摘 要：本文主要介紹了基于系統(tǒng)行為的入侵檢測系統(tǒng)，首先對基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)進行了簡要介紹及優(yōu)缺點分析，然后對系統(tǒng)行為進行了剖析，其中重點對靜態(tài)行為分析技術(shù)和動態(tài)行為分析技術(shù)的原理，研究現(xiàn)狀，應(yīng)用成效等進行了闡明和對比，最后總結(jié)了HIDS的目前研究進展和未來要關(guān)注的問題。

關(guān)鍵詞：網(wǎng)絡(luò)安全 入侵檢測 靜態(tài)行為分析 動態(tài)行為分析

中圖分類號：TP39 文獻標識碼：A 文章編號：1003-9082（2018）06-000-01

引言

目前網(wǎng)絡(luò)環(huán)境日趨復(fù)雜和多變，來自網(wǎng)絡(luò)的攻擊會對個人及社會造成極大的破環(huán)型，傳統(tǒng)的單一防火墻和殺毒軟件已無法防范復(fù)雜多變的攻擊，網(wǎng)絡(luò)安全已成為遏制網(wǎng)絡(luò)健康發(fā)展的重要因素，入侵檢測技術(shù)是網(wǎng)絡(luò)安全的一項重要組成部分，可以對來自系統(tǒng)外部與內(nèi)部的行為進行監(jiān)控與報警，當發(fā)現(xiàn)不良行為時可以馬上響應(yīng)及報警攔截。在眾多的入侵檢測技術(shù)中，基于系統(tǒng)行為的入侵檢測系統(tǒng)是應(yīng)用較普遍，檢測性能較好，費用較低，性價比較高的一種。

一、NIDS與HIDS的優(yōu)劣分析

入侵檢測作為網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵、核心技術(shù)之一，自從20世紀80年代Anderson的報告開始，一直是該領(lǐng)域的研究熱點。近些年國內(nèi)和國外關(guān)于這方面的研究不斷開展，嘗試采用各種有效方法解決入侵檢測中的問題，取得了一定的功效。

入侵檢測（Intrusion Detection ）就是對系統(tǒng)外部與內(nèi)部的非法入侵行為的檢測。它通過搜集和剖析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中許多關(guān)鍵點的文件和程序等信息，檢查網(wǎng)絡(luò)或系統(tǒng)中有無存在非法的入侵行為和被襲擊的蹤跡。入侵檢測作為一種積極主動的安全防護技術(shù)，對系統(tǒng)的內(nèi)部和外部提供了實時的保護，在被保護的對象受到侵害之前對入侵行為進行報警和攔截，入侵檢測技術(shù)雖然也能夠?qū)W(wǎng)絡(luò)攻擊進行識別并作出反應(yīng)，但其側(cè)重點還是在于發(fā)現(xiàn)，而不能代替防火墻系統(tǒng)執(zhí)行整個網(wǎng)絡(luò)的訪問控制策略。

根據(jù)入侵檢測系統(tǒng)的設(shè)計原理來分類的話可以分為兩類：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）和基于主機的入侵檢測系統(tǒng)（HIDS）。

NIDS是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，由分布在網(wǎng)絡(luò)中的眾多的傳感器（Sensor）組成，傳感器通常是獨立的檢測引擎，能獲得網(wǎng)絡(luò)分組、對整個網(wǎng)段中的網(wǎng)絡(luò)流量進行監(jiān)聽，對數(shù)據(jù)包中的內(nèi)容進行檢查，并對系統(tǒng)中的文件和記錄進行統(tǒng)計和追蹤，找尋誤用模式，然后監(jiān)測到異常報告后向中央控制臺告警。目前，很多比較新的技術(shù)已經(jīng)開始在NIDS中應(yīng)用，像是數(shù)據(jù)挖掘技術(shù)和深度學(xué)習(xí)，通過這些新興技術(shù)的加持，在對搜集的信息和數(shù)據(jù)進行相關(guān)處理時，可以大大提高檢測效果，降低誤報率。

HIDS是基于主機的入侵檢測系統(tǒng)，他主要擔(dān)任保護網(wǎng)絡(luò)中某臺特定的主機，并在這臺主機上進行運行，基于主機的入侵檢測是入侵檢測的最初期形式，這種入侵檢測系統(tǒng)通常運行在被檢測的主機或者服務(wù)器上，實時檢測檢測系統(tǒng)的運行，通常從主機的審計記錄和日志文件中獲得所需的主要數(shù)據(jù)源，并輔之以主機上的其他信息，在此基礎(chǔ)上完成檢測攻擊行為的任務(wù)。特別的，從主機入侵檢測技術(shù)中還可以單獨分離出基于應(yīng)用的入侵檢測模型，這是特別針對于某個特定任務(wù)的應(yīng)用程序而設(shè)計的入侵檢測技術(shù)，采用的輸入數(shù)據(jù)源是應(yīng)用程序的日志信息。

