網絡入侵異常檢測技術研究

【摘要】計算機網絡的快速發展和廣泛應用，使得網絡安全防范問題日益突出。為了保證計算機網絡和信息的安全，掌握入侵檢測方法，采取切實可行的對策和措施，保障網絡及信息的安全。入侵檢測是一種嘗試通過觀察行為，安全日志或審計數據來檢測入侵的技術。它不僅檢測來自外部的入侵行為，同時也對內部的未授權活動進行監督。

【關鍵詞】IDS異常檢測誤用檢測

1 引言

計算機網絡安全不僅關系到國計民生，還與國家安全密切相關。隨著計算機網絡的廣泛應用和網絡之間數據傳輸的急劇增加，網絡安全的重要性尤為突出。因此，現代網絡技術中最關鍵也最容易被忽視的安全性問題，已經成為各國關注的焦點，也成為熱門研究和人才需求的新領域。

入侵檢測技術是為保證計算機系統的安全而設計并配置的一種能夠及時發現并報告系統中未授權現象或異常現象的技術，是一種用于檢測計算機網絡和系統中違反安全策略行為的技術。本文分析了基于模式匹配和統計分析的入侵檢測方法。

在一個實用的入侵檢測系統中，最重要的部分是檢測方法。檢測技術主要分為誤用檢測和異常檢測兩大類，模式匹配技術屬于誤用檢測，也是最常用的一種數據檢測技術。

本文中另研究了網絡入侵異常檢測新技術網絡流量異常檢測。

2 入侵檢測

2.1入侵檢測簡介

入侵檢測系統作為一種專門用來檢測和防范入侵的安全部件，無論是在理論上，還是在產品開發上，近幾年都取得了很大的進展。現在，入侵檢測系統已經成為整個安全防御體系的重要組成部分，是在防火墻之后的又一道安全閘門。

目前通常說的入侵就是指對系統資源的非授權操作，可造成系統數據的丟失和破壞、甚至會造成系統禁止對合法用戶服務等問題。美國國際計算機安全協會（ICSA）將入侵檢測定義為：通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。

違反安全策略的行為有入侵和濫用。通常來說入侵檢測是對計算機和網絡資源上的惡意使用行為進行識別和相應處理的過程，具有智能監控、實時探測、動態響應、易于配置等特點。入侵檢測的目標就是通過檢查操作系統的安全日志或網絡數據包信息來檢測系統中違背安全策略或危及系統安全的行為或活動，從而保護信息系統的資源免受拒絕服務攻擊、防止系統數據的泄漏、篡改和破壞。傳統安全機制大多針對的是外部入侵者，而入侵檢測不僅可以檢測來自外部的攻擊，同時也可以監控內部用戶的非授權行為。

在入侵檢測中，主要的分析方法有兩大類：一類是以系統的正常行為建模，稱為異常檢測技術；另一類是以系統的不正常行為建模，稱為誤用檢測技術。誤用檢測對檢測已知攻擊比較有效，異常檢測可以在一定程度上檢測未知攻擊。

2.2 誤用檢測和異常檢測的特點

誤用檢測可以有效地檢測到已知的攻擊，產生的誤報比較少，但需要不斷地更新攻擊特征庫，才能夠檢測出比較新的攻擊，因此，系統的靈活性和自適應性比較差，也比較麻煩，系統的漏報比較多。

異常檢測在沒有詳細的特定知識條件下，可以檢測出攻擊的特征，產生的信息可以作為誤用檢測器的特征輸入信息，但這種檢測方式產生的誤報比較多。

對于這兩種入侵檢測的分析方法，各有一種有代表性的檢測方法，它們分別是模式匹配和統計分析。

模式匹配的方法屬于誤用檢測，它是將收集到的信息與已知的網絡入侵及系統誤用模式數據庫進行比較，匹配，從而發現違背安全策略的行為。模式匹配的一大優點是只需收集相關的數據集合，系統負擔顯著減少，且技術已相當成熟。但是，該方法存在的弱點是需要不斷地升級以對付不斷出現的黑客攻擊手法，它不能檢測到從未出現過的黑客攻擊手段。

統計分析方法屬于異常檢測。它首先為系統對象（如用戶，文件，目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數，操作失敗次數等）。測量屬性的平均值將被用來與網絡和系統的行為進行比較，如果觀察值在正常值范圍之外，就認為有入侵發生。統計分析的優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。

3 入侵檢測系統

3.1入侵檢測系統簡介

入侵檢測系統（Intrusion Detection System ，IDS）是通過分析系統安全相關數據來檢測入侵活動的系統。可以識別針對計算機系統和網絡系統，或更廣泛意義上的信息系統的非法攻擊，包括檢測外界非法入侵者的惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法行動。入侵檢測系統在功能結構上基本一致，由數據采集、數據分析及用戶界面等組成，不同的入侵檢測系統只是在分析采集數據方法及數據類型等方面有所不同。

作為一種主動防護技術，入侵檢測系統可以在攻擊發生時記錄攻擊者的行為、發出報警，必要時還可以追蹤攻擊者，可以獨立運行，也可以與防火墻等安全技術協同工作，更好地保護網絡安全。一個入侵檢測系統能夠完成監控分析用戶和系統活動，發現入侵企圖或異常現象，記錄、報警和響應等。

