計算機網絡入侵檢測技術發展

陳　杰

[摘要]計算機互聯網的爆炸式增長以及基于因特網的電子商務的增加使得網絡安全成為網絡設計的一個重要因素。因此，開展網絡安全特別是入侵攻擊與防范技術的研究，開發急需的、高效實用的網絡入侵檢測系統，對計算機網絡的發展和網絡信息的建設與應用都具有重要意義。入侵檢測系統作為安全防御的第二道防線，是網絡防火墻的有益補充，它能夠用于檢測出各種形式的入侵行為，是安全防御體系的一個重要組成部分。

[關鍵詞]入侵檢測 網絡安全 分布式

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0520047－01

一、引言

隨著Internet的發展，網絡豐富的信息資源給用戶帶來了極大的方便，但同時也給上網用戶帶來了安全問題。目前，網絡的攻擊手段越來越多，入侵手段也不斷更新。由于網絡的攻擊造成的損失是難以估量的，計算機網絡安全狀況不容樂觀。

為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。入侵檢測正是其中之一，入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。

計算機網絡入侵檢測技術的發展

20世紀80年代已經展開了對入侵檢測技術的研究，發展至今已有近30年的歷程。根據所檢測數據的來源不同，入侵檢測技術經歷了基于主機的入侵檢測技術、基于網絡的入侵檢測技術和分布式入侵檢測技術三個發展時期。1980年，Jamesp. Anderson先生在《Computer Security Threat Monitoring and Surveiliance》中首次提出了入侵檢測的概念，由此開始了對入侵檢測技術的研究[1]。

二、主機的入侵檢測技術

1987年，Dorothy Denning博士提出了入侵檢測系統（IDS）的抽象模型，模型主要由主體、對象、審計記錄、行為輪廓、異常記錄及活動規則組成，這是一個入侵檢測系統的通用框架。在這篇文章中將入侵檢測技術與加密、認證、訪問控制等安全技術相比，肯定了入侵檢測對于保證系統安全的重要作用。這篇文獻可以看成是在入侵檢測技術的發展歷史中具有里程碑意義的重要論著。

1988年，Denning博士提出的模型由SRI International公司實現，稱之為入侵檢測專家系統。該系統可以用于檢測主機系統上發生的入侵行為，是一個與系統平臺無關的專家檢測系統。這也是日后的誤用檢測方法的系統原型。

后來入侵檢測的原型系統被陸續開發，如下一代入侵檢測系統、Haystack系統等。在入侵檢測技術發展的初期，所檢測的數據都是主機系統的待審計數據，然而隨著網絡技術的發展和網絡應用的普及，針對網絡的攻擊事件不斷發生，對入侵檢測技術的研究也隨之進入了第二階段，即網絡入侵檢測技術。

三、網絡的入侵檢測技術

1990年，由L.T. Heberlein 開發了第一個網絡入侵檢測系統網絡安全監視器，通過在共享網段上對通信數據的監聽和采集，檢測所有數據包的包頭信息，分析可能出現的攻擊現象，從而達到對整個網段的入侵檢測和保護[2]。

網絡入侵檢測技術通過分析數據包包頭信息、網絡流量和網絡連接的各個特征屬性來檢測網絡中存在的入侵行為，區分正常網絡應用和惡意攻擊。這種方法擴展了入侵檢測技術的應用范圍，同時由于采用的是監聽的方式獲取待檢測數據，沒有增加網絡負擔，也不會占用網絡上其他主機的資源。然而不論是基于主機的入侵檢測系統還是基于網絡的入侵檢測系統，早期的結構都是集中式的，數據采集模塊和數據分析模塊都位于同一臺機器上，這和網絡逐漸走向分布式、異構性的趨勢并不符合。而且隨著分布式網絡攻擊的出現，分布式入侵檢測技術也應運而生。

四、分布式入侵檢測技術

1991年提出的分布式入侵檢測系統是第一個分布式的系統，它將主機入侵檢測和網絡入侵檢測結合，能適應異構環境。該系統由三個部分組成：主機管理單元、網絡管理單元和中央管理單元[3]。該系統利用位于不同地點的數據采集單元收集待檢測數據，進行統一分析后，判斷被保護系統是否受到攻擊。雖然DIDS存在很多不足之處，但它畢竟是對分布式入侵檢測技術研究的有益嘗試。

為了克服分布檢測存在系統瓶頸的問題，1996年提出的合作式安全管理器(Cooperating Security Manager，CSM)通過運行于每臺主機之上的CSM單元合作檢測入侵行為。每個CSM單元都由本地入侵檢測單元、安全管理器、圖形用戶界面、入侵處理單元、命令監視器和通信處理器組成。CSM實現了分布采集，分布決策的思想[4]。隨著網絡規模的不斷擴大和攻擊行為的協同性和分布式的趨勢，入侵檢測技術必然向著分布式檢測方向發展。

五、入侵檢測技術的發展趨勢

目前，入侵檢測系統的研究還處于一個不完善的階段，IDS遠遠沒有發展成熟，然而正是因為存在這些問題需要解

決，IDS的發展非常迅速，已經出現了各種各樣的新技術，推動今后的入侵檢測技術大致可朝下述三個方向發展：寬帶高速網絡的實時入侵檢測技術；大規模分布式入侵檢測技術；智能化入侵檢測技術。

參考文獻：

[1]唐正軍，入侵檢測技術導論[M].北京：機械工業出版社，246-263.

[2]GenyDozier，DouglasBrown，JohnHurley.Vulnerability Analysis of AIS-BasedIntr Usio Deteetion Systems via Genetie and Partiele Swann Red Teams The Congresson Evolutionary ColnPutation，2004,l:111-116.

[3]信息技術研究中心，網絡信息安全新技術與標準規范實用手冊[M].第1版，北京：電子信息出版社，2004.

[4]Fabio A.Gonzalez,Dipankar Dasgupta.Anomaly Detection Using Real-Valued Negative Selection.GPEM2003resubm.tex,2003,(6):1-20.

作者簡介：

陳杰（1981-），男，河南鄭州人，塔里木大學計算機科學與技術工作，助教。