在實際的應(yīng)用中，NIDS雖然可以在多種設(shè)備上移植，也很容易配置和實現(xiàn)但在實際檢測時，NIDS在處理加密的數(shù)據(jù)時，像是對數(shù)據(jù)進行簡單替換還有采用SSH、HTTPS、和帶密碼的壓縮文件這種技術(shù)手段，NIDS就比較難對其進行識別，在重放攻擊，中間人攻擊，網(wǎng)絡(luò)監(jiān)聽， DDos以及異常檢測方面，NIDS也有較大的局限性。而HIDS雖然依賴主機，較難跨平臺，但其成本低，檢測襲擊種類多，在應(yīng)用范圍上要比NIDS廣泛得多。

二、系統(tǒng)行為分析

在分析系統(tǒng)行為時，我們主要是對（1）系統(tǒng)信息，幾乎所有的操作系統(tǒng)都提供一組命令，獲得本機當前激活的進程的狀態(tài)信息，他們直接檢查內(nèi)核程序的內(nèi)存信息。（2）計算機資源的使用情況的記賬，例如CPU占用時間，內(nèi)存，硬盤，網(wǎng)絡(luò)使用情況。（3）系統(tǒng)日志，可分為操作系統(tǒng)日志和應(yīng)用程序日志兩部分。操作系統(tǒng)日志從不同方面記錄了系統(tǒng)中發(fā)生的事情，對于入侵檢測而言，具備重要的價值，當一個進程終止時，系統(tǒng)內(nèi)核為每個進程在進程日志文件中寫入一條記錄。（4）C2安全審計，記錄所有可能與安全性有關(guān)的發(fā)生在系統(tǒng)上的事情。由此，我們一般將系統(tǒng)行為分為，靜態(tài)系統(tǒng)行為和動態(tài)系統(tǒng)行為。

兩種行為分析方法都是通過對正常的系統(tǒng)行為進行的闡明和搜集，總結(jié)出正常行為普遍模式，對正常行為進行模型建立，當出現(xiàn)與系統(tǒng)中不匹配的行為時，系統(tǒng)會認為這是異常行為，就會對此行為進行報警和攔截。但兩種行為分析方法也有不同點，靜態(tài)行為分析方法是在系統(tǒng)不運行的情況下對系統(tǒng)行為進行搜集分析和建模，而動態(tài)行為分析方法是在系統(tǒng)運行的情況下對系統(tǒng)行為進行搜集分析和建模。但這兩種檢測系統(tǒng)都會有如下缺陷：一是如果是正常行為，但在行為庫中并未收集，這時系統(tǒng)在檢測這種行為時會誤認為是異常行為而進行攔截，二是對正常行為的記錄及建模是需要大量時間來訓(xùn)練的，而且在監(jiān)聽時需要與行為庫中的正常行為進行比對，這些都會對主機的性能造成影響。由此我們可以看出，在系統(tǒng)異常行為檢測技術(shù)中其核心其實就是是對系統(tǒng)非法行為的識別。在未來的發(fā)展中，系統(tǒng)異常行為檢測技術(shù)不僅要提高甄別能力并且要盡量避免上文所述的缺陷。

三、系統(tǒng)行為分析技術(shù)的分析

系統(tǒng)行為分析技術(shù)主要就是靜態(tài)系統(tǒng)行為分析方法和動態(tài)系統(tǒng)行為分析方法。

對于靜態(tài)系統(tǒng)行為分析方法，主要是對是程序源代碼和二進制文件進行分析，在系統(tǒng)靜止的情況下對系統(tǒng)中需要保護的程序文件用數(shù)據(jù)流、約束條件、基于抽象解釋、基于類型和結(jié)果、符號執(zhí)行建模等技術(shù)手段來進行分析和處理等，對系統(tǒng)中需要保護的系統(tǒng)文件用注注冊表、關(guān)鍵系統(tǒng)文件、系統(tǒng)設(shè)置等系統(tǒng)屬性來進行分析和處理，通過上述技術(shù)手段對系統(tǒng)中需要保護的程序文件以及系統(tǒng)文件進行分析處理后，進行模型建立，當系統(tǒng)開始運行時，當監(jiān)測到模型庫中沒有的行為時，就會將這種行為標記為異常行為，系統(tǒng)就會對此行為進行攔截。

