基于網絡入侵分析

摘要：隨著網絡的高速發展，網絡信息安全問題不斷暴露出來。本文主要對入侵檢測系統中的網絡入侵檢測系統(NIDS)的進行分析，對網絡入侵的各模塊都進行了分析，并分析了系統的優缺點和發展趨勢。

關鍵詞：網絡入侵； 入侵檢測系統；信息安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)22-661-03

Based on the Analysis of Network Intrusion

ZHAO Yong-chi1，YANG Fu2

(1.Network Center，Mianyang Normal University，Mianyang 621000，China;2.Department of Mathematics and Computer Science，Mianyang Normal University，Mianyang 621000，China)

Abstract: With the rapid development of networks， network information security problems are exposed. In this paper， the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis， the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.

Key words:Network Intrusion;intrusion detection systems;information security

1 引言

隨著網絡應用范圍的不斷擴大，對網絡的各類攻擊與破壞也與日俱增。無論政府、商務，還是金融、媒體的網站都在不同程度上受到入侵與破壞。網絡安全已成為國家與國防安全的重要組成部分，同時也是國家網絡經濟發展的關鍵。傳統的安全技術雖然可以在一定程度上有效地防范外來攻擊者的破壞行為，但它們對于授權用戶濫用權限的行為卻無能為力。雖然可以通過防火墻的包過濾、應用層網關以及虛擬網（VLAN）技術來防止諸如協議漏洞、源路由和地址假冒等多種攻擊手段，但卻不能防止層出不窮的應用系統設計上的缺陷和通過加密通道所進行的攻擊。因此僅通過訪問控制技術和防火墻技術是遠遠不夠的，需要一種能及時發現并報告系統非授權訪問或異常現象的技術，即入侵檢測。

2 入侵檢測簡介

2.1 入侵檢測概述

入侵檢測技術是為確保計算機系統的安全性而設計一種能夠及時發現自我檢測并發現系統中存在的異常現象，是一種用于檢測計算機網絡中違反安全規則策略的技術。利用審計記錄與專家分析，對入侵檢測系統已經出現而不希望有的活動，從而進行及早發現與查漏補缺，達到限制這些活動，以保護計算機系統安全的行為。入侵檢測系統的應用，能使在入侵攻擊對系統發生危害前，檢測到可能出現的入侵攻擊或者系統缺陷，使用提醒機制與專家策略機制來保護系統的安全性。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加入知識庫內，以增強系統的防范能力。圖1表示了一個簡單的入侵檢測系統得結構。

2.2 基于網絡的入侵檢測

基于網絡的入侵檢測系統是使用原始網絡數據包作為數據源，一般利用一個網絡適配器來實時檢測和分析所有通過網絡進行傳輸的通信。一旦檢測到攻擊，入侵檢測系統應答模塊就采取通知、報警以及中斷連接等方式來對攻擊作出反應。下面僅對網絡入侵檢測系統總體結構模塊進行設計分析。

3 網絡入侵檢測系統設計分析

3.1 系統設計原理

人們經常根據網絡流量，網絡包和協議分析來檢測入侵。而在這個系統模塊設計中，我們通過網絡數據包捕獲模塊來收集數據，這個模塊是通過按一定的規則從網絡上獲取與安全事件相關的數據包。然后將根據數據包并結合網絡入侵規則庫進行分析，把分析的結果傳遞給系統管理響應模塊進行判斷顯示。

3.2 系統總體結構設計

一般而言，一個網絡入侵檢測系統要滿足實時性、可擴展性、適應性、安全性和有效性這幾個功能要求。系統體系結構如圖2所示，從邏輯上可分為數據采集、數據分析和結果顯示3部分。此系統主要由以下 5 個模塊組成(如圖2 所示)，下面分別對它們進行介紹。

3.2.1 網絡數據包的捕獲模塊

針對網絡入侵檢測系統的操作對象主要是網絡數據包進行檢測，故需有部分網絡數據包捕獲下來，該模塊功能就是從以太網中捕獲特定數據包。因此對這個模塊的性能要求很高，又因為網絡中的數據包很多，如果捕獲不及時，就會有漏包的情況出現，因此要根據需要設置過濾網絡上的一些數據包，如特定IP、特定 MAC地址、特定協議的數據包。

3.2.2 協議分析模塊

協議分析模塊必須對捕獲到的數據包進行系統的分析，根據網絡數據包的協議頭和尾，了解信息和相關的數據包在產生和傳輸過程中的行為，部分分析數據包的內容，檢測出每個數據包的類型和特征。僅僅對網絡協議進行了系統分析，以及利用各種分析手段，例如統計分析，才能夠檢測出存在的入侵，并做出正確的決策。由于網絡協議非常多，因此就必須分析很多的協議。在大多數系統中，都將分析網絡中的大部分協議，包括：TCP，IP，HTTP， ICMP， UDP等。網絡協議分析與模式匹配相結合使用能夠有效的減少系統運算量，提高系統效率，并解決高速網絡下的丟包問題。

