入侵檢測系統(tǒng)性能與魯棒性分析

張 毅， 梅 挺

(成都醫(yī)學(xué)院 人文信息管理學(xué)院 計算機教研室，四川 成都 610081)

0 引言

入侵檢測技術(shù)提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶權(quán)的一種方法，自1980年，Anderson首先提出了入侵檢測的概念以來，入侵檢測技術(shù)已被廣泛應(yīng)用于網(wǎng)絡(luò)安全防御中。從獲取數(shù)據(jù)的角度來說，入侵檢測體統(tǒng)可以分為基于主機的和基于網(wǎng)絡(luò)的兩種。基于主機的入侵檢測系統(tǒng)它主要分析主機內(nèi)部的活動，從操作系統(tǒng)和安全審計系統(tǒng)的日志獲取信息，同時分析主機的系統(tǒng)調(diào)用以及文件系統(tǒng)完整性，并對所得的信息進行處理[1]。如果發(fā)現(xiàn)入侵，它將會給以適合的響應(yīng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包為數(shù)據(jù)源。它通常利用工作在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)流。它可以分析一個網(wǎng)段中的所有數(shù)據(jù)包，進行實時分析和響應(yīng)。而且，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)具有操作系統(tǒng)無關(guān)性，可以單獨安裝不會增加主機的負載。

一個典型的入侵檢測系統(tǒng)(IDS)的基本構(gòu)成如圖1所示。

圖1 通用入侵檢測模型

如圖1所示的通用入侵檢測系統(tǒng)模型中，主要由以下幾大部分組成。

數(shù)據(jù)收集器（又可稱為探測器）：主要負責(zé)收集數(shù)據(jù)。探測器的輸入數(shù)據(jù)流包括任何可能包含入侵行為線索的系統(tǒng)數(shù)據(jù)。比如說網(wǎng)絡(luò)數(shù)據(jù)包、日志文件和系統(tǒng)調(diào)用記錄等。探測器將這些數(shù)據(jù)收集起來，然后發(fā)送到檢測器進行處理。

檢測器（又可稱為分析器或檢測引擎），負責(zé)分析和檢測入侵的任務(wù)，并發(fā)出警報信號。

知識庫：提供必要的數(shù)據(jù)信息支持。例如用戶歷史活動檔案，或者檢測規(guī)則集合等。

控制器：根據(jù)警報信號，人工或自動作出反應(yīng)動作。

另外，絕大多數(shù)的入侵檢測系統(tǒng)都會包含一個用戶接口組件，用于觀察系統(tǒng)的運行狀態(tài)合輸出信號，并對系統(tǒng)行為進行控制。

隨著IDS廣泛應(yīng)用和推廣后，對IDS進行測試和評估也十分必要。不論是IDS的設(shè)計者還是使用者都希望有方便的工具，合理的方法對IDS進行科學(xué)，公正并且可信地測試和評估。對于IDS的研制和開發(fā)者來說，對各種IDS進行經(jīng)常性的評估，可以及時了解技術(shù)發(fā)展的現(xiàn)狀和系統(tǒng)存在的不足，從而將研究重點放在關(guān)鍵的技術(shù)問題上，減少系統(tǒng)的不足，提高系統(tǒng)的性能；而對于IDS的使用者來說，由于他們對IDS依賴程度越來越大，所以也希望通過評估來選擇適合自己需要的產(chǎn)品，避免各IDS產(chǎn)品宣傳的誤導(dǎo)。

1 入侵檢測系統(tǒng)形式化描述

根據(jù)計算機信息安全的定義，本文對IDS系統(tǒng)的安全性能給出形式化的描述：[2]

定義1 IDS系統(tǒng)安全是指傳感器向控制臺發(fā)送的信息，數(shù)據(jù)文件存儲的規(guī)則和記錄的數(shù)據(jù)信息以及控制臺向管理員發(fā)送的響應(yīng)信息等的機密性、完整性和可用性。其實：它可用＜S,I,U＞三元組來進行形式化定義：

S：是指信息的機密性，即只能有授權(quán)用戶訪問信息以及對IDS中有用信息進行加密處理；

I：是指信息的完整性，即指防止 IDS系統(tǒng)中存儲與傳輸?shù)男畔⒈恍薷?、?fù)制和破壞，以及保證信息交換的內(nèi)容與順序均證實有效且不可否認；

U：是指信息的可用性，即IDS系統(tǒng)資源和信息能夠持續(xù)有效地工作，以及授權(quán)用戶可以在需要的時間、從需要的地方、以需要的方式來訪問跟蹤相應(yīng)資源。