像現(xiàn)在比較主流的靜態(tài)分析方法主要有（1）基于數(shù)據(jù)流的分析（2）基于約束條件的分析（3）基于抽象解釋的分析，以及（4）符號執(zhí)行分析。

這些靜態(tài)分析方法既可以分析系統(tǒng)中的程序文件.也可對系統(tǒng)設(shè)置進行，將正常系統(tǒng)建模，監(jiān)聽系統(tǒng)中的關(guān)鍵行為，當發(fā)現(xiàn)一些關(guān)鍵點的狀態(tài)改變或是一些設(shè)置被更改，這表示有有異常行為破環(huán)系統(tǒng)。

靜態(tài)行為分析方法態(tài)在技術(shù)上已經(jīng)比較成熟了，其優(yōu)點與缺點都是比較突出的，雖然靜態(tài)行為分析方法在訓(xùn)練數(shù)據(jù)庫方面的成本比較低，分析方法和分析層次也比較多樣；也不需進行后期學(xué)習(xí)練習(xí)；誤報率還比較低。但是.靜態(tài)行為分析方法的缺點也是非常顯著的，比如：分析對象不易獲得；編譯時和鏈接時的數(shù)據(jù)分析容易受到較多約束等等。

而動態(tài)行為分析則可以很好地彌補靜態(tài)行為分析方法的缺點，動態(tài)行為分析是在系統(tǒng)運行的情況下對系統(tǒng)的行為進行記錄，將系統(tǒng)中出現(xiàn)的實際情況進行收集和記錄，不需要得倒程序的源代碼或二進制文件就可以獲得很多靜態(tài)行為分析時較難得倒的信息（比如頻率、堆棧信息等）。由此可得出在異常入侵檢測方法中，動態(tài)行為分析方法較之于靜態(tài)行為分析方法會有更大的優(yōu)勢。不過動態(tài)行為分析方法也存在缺陷：一是在總結(jié)和記錄系統(tǒng)的正常行為時可能會不夠全面，而導(dǎo)致將一些系統(tǒng)的正常行為標記為異常行為，而產(chǎn)生誤報，二是動態(tài)行為分析方法是在系統(tǒng)運行時來對系統(tǒng)行為進行記錄和建模，這就會導(dǎo)致訓(xùn)練數(shù)據(jù)庫所需的成本較高。

四、結(jié)語

在目前復(fù)雜的網(wǎng)絡(luò)環(huán)境下，入侵檢測已是計算機安全領(lǐng)域必不可少的一項關(guān)鍵部分，在眾多的入侵檢測技術(shù)中，基于系統(tǒng)行為的入侵檢測技術(shù)已是非常成熟，應(yīng)用也是非常廣泛。不過，綜合分析，不管是靜態(tài)行為分析方法還是動態(tài)行為分析方法，都有各自的專長和缺陷，如果單一使用，總是不能對系統(tǒng)進行全方面的監(jiān)聽，最好的就是可以將二者結(jié)合來使用，揚長避短，利用動態(tài)分析技術(shù)模擬靜態(tài)分析的效果，將二者各自優(yōu)點發(fā)揮最大，以求達到最佳監(jiān)測效果，才是未來基于系統(tǒng)行為入侵檢測研究的方向。

參考文獻

[1]周彬彬.于程序行為靜態(tài)分析的入侵檢測系統(tǒng)研究與設(shè)計[D].北京郵電大學(xué)，2010.

[2]葛賢銀，韋素媛，楊百龍，蒲玄及.于行為分析技術(shù)的混合入侵檢測系統(tǒng)的研究[A].國電子學(xué)會信息論分會.中國電子學(xué)會第十六屆信息論學(xué)術(shù)年會論文集[C].中國電子學(xué)會信息論分會：中國電子學(xué)會信息論分會，2009：4.

[3]余曉永.于網(wǎng)絡(luò)行為分析的入侵檢測系統(tǒng)研究[D].合肥工業(yè)大學(xué)，2009.

[4]黃盧記.于網(wǎng)絡(luò)行為分析的入侵檢測系統(tǒng)研究[D].鄭州大學(xué)，2007.

作者簡介：段悅，（1986-），女，初級/計算機，研究方向：網(wǎng)絡(luò)安全。