目前的入侵檢測系統主要分為兩類：

⑴基于主機的入侵檢測系統：主要用于保護某一臺主機的資源不被破壞。

⑵基于網絡的入侵檢測系統：主要用戶保護整個網絡不被破壞。

3.2入侵檢測信息收集技術

通常來說，IDS可以通過兩種方式獲得信息：

（1）網絡入侵檢測技術模塊方式

當數據從網絡的一端傳向另一端時，是被封裝成報文來傳送。每個包包括了數據中的一段內容，在到達另一端之后，這些包再被組裝起來。因此，可以通過檢測網絡中的報文來達到獲得信息的目的。通常來說，檢測技術只能夠檢測到本機的報文，如果要監視其他機器的報文，需要把網卡設置為混雜模式。通過在網絡中放置一塊入侵檢測技術模塊，就能監視受保護機器的數據報文。在受保護的機器即將受到攻擊之前，入侵檢測技術模塊可最先發現它。在實際的應用中，網絡結構相差極大，用戶只有通過具體情況分別設計實施方案，才能讓網絡入侵檢測技術模塊檢測到需要保護機器的狀況。同時，網絡入侵檢測技術模塊得到的只是網絡報文，獲得的信息沒有主機入侵檢測技術模塊全面，所以檢測技術的結果也沒有主機入侵檢測技術模塊準確。網絡入侵檢測技術模塊方式的優點是方便且不增加受保護機器的負擔。在網段中只要安裝一臺網絡入侵檢測技術模塊即可。

（2）主機入侵檢測技術模塊方式

這種技術是在受保護的機器上安裝了主機入侵檢測技術模塊，專門負責收集受保護機器上的信息。它的信息來源可以是特定應用程序日志和系統日志，也可以是系統調用和捕獲特定的進程等。這種入侵檢測技術模塊方式的缺點是太過依賴特定的系統平臺。用戶必須針對不同的操作系統開發相應的模塊。

3.3入侵檢測信號分析技術

通常來說，IDS有一個知識庫，它保存有特定的安全策略。IDS得到信息后，與知識庫中的安全策略相互比較，從而發現違規的安全策略的行為。

定義知識庫的方式有很多種，最常見的方法是檢測技術報文中是否含有攻擊特征。此方式的實現由簡單到復雜分為幾個層次，主要區別在于檢測技術的正確性和效率性。比較簡單的實現方法是把攻擊特征和報文的數據進行字符串比較，如有發現匹配即報警。但是此做法使得準確性和工作效率大大降低。

構建知識庫的真正目標是正確定義入侵的行為，這是IDS的核心，也是IDS和一般的網上行為管理軟件的區別。

雖然這兩種技術都可以監視網絡行為，但IDS擴大了記錄攻擊特征的知識庫，因此比網上行為管理軟件提高了一個檔次。不過定義攻擊特征是一種專業性極強的工作，故須具備豐富的安全背景的專家從大量的攻擊行為中提煉出常用的攻擊特征，攻擊特征的準確性直接決定了IDS檢測技術的準確性。

3.4網絡流量的異常檢測

3.4.1需要網絡流量異常檢測的原因

誤用檢測的檢測準確率很高，可以給出詳細的說明和攻擊類型，它需要時常維護一個攻擊模式庫，價格也不菲；又只能檢測出已知的攻擊。所以異常檢測就出現以應對誤用檢測所面臨的這些問題。

現在所使用的基于流量異常的檢測有許多，但傳統的流量異常檢測方法都存在著一定的問題：較差的可擴展性；不清晰的報警意義；共享性差。

鑒于以上問題，現提出了一種比較普遍的基于網絡流量的異常檢測方法。它使用無狀態保留的模式和基本特征矢量來描述網絡流量的狀態，且通過使用基于攻擊特點的流量特征組合從而使得報警意義更加清晰。

3.4.2網絡流量異常檢測的原理

網絡流量異常檢測的主體思想是將網絡流量特征矢量分層劃分為二層：基本特征集和組合特征集。前者是從網絡流量中抽取的一些基本數據，如協議信息、流量大小、端口流量信息等等，都能一定程度上描述網絡流量狀態；后者則能根據情況實時改變設置。

對于一種特定的攻擊行為，它就能將該攻擊的基本特征作為識別。例如SYN FLOOD攻擊，組合特征集就能抽取其SYN包個數、平均包長等等作為識別方法。通過曾經遇到過的基本特征集的數據對攻擊行為進行學習，即能獲得這種攻擊組合特征集的異常和正常模型，從而通過該模型檢測出這種攻擊行為。同時通過學習還能優化認為選取的攻擊組合特征，從而更能體現攻擊行為的特點，圖3.1所示。

圖3.1 基于網絡流量進行異常檢測的原理

4結語

在計算機技術飛速發展的今天，入侵檢測系統也在不斷的成長，也有人們的質疑，甚至有人提到了IDS已死，更看好衍生出的IPS等等。但是對于一些高需求場合，獨立的入侵檢測依然是必須的，雖然能夠和防火墻進行聯動的部署，可防火墻的部署在外網和主機之間，其大量的資源消耗在入侵檢測的分析和記錄中，對于防火墻功能的效率來說是明顯不利的，所以單獨的入侵檢測產品依然有市場，有它存在的意義。

參考文獻

[1] 賈鐵軍，沈學東等.網絡安全技術及應用[M].北京:機械工業出版社，2009.

[2] 李劍.入侵檢測技術[M].北京:高等教育出版社，2008.

[3] 唐正軍，李建華等.入侵檢測技術[M].北京:清華大學出版社，2008.

[4] 韓東海.入侵檢測系統及實例剖析[M].北京:清華大學出版社，2002.

[5] Jack Koziol.Snort入侵檢測實用解決方案[M].北京:機械工業出版社，2005.