如果針對三元組中的任何一個元素進行相應(yīng)地操作，則會對IDS系統(tǒng)中信息資源的安全性產(chǎn)生威脅。

定義2 IDS系統(tǒng)安全度是指IDS系統(tǒng)在特定的環(huán)境或條件下，在一定的時間內(nèi)，不會發(fā)生針對IDS系統(tǒng)信息的機密性、完整性以及可用性進行破壞活動或事件的概率。

若以E表示特定的環(huán)境，t表示給定的時間，設(shè)系統(tǒng)從0時刻開始運行，直到T時刻發(fā)生入侵IDS系統(tǒng)的事件，則：。即表示IDS系統(tǒng)在特定的環(huán)境E下的、正常工作到時刻t時的概率。

其中，T是從0時刻開始，系統(tǒng)運行到發(fā)生故障時的時間。根據(jù)定義， (,)MEt具有如下性質(zhì)：

① (,0)1E = ，即在 0時刻，系統(tǒng)尚未遭受到任何入侵事件的攻擊，系統(tǒng)安全度最高；

② M(E,∞ ) = 0 ，即在無限遠的時刻，系統(tǒng)必定將受到入侵；

③ 在時間區(qū)間(0，+∞)上， (,)MEt是單調(diào)下降的，即隨著時間的增加，IDS系統(tǒng)的安全度則相應(yīng)降低。

定義3 IDS系統(tǒng)入侵度是指在特定的環(huán)境或條件下，在一個確定的時間內(nèi)，發(fā)生針對于IDS系統(tǒng)安全性的破壞活動或事件的概率，記為 (,)NEt。由定義可知：，即：

因此， (,)NEt具有與 (,)MEt相似的性質(zhì)：

① N(E , 0) = 0 ，即在0時刻，系統(tǒng)無入侵事件發(fā)生，IDS系統(tǒng)入侵度為0；

② N(E,∞) = 1 ，即在無限遠的時刻，系統(tǒng)必定將受到入侵，入侵度為1；

③ 在時間區(qū)間(0，+∞)上， (,)NEt是單調(diào)上升的，即隨著時間的增加。

IDS系統(tǒng)發(fā)生入侵活動或事件的概率相應(yīng)增加，系統(tǒng)入侵度也相應(yīng)增加。因此，如何有效地提高IDS系統(tǒng)的安全度，并有效地降低IDS系統(tǒng)的入侵度，則是保證IDS系統(tǒng)安全可靠的重要途徑。

2 影響入侵檢測系統(tǒng)性能主要因素

入侵檢測系統(tǒng)的性能分析主要考慮檢測系統(tǒng)的有效性、效率和可用性。有效性研究檢測機制的檢測精確度和系統(tǒng)檢測結(jié)果的可信度，它是開發(fā)設(shè)計和應(yīng)用IDS的前提和目的，是檢測評估IDS的主要指標，效率則從檢測機制的處理數(shù)據(jù)的速度以及經(jīng)濟性的角度來考慮，也就是側(cè)重檢測機制性能價格的改進。[3]可用性主要包括系統(tǒng)的可擴展性、用戶界面的可用性，部署配置程度等方面。有效性是開發(fā)設(shè)計和應(yīng)用IDS的前提和目的，因此也是測試評估IDS的主要指標，但效率和可用性對IDS的性能也起很重要的作用。效率和可用性的要求也體現(xiàn)與IDS設(shè)計的各個環(huán)節(jié)中。

IDS的檢測率、虛警率和檢測可信度是其性能的重要指標。檢測率是指被監(jiān)控系統(tǒng)在收到入侵攻擊時，檢測系統(tǒng)能夠正確報警的概率。虛警率是指檢測系統(tǒng)在檢測時出現(xiàn)虛驚的概率。檢測可信度也就是檢測系統(tǒng)檢測結(jié)果的可信程度，這是測試評估IDS的最重要的指標。