3.2.3 存儲模塊

此模塊主要是存儲網絡的信息，包括收集到的數據包，以及模式庫、專家分析模式、系統日志等。由于網絡數據包眾多，因此必須及時地把它們存儲起來，并且在可能情況先進行數據挖掘，發現可能存在的新型攻擊模式，這最大的好處可及時發現新型入侵，迅速切斷攻擊行為，在此基礎上可以發現網絡的流量情況，例如分析IP協議的分布情況等。

3.2.4 入侵檢測模塊

該模塊是入侵檢測系統的重要模塊。主要的思路就是根據入侵規則庫進行協議分析，運用入侵事件描述語言，對規則庫進行匹配看是否有入侵行為發生。基于網絡的入侵檢測系統首先要先定義好一些已經存在的入侵攻擊規則庫，并且要實時更新以及具備一定的學習能力，它的知識庫豐富與否就決定了入侵檢測系統的性能。然后就是轉化為分析好的協議和規則庫的匹配問題了，如果匹配成功，就說明有入侵事件發生。這就是我們所說的誤用檢測方法。

其流程如圖3所示。

1)首先對模塊進行初始化設置，導入設置內容或者定義規則模式；

2)開始網絡數據包捕獲，收集數據包；

3)協議分析模塊參考協議規則對數據包進行解析；

根據解析結果與初始化設置中的規則模式依次分析，根據結果調用相應的響應策略。如此往返進行。

3.2.5 系統響應模塊

系統響應根據入侵檢測的行為進行處理的一個關鍵部分，因為當系統檢測到入侵的時候，只有通過系統響應來處理相關的事情。系統響應可以分為主動響應和被動響應。在主動響應中，系統自動地或以用戶設置的方式來阻斷攻擊或以其他方式影響攻擊過程。目前蜜罐技術就是屬于主動響應，它是在檢測到入侵后，引誘起到誘騙服務器，然后記錄下攻擊者的行為，從而獲得關于攻擊者的詳細信息。被動響應是指為用戶提供信息，由用戶決定下一步應該對攻擊行為采取什么措施。以上便是基于網絡入侵檢測系統的幾大主要模塊的簡要分析設計。

4 網絡入侵檢測系統的優缺點

4.1 網絡入侵檢測系統的優點

網絡入侵檢測系統能夠檢測那些來自網絡的攻擊，它能夠檢測到超過授權的非法訪問。網絡入侵檢測系統不必要改變服務器等主機的配置，由于它不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業務系統的性能。

由于網絡入侵檢測系統不像路由器、防火墻等關鍵設備方式工作，它不會成為系統中的關鍵路徑。網絡入侵檢測系統發生故障不會影響正常業務的運行。布署一個網絡入侵檢測系統的風險比主機入侵檢測系統的風險少得多。

網絡入侵檢測系統近年內已經向專門的設備發展，安裝這樣的一個網絡入侵檢測系統非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網絡上即可。

4.2 網絡入侵檢測系統的弱點

網絡入侵檢測系統僅僅檢查它直接連接網段的通信，不能檢測在不同網段的網絡包。在使用交換以太網的環境中就會出現監測范圍的局限。而安裝多臺網絡入侵檢測系統的傳感器會使布署整個系統的成本大大增加。

網絡入侵檢測系統為了提高性能，通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。

網絡入侵檢測系統可能會將大量的數據傳回分析系統中。在一些系統中監聽特定的數據包會產生大量的分析數據流量。一些系統在實現時采用一定方法來減少回傳的數據量，對入侵判斷的決策由傳感器實現，而中央控制臺成為狀態顯示與通信中心，不再作為入侵行為分析器。這樣的系統中的傳感器協同工作能力較弱。

網絡入侵檢測系統處理加密的會話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個問題會越來越突出。

5 基于網絡入侵檢測面臨要解決問題及解決方案

5.1 高效率的檢測算法

開發高效率的檢測算法，以降低誤報警和漏警率，提高檢測的準確性。過多的報警往往導致安全管理員喪失警覺性，反而掩蓋真正入侵行為。

5.1.1 計算量大

對于給定網絡，每秒需要比較的最大次數為：攻擊特征字節數×網絡數據包字節數×每秒數據包數量×攻擊特征數量。如果所有攻擊特征長度為15 個字節，網絡數據包平均長度為200字節，每秒15000數據包，供給特征庫中有4500 條特征，那么，每秒比較次數為：

