(tǒng)網(wǎng)絡協(xié)議的運作情況，甚至細節(jié)，才能準確的進行分析。而不同操作系統(tǒng)之間，甚至同一操作系統(tǒng)的不同版本之間對協(xié)議處理的細節(jié)均有所不同。而力求全面則必然違背入侵檢測系統(tǒng)高效工作的原則。

3 入侵檢測技術的發(fā)展方向

今后的入侵檢測技術大致可朝下述幾個方向發(fā)展：

（1）分布式入侵檢測：傳統(tǒng)的IDS局限于單一的主機或網(wǎng)絡架構，對異構系統(tǒng)及大規(guī)模的網(wǎng)絡檢測明顯不足，不同的IDS系統(tǒng)之間不能協(xié)同工作。為解決這一問題，需要發(fā)展分布式入侵檢測技術與通用入侵檢測架構。第一層含義，即針對分布式網(wǎng)絡攻擊的檢測方法；第二層含義即使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。

（2）應用層入侵檢測：許多入侵的語義只有在應用層才能理解，而目前的IDS僅能檢測如Web之類的通用協(xié)議，而不能處理如Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。

（3）高速網(wǎng)絡的入侵檢測：在IDS中，截獲網(wǎng)絡的每一個數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費大量的時間和系統(tǒng)資源，因此大部分現(xiàn)有的IDS只有幾十兆的檢測速度，隨著百兆、甚至千兆網(wǎng)絡的大量應用，需要研究高速網(wǎng)絡的入侵檢測。

（4）增加信譽服務：很多基于網(wǎng)絡和基于主機的IDS產(chǎn)品最近都增加了信譽服務。這些服務已經(jīng)在其他類型的安全控制中使用多年。信譽服務能收集域名，IP地址，應用協(xié)議，物理位置和計算活動的其他方面信息。然后，IPS系統(tǒng)利用這些信息來確定新的活動是否是是惡意的。此信息對提高確定IPS警報的優(yōu)先級特別有價值。例如，IPS傳感器可以對各類不尋常的活動發(fā)出警報，但是這些IP地址之一的其他惡意操作歷史記錄可能會提升它的分析優(yōu)先級，因為它可能是有惡意的。

（5）無線IPS的改進：無線IPS技術比其他形式IPS技術都要先進。隨著無線技術的發(fā)展，無線IPS技術正不斷擴大自己的能力。例如，自從IEEE 802.11n傳輸標準確定后，大多數(shù)無線IPS技術已經(jīng)增加了對此標準的支持。

（6）虛擬環(huán)境中IPS的應用：云計算的興起帶來了對云安全技術的特性需求。值得慶幸的是，hypervisor（虛擬機管理器）是監(jiān)控一個虛擬實例和不同虛擬實例間網(wǎng)絡行為的好地方，更知名的叫法師內部檢測。一些hypervisor主動提供自己的入侵檢測技術，另外一些hypervisor可以把內部檢測收集而來的信息傳遞到外部安全的控件，例如，標準的基于主機的IPS來檢測和發(fā)出警報。企業(yè)要確保當一個虛擬實例從一個云服務器移到另一個時，其安全策略也一并被轉移。

［1］鄭敬華.NIDS模型中檢測引擎模塊的設計與實現(xiàn)[J].信息通信,2011（05）.

［2］李志東.基于融合決策的網(wǎng)絡安全態(tài)勢感知技術研究[D].哈爾濱工程大學,2012.

［3］左澄真,方敏.進化模糊分類識別在IDS中的應用[J].計算機工程,2005（23）.

［4］孔靚,賈美娟,李梓.網(wǎng)絡安全關鍵技術研究[J].信息技術，2012（04）.