在測試評估IDS的具體實施過程中，除了要IDS的檢測率和虛警率之外，往往還會單獨考慮與這兩個指標密切相關(guān)的一些因素，比如能檢測的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力。顯然，能檢測的入侵特征數(shù)量越多，檢測率也就越高。此外，由于攻擊者為了加大檢測的難度甚至繞過IDS的檢測，常常會發(fā)送一些特別設(shè)計的分組。為了提高IDS檢測率降低IDS的虛警率，IDS常常需要采取一些相應(yīng)的措施，比如對于各種逃避方式增加一些預(yù)處理器等。因為分析單個的數(shù)據(jù)分組會導(dǎo)致許多誤報和漏報，所以增強IDS對數(shù)據(jù)流的重組能力可以提高檢測的精確度。IP碎片重組的評測標準有三個性能：能重組的最大IP分片數(shù)；能同時重組的IP分組數(shù)；能進行重組的最大IP數(shù)據(jù)分組的長度，TCP流重組是為了對完整的網(wǎng)絡(luò)對話進行分析，它是網(wǎng)絡(luò)IDS對應(yīng)用層進行分析的基礎(chǔ)。如：檢查郵件內(nèi)容、檢查FTP傳輸?shù)臄?shù)據(jù)，禁止訪問有害網(wǎng)站，判斷非法HTTP請求等。這兩個能力都會直接影響IDS的檢測可信度。

除此之外，影響IDS性能的還有延遲時間、資源占有率、負荷能力和報警響應(yīng)能力等。延遲時間指的是在攻擊發(fā)生至IDS檢測到入侵之間的延遲時間，延遲時間的長短直接關(guān)系著入侵攻擊破壞的程度。資源的占有率即系統(tǒng)在達到某種檢測有效性時對資源的要求情況。通常，在同等檢測有效性的前提下，對資源的要求越低，IDS的性能越好，檢測入侵的能力也就越強。負荷能力是其設(shè)計的負荷能力，在超出負荷能力的情況下，性能會出現(xiàn)不同程度的下降。比如，在正常情況下IDS可檢測到某攻擊但在負荷大的情況下可能就檢測不出該攻擊，考察檢測系統(tǒng)的負荷能力就是觀察不同大小的網(wǎng)絡(luò)流量、不同強度的 CPU內(nèi)存等系統(tǒng)資源的使用對 IDS的關(guān)鍵指標（比如檢測率、虛警率）的影響。日志、報警、報告以及響應(yīng)能力。日志能力是指檢測系統(tǒng)保存日志的能力、按照特定要求選取日志內(nèi)容的能力。報警能力是指在檢測到入侵后，向其它部件、人員發(fā)送報警信號的能力以及在報警中附加信息的能力。報告能力是指產(chǎn)生入侵行為報告、提供查詢報告、創(chuàng)建和保存報告的能力。響應(yīng)能力是指在檢測到入侵后進一步處理的能力，這包括阻斷入侵、跟蹤入侵者、記錄入侵證據(jù)等。

3 IDS魯棒性分析

魯棒性是指系統(tǒng)中存在的可以被入侵者利用的弱點和缺陷，以及系統(tǒng)對某一個特定的威脅、攻擊或危險事件的敏感性和受其威脅或攻擊的可能性。IDS系統(tǒng)作為一種對入侵活動進行檢測的軟件和硬件的集合，其自身也必然存在著漏洞和弱點。[4]為了衡量IDS系統(tǒng)魯棒性以及抗攻擊能力的強弱，下面對IDS系統(tǒng)魯棒度進行分析。

定義4 IDS系統(tǒng)的魯棒度是指在一定的時間和條件范圍內(nèi)，IDS系統(tǒng)對某種特定漏洞的敏感度，以及針對該漏洞對IDS系統(tǒng)產(chǎn)生入侵的可能性，即：

其中，敏感度 S v(E)是指IDS系統(tǒng)能夠被檢測或察覺出系統(tǒng)所存在的漏洞及遭到相關(guān)的入侵和破壞行為，以及IDS系統(tǒng)被破壞到什么程度才會造成系統(tǒng)失效或死機的一種衡量指標；而可能性也就是指針對這種漏洞V的入侵度 N v(E,t)。因此，IDS系統(tǒng)的魯棒度 D (V , 5,E,t)表示在一定的時間與環(huán)境下，IDS系統(tǒng)對漏洞或入侵的敏感度與利用該漏洞所進行入侵度的乘積。由于 S v(E)是一個與時間無關(guān)且只與系統(tǒng)自身環(huán)境有關(guān)的量，所以 S v(E)在任何時刻均為一個不為0的量，即魯棒度的性質(zhì)與入侵度的性質(zhì)相似：

實踐表明，針對IDS系統(tǒng)的入侵活動是不可避免的，但是為了有效地降低系統(tǒng)入侵率以及魯棒度，提高系統(tǒng)的感知度是首要的解決方案，即增強IDS系統(tǒng)對漏洞的檢測能力，以及針對這些漏洞進行入侵的活動和事件的響應(yīng)能力。[5]另外，增強系統(tǒng)的自身修復(fù)能力、容錯能力與抗攻擊能力，以及減少系統(tǒng)的開銷也是IDS設(shè)計的重要內(nèi)容。

