基于協議分析的入侵檢測系統研究與設計

羅騰

（浙江杭州師范大學錢江學院，浙江 杭州310012）

1 前言

網絡環境的復雜性、多變性以及信息系統的脆弱性、開放性和易受攻擊性，決定了網絡安全威脅的客觀存在。人們在享受到各種生活便利和溝通便捷的同時，網絡安全問題也日漸突出、形勢日益嚴峻。網絡攻擊、病毒傳播、垃圾郵件等迅速增長，利用網絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴重影響了網絡的正常秩序，損害了網民的利益：網上色情、暴力等不良和有害信息的傳播，嚴重危害了青少年的身心健康。網絡系統的安全性和可靠性正在成為世界各國共同關注的焦點。

當前，在全球范圍內，隨著互聯網的迅猛發展，對計算機及其網絡安全基礎設施的入侵已經成為一個越來越嚴重的問題。對于網絡入侵的檢測和防護已經日益成為迫切的要求。網絡入侵相對于傳統入侵來說，具有以下的特征：沒有地域和時間的限制；網絡攻擊往往混雜在大量的網絡活動當中，隱蔽性較強；入侵手段和方法更加復雜、多變；入侵行為的技術含量越來越高，造成的后果和危害也隨之越來越嚴重；入侵工具日益完善，攻擊者不需要有非常專業的計算機知識，就能夠完成相對復雜的攻擊過程。

網絡安全的發展趨勢，越來越從單一安全防范轉向集成化、多功能化，安全技術也出現了融合的趨勢。對網絡防御而言，它對付的攻擊難以預測，而攻擊者僅僅需要一個成功的攻擊，而防御者需要對所有攻擊加以防護。網絡安全技術已從單純的監測網絡攻擊和防御入侵，轉變為防御、檢測、響應與恢復等多種技術的融合。

2 入侵檢測與協議分析技術

入侵檢測是指通過監視用戶行為、安全日志、審計資料或者網絡原始數據流，在特定的網絡環境中發現和識別未經授權的或者惡意的攻擊和入侵，并對此做出反應的過程。入侵檢測可以積極主動的對內部攻擊、外部攻擊和誤操作提供實時保護，當網絡受到入侵時，能夠及時發現，在網絡系統受到危害之前攔截和響應入侵。如今，信息系統不斷的復雜化，入侵行為的頻繁發生，使我們更加認識到安全模型理論自身的局限性以及實現中存在的漏洞。增強系統安全的一種行之有效的方法是采用一個比較容易實現的安全技術，同時使用輔助的安全系統，對可能存在的安全漏洞進行檢查，入侵檢測就是這樣的技術。所謂入侵，是指任何試圖危及計算機資源的完整性、機密性或可用性的行為。而入侵檢測，便是通過運用各種檢測技術對入侵行為進行分析，從而確定攻擊行為的存在并及時報警。入侵檢測一般是通過從計算機網絡或眾多主機中的若干關鍵點收集數據信息，并對這些信息進行過濾和分析處理，從而發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統。入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。入侵檢測被認為是防火墻之后的另一個防護手段，它主要區別于放火墻的特點在于，入侵檢測能夠在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。簡單來說，入侵檢測系統主要包括3個部分：獲取事件信息源，即對信息的收集和預處理；入侵分析引擎；對分析結果的響應部件。信息源是入侵檢測的首要素，它可以看作是一個事件產生器。事件來源于審計紀錄、網絡數據包、應用程序數據或者防火墻、認證服務器等應用子系統。IDS可以有多種不同類型的引擎，用于判斷信息源，檢察數據有沒有被攻擊，有沒有違反安全策略。當引擎產生一個可以反映的結果時，響應部件就做出反應，包括將分析結果記錄到日至文件，對入侵者采取行動。根據入侵的嚴重程度，反映行動可以有名種級別。對于低級別的入侵，可以只對用戶發出提醒；而對于級別較高的，可以給管理員發送警報，并主動采取一些防范措施。入侵檢測的一般過程(見圖1)是：信息收集，包括通信記錄、網絡流量記錄等；信息數據的預處理，對信息進行合理的過濾、分析和存檔；數據的監測分析，通過系統的分析技術來判斷入侵事件的發生與否；根據安全策略做出響應。