15×200×15000×4500=202500000000

5.1.2檢測準確性

傳統的模式匹配只能檢測給定類型的攻擊，對稍微變形的攻擊特征就束手無策。傳統的模式匹配檢測方法的問題是它把網絡數據包看作是無序的隨意的字節流，它對網絡數據包的內部結構完全不了解，可是網絡通信協議是一個高度格式化的、具有明確含義和取值的數據流。如果將協議分析和模式匹配方法結合起來，可以獲得更好的效率、更精確的結果。協議分析技術就是有效利用了網絡協議的層次性和相關協議的知識快速地判斷攻擊特征是否存在。該技術包括協議解碼、命令解析和協議校驗等技術，簡單來說就是讓IDS能夠讀懂協議，知道在數據包的什么位置能夠得到什么內容，并且判斷出這些內容的真實含義。利用協議分析技術，可以極大地減小運算量。

5.2 攻擊特征模式庫的智能學習

要解決的問題有通用的入侵描述語言、審計數據標準化以及攻擊樣本搜集等。若能設計一種可擴充攻擊模式，使得模式庫隨攻擊演化，進而適應入侵的行為的變化。允許用戶根據環境能夠自定義入侵模式特征。

5.3 高速交換網絡中的入侵檢測

網絡信息采集獲取。為了解決高速網絡環境下的網絡入侵檢測問題，我們可以設計一個新型的具有靈活伸縮性的網絡入侵檢測系統，該系統主要從以下3個方面進行了改進：① 利用負載均衡技術，把在前端捕獲的高速數據流進行分化，以利于后端的 IDS 進行處理；② 采用基于代理的分布式體系結構，各分析主機將分析結果傳送給相關控制器，中心控制器收集從各子控制器發來的警告信息； ③采用協議分析與模式匹配相結合的檢測技術。圖4顯示了在簡單網絡入侵檢測系統上發展起來的基于均衡負載的多代理分布式入侵檢測系統。

分布式入侵檢測系統具有針對高速網絡進行快速檢測的優點，具有靈活的擴展性，結合網絡檢測與主機檢測的優點，可同時對多點進行檢測，避免了單機IDS的不足；同時通過將大量監視任務分配到許多不同的檢測結點上，其中每一個分析主機負責檢測某幾種或某種攻擊，同時又通過對分析技術的改進，采用能有效提高檢測的效率的協議分析技術與模式匹配技術的有機結合，對檢測的速度和效率有了極大的提高。

5.4 IDS評估測試

評測標準、測試數據、評測環境和評測工具等。隨著高速網絡的發展以及IPV6的逐步推廣、操作系統的不斷更新和發展，各種新的攻擊手段的出現，國際和業內的標準不斷的更新和提高，IDS面臨著許多新的評測標準和環境。

5.5 IDS與其它系統的協作

各種系統之間的相互協調操作的一致性。防火墻系統與訪問控制技術之間的相互配合協調，以發揮出整套安全系統的最大功效。

6 結論

當前，入侵檢測系統的應用主要面向網絡，尤其是面向廣域網，并要求網絡能提供有效的入侵反應措施。目前，除了基于統計方法和基于規則和檢測方法以外，一些和人工智能相結合的基于知識的檢測技術也在日益完善，目的是使入侵檢測系統擁有自學習的能力。另外，要完善和發展入侵檢測系統，就須對操作系統及網絡的漏洞和弱點有深入了解，并對現有檢測入侵的具體方法和類型進行研究，如此才能設計出更加有效的入侵檢測系統。

參考文獻：

[1] 戴云，范平志，入侵檢測系統研究綜述[J].計算機工程與應用，2002，38(4):17-19，75.

[2] 陳科，李之棠.網絡入侵檢測系統和防火墻集成的框架模型[J].計算機工程與科學，2001，23(2):26-28.

[3] 羅守山.入侵檢測[M].北京:北京郵電大學出版社，2004.

[4] 張曉芬，陳明奇，楊義先.入侵檢測系統（IDS）的發展[J].信息安全與通信保密，2002(03).

[5] 蔣建春，馮登國.網絡入侵檢測原理與技術[M].北京:國防工業出版社，2001.

[6] 王曉程，劉恩德，謝小權. 網絡入侵檢測系統的研究[J].計算機工程與科學，2004，(04):32-35.

[7] 王曉程，劉恩德，謝小權. 攻擊分類研究與分布式網絡入侵檢測系統[J].計算機研究與發展，2001(06):88-95.

[8] 褚永剛，楊義先.入侵檢測系統的技術發展趨勢[J].世界電信，2003(05):34-36.

[9] 馬恒太，蔣建春，陳偉峰，等.基于 Agent 的分布式入侵檢測系統模型[J].軟件學報，2000，11(10):1312-1319.