IDS體系結(jié)構(gòu)的魯棒性主要包括三個方面：平臺結(jié)構(gòu)漏洞、通信協(xié)議的漏洞以及IDS系統(tǒng)自身的魯棒性。其中平臺結(jié)構(gòu)漏洞以及通信協(xié)議的漏洞主要是指支持IDS的操作系統(tǒng)平臺以及IDS進行數(shù)據(jù)通信過程中所使用的協(xié)議所存在的安全漏洞，大量的文獻對此已做出了深入的研究；而IDS系統(tǒng)體系結(jié)構(gòu)自身的安全性已成為業(yè)界關(guān)注的核心，盡管 CIDF體系結(jié)構(gòu)已經(jīng)被大多數(shù)企業(yè)所接受，但IDS體系結(jié)構(gòu)的標準仍未制定，CIDF中的四個模塊間在通信過程中傳輸?shù)臄?shù)據(jù)也會受到監(jiān)聽或更改。[6]因此，為了保證IDS在數(shù)據(jù)與傳輸過程的安全性，一方面需要在傳輸過程中對數(shù)據(jù)加密；另一方面需要對IDS的不同主機間的通信進行安全認證、完整性檢驗和數(shù)字簽名，并監(jiān)視網(wǎng)絡(luò)流量，使IDS系統(tǒng)達到負載平衡。另外，基于主機的入侵檢測系統(tǒng)采用服務(wù)器操作系統(tǒng)的檢測序列作為主要輸入源來檢測侵入行為，而大多數(shù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)則以監(jiān)控網(wǎng)絡(luò)故障作為檢測機制，但有些則用基于服務(wù)器的檢測模式和典型的入侵檢測系統(tǒng)靜態(tài)異常算法。早期的入侵檢測系統(tǒng)模型設(shè)計用來監(jiān)控單一服務(wù)器，是基于主機的入侵檢測系統(tǒng)；近期的更多模型則集中用于監(jiān)控通過網(wǎng)絡(luò)互連的多服務(wù)器，是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。[7]由于 NIDS的傳感器只對本網(wǎng)段的通信進行過濾，而不能檢測其它網(wǎng)段的數(shù)據(jù)包，所以在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)檢測范圍的局限，從而設(shè)計一個新的IDS體系結(jié)構(gòu)模型并有效地部署整個系統(tǒng)將面臨著新的挑戰(zhàn)。

4 結(jié)語

雖然 IDS及其相關(guān)技術(shù)已獲得了很大的進展，但關(guān)于IDS性能檢測及其相關(guān)評測工具、標準以及測試環(huán)境等方面的研究工作還很缺乏。但是，對IDS進行定性和定量的分析，實踐意義重大。有助于更好的刻畫IDS的特征。通過測試評估，可更好地認識理解IDS的處理方法、所需資源及環(huán)境；領(lǐng)會各檢測方法之間的關(guān)系；可以對IDS的各項性能進行評估，確定IDS的性能級別及對運行環(huán)境的影響；最后還能利用測試和評估結(jié)果，可推斷IDS發(fā)展的趨勢，對IDS進行改善，發(fā)現(xiàn)系統(tǒng)中存在的問題并進行改進，提高系統(tǒng)的各項性能指標。

[1] 汪洋,龔儉.入侵檢測系統(tǒng)評估方法綜述[J].計算機工程與應(yīng)用,2003(32):171-173.

[2] 諸葛建偉,王大為,陳昱,等.基于 D-S證據(jù)理論的網(wǎng)絡(luò)異常檢測方法[J].軟件學(xué)報,2006(03):463-471.

[3] 孫美鳳,龔儉,楊望.基于特征的入侵檢測系統(tǒng)的評估新方法[J].通信學(xué)報,2007,28(11):6-14.

[4] 陳友,沈華偉,李洋,等.一種高效的面向輕量級入侵檢測系統(tǒng)的特征選擇算法[J].計算機學(xué)報,2007,30(08):1398-1408.

[5] 姚君蘭.入侵檢測技術(shù)及其發(fā)展趨勢[J].信息技術(shù),2006,30(04):172-175.

[6] 田俊峰,劉濤, 陳小祥.入侵檢測系統(tǒng)的評估方法與研究[J].計算機工程與應(yīng)用,2008,44(09):113-117.

[7] 王永全.入侵檢測系統(tǒng)（IDS）的研究現(xiàn)狀和展望[J].通信技術(shù),2008,41(11):39-146.