一般來說，入侵檢測系統能夠完成下列活動：監控、分析用戶和系統的活動；發現入侵企圖或者異常現象；審計系統的配置和弱點；評估關鍵系統和數據文件的完整性；對異常活動的統計分析；識別攻擊的活動模式；實時報警和主動響應。

入侵檢測系統相對于傳統的安全技術來說，提供了一種主動的防護，而控制訪問、認證和防火墻等只是被動的防護，因此入侵檢測系統經常被稱為安全的最后一道防線。

3 入侵檢測常用模型及其發展

入侵檢測從策略上來講主要分為異常檢測和誤用檢測，從分析方法上來講，又可以分為基于統計的、神經網絡和數據挖掘三類技術。我們從IDs的整體框架來對入侵檢測模型進行劃分，則主要是三種：通用模型、層次化模型和智能化模型。

3.1 通用入侵檢測模型

通用入侵檢測模型的雛形是由Dorothy E.Denning所提出的，該模型后來又經過許多研究者的改進和拓展，逐步加入了異常檢測器以及專家系統等，其中異常檢測器用于統計異常模型的建立，專家系統用來實現基于規則的檢測。模型的3個主要部分是事件發生器(Event Generator)、活動記錄器(ActivityProfile)和規則集(Rule Set)。其中事件發生器提供網絡活動信息；活動記錄器保存監視中的系統和網絡狀態；規則集用于事件或狀態的核查以及判斷，主要通過模型、規則、模式和統計數據來對入侵行為進行判定。

3.2 層次化入侵檢測模型

層次化模型是如今最常見的，也是最為成熟的一種，其思想來源于入侵檢測的兩種常用技術，即誤用檢測和異常檢測。這兩種技術分別有利于已知和未知的兩種入侵行為判定，而其差異性就帶來的檢測的層次性。一般來說，誤用檢測比較簡單，效率也較高，誤報率較低；而異常檢測主要針對一些疑難的、未知的情況。兩者所用于比較的信息分別是非安全行為與安全行為，而一些介于兩種行為之間情況，則需要兩者結合，既可以通過攻擊行為的分析檢測出己知入侵，又確?？梢酝ㄟ^對安全策略庫和疑似入侵的行為進行模式匹配來檢測出未知入侵種類，這就是層次化入侵檢測模型的基本思想。另外從入侵檢測的數據來源上看，同樣也分為網絡數據源和主機數據源兩種層次。

3.3 智能入侵檢測模型

隨著智能Agent技術的不斷發展，其分布式、自治和協同工作能力給入侵檢測技術帶來新的生機。目前的人工智能工程己經轉向以智能Agent技術為基礎組織結構，Agent作為執行安全監視和入侵檢測功能的軟件代理，它可以在有或者沒有其他代理的條件下工作，可接受更高層其他實體的控制命令。Agent既可以執行簡單特定的功能，也可以執行復雜的行為。作為入侵檢測智能模型的核心，Agent的效率與性能決定了整個IDS的價值?；贏gent的入侵檢測模型主要包括主機檢測Agent、網絡檢測Agent、通信Agent、響應Agent以及一個控制臺。不同種類的Agent具有不同的特征和處理功能，可以對其自由配置，獨立進行操作。同種Agent以及不同Agent之間都可以通過Agent通信語言(AgentCommunication Language ACL)來進行信息交互，從而進行協同工作。

[1]馮登國.網絡安全原理與技術.北京：科學出版社，2003

[2]袁津生，吳硯農.計算機網絡安全基礎.北京：人民郵電出版社，2002