淺析ＮＩＤＳ及其實現

魏國華　廖崇華

[摘要]簡要分析和介紹計算機網絡入侵檢測系統的主要類型及其技術，給出一個網絡入侵檢測系統的技術實現機理。

[關鍵詞]計算機 網絡 安全 入侵檢測

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0120073－01

隨著計算機網絡規模的爆炸式增長和網絡應用的日益深化，安全問題愈發突出，傳統的單一安全技術如防火墻、授權與身份認證系統、信息加密等，都是以靜態的方式保障信息安全，對快速發展的黑客攻擊、內部攻擊等則力不從心。作為最近幾年發展起來的、以對非法網絡行為預警和響應為主要目標的動態網絡安全技術入侵檢測，正在得到越來越深入的研究和應用。

一、入侵檢測系統簡介

入侵檢測，一般是指通過在計算機網絡中的關鍵節點采集信息并進行分析，從而發現網絡中是否有違反安全策略的行為或被攻擊的跡象。入侵檢測是一種集檢測、響應、記錄于一體的動態安全技術，不僅能檢測來自外部的入侵行為，同時也監督內部用戶的未授權活動。

用于入侵檢測的軟件或軟硬件組合產品即為入侵檢測系統(Intrusion Detection System)。IDS一般具有監視系統及用戶活動、檢查系統配置和漏洞、評估系統關鍵資源和數據文件的完整性、識別和分析攻擊行為或異常行為、對操作系統日志管理、對己發現的攻擊行為作出反應或處理等功能。

按照數據分析和檢測機制的不同，入侵檢測分為異常入侵檢測和誤用入侵檢測。異常入侵檢測是建立在統計學基礎上的一種檢測技術，是目前入侵檢測技術的主要研究方向，基本原理是先定義一組系統或網絡“正?！鼻闆r的狀態，這類數據可以人為定義，也可以通過統計得出，然后將系統運行時的數值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。誤用入侵檢測，是預先定義出入侵行為特征或標志，然后監視網絡數據，從中找出符合入侵特征的行為，類似殺毒軟件原理。IDS的類型，從檢測節點和數據來源看，主要有基于主機的IDS、基于網絡的IDS，以及兩者集成型IDS。從系統架構上看，IDS還可分為集中式IDS和分布式IDS，集成型的分布式網絡入侵檢測系統(D-NIDS)應是技術發展方向。

二、網絡入侵檢測系統實現機理

網絡入侵檢測系統是利用網絡監聽技術采集網絡分組數據，并對這些數據進行入侵檢測分析和響應。設計NIDS，技術架構可以采用三層分布式體系結構，包括網絡入侵探測器、入侵事件數據庫和分析控制臺。

對應三層體系結構，可將NIDS從功能上劃分為三個核心子系統：數據采集與分析子系統、數據庫管理子系統、控制臺子系統。數據采集與分析子系統在具體技術實現上，可充分利用Snort等優秀的開源軟件包進行二次開發構建，系統平臺根據性能與成本的要求，既可在Linux/Unix平臺上實現，也可采用RTOS硬件實現，以達到數據信號處理的高速和穩定，同時降低了開發復雜度。數據庫管理子系統和控制臺子系統對效率的要求不高，可在Windows上實現，提高操作性和界面友好性。

數據庫子系統和控制臺子系統相對比較簡單，在此不做分析介紹，重點介紹數據采集與分析子系統的實現機理。

NIDS的核心部分是數據采集與分析子系統，一般配置在各個局域網的關鍵節點上，是整個系統的基礎性模塊，因為其操作對象是網絡數據包，首先就必須把所有的網絡數據包都捕獲下來，所以此模塊的主要功能就是從網絡中偵聽捕獲數據包并分析數據包協議和內容。由于數據包采集的性能要求很高，而網絡中的數據包量非常大，如果捕獲不及時，就會有漏包的情況出現，因此要根據需要適當的設置過濾機制，過濾網絡上的一些數據包，減輕數據分析壓力，可過濾特定IP、特定MAC地址、特定協議的數據包。數據包分析部分完成對采集到的數據包進行分析的功能，只有對每個數據包的網絡協議、類型和特征進行了詳細正確的分析，才有可能檢測出入侵行為。由于網絡協議非常多，因此就必須分析很多的協議，以太網常見協議有ARP/RARP、ICMP、SNMP、IP、TCP、UDP、HTTP、FTP等。

數據采集與分析子系統包含如下幾個模塊：

1．包捕獲與解析模塊：可采用與Snort關聯的Libpcap開發包來實現數據包的捕獲。由于TCP/IP協議是互聯網事實上的標準，所以協議分析應基于TCP/IP協議，必須對TCP/IP的四層協議，即包頭信息進行詳細的分析，從而掌握它的具體特征，并對數據內容進行各種支持網絡協議的格式分析。

2．預處理模塊：預處理模塊中主要由HTTP解碼器、端口檢測器等預處理程序組成。

3．檢測引擎模塊：是整個檢測系統的核心，程序的效率直接影響到整個系統的性能優劣，可參考或利用國際上非常流行的網絡入侵檢測系統Snort的設計思想或技術。Snort是一個以開放源代碼形式發行的網絡入侵檢測系統，由遍布世界各地的眾多程序員共同維護和升級，它采用基于規則的工作方式，對數據包內容進行規則匹配來檢測多種不同的入侵行為和探測活動。許多入侵檢測產品的內核都是基于Snort設計開發的。

4．日志與報警模塊：該模塊主要完成檢測結果的輸出，當發生入侵時，能及時報警入侵行為。

5．規則庫模塊：存儲攻擊特征碼。

三、入侵檢測系統的配置要點

入侵檢測系統的幾個部件往往位于不同的主機上。在安裝IDS的時候，關鍵是選擇數據采集部分所在的位置，因為它決定了“事件”的可見度。

對于主機型IDS，其數據采集部分當然位于其所監測的主機上。對于網絡型IDS，其數據采集部分則有多種可能，對網段用總線式的HUB相連，則可將其接在HUB的一個端口上即可；而對于交換機，由于交換機不采用共享方式，問題則會變得復雜，可解決的辦法有：

1．交換機一般都有一個調試端口，任何其他端口的進出信息都可從此得到。如果交換機廠商把此端口開放，用戶則可將IDS系統接到此端口上，缺點是采用此端口會降低交換機性能。

2．把IDS放在交換機內部或防火墻內部等數據流的關鍵入口和出口，優點是可得到幾乎所有關鍵數據，但會降低網絡性能。

3．采用分接器，將其接在所有要監測的線路上，優點是不降低網絡性能的前提下采集所需數據，但必須使用額外的設備。

四、結束語

在網絡安全產品配置中，IDS加防火墻是目前常用的組合。雖然在IDS技術上發展起來的IPS（入侵防御系統）得到了快速發展，但IDS的技術發展也非?？欤窈笕詫⒃诰W絡安全事件預警檢測中發揮不可或缺的作用。

作者簡介：

魏國華，男，漢族，甘肅酒泉，本科學歷，工程師，信息技術專業；廖崇華，男，漢族，天津市，本科學歷，工程師，信息技術專業。