網絡入侵智能識別的相關技術與應用

朱濤　馬駿

[摘 要]入侵檢測識別是當今網絡安全研究的熱點。近年來，入侵檢測系統的研究在智能化和分布式兩個方向有一定的發(fā)展，取得了很多成果，但依然存在一些問題。本文主要探討網絡入侵智能識別的相關技術與應用。

[關鍵詞]網絡入侵 智能識別 技術

近年來，互聯網在國際上得到了飛速的發(fā)展，其重要性也與日俱增，但同時網絡本身的安全性問題也就顯得更為重要。網絡安全的一個主要威脅就是通過網絡對信息系統的入侵。

一、網絡入侵的內涵與特征

網絡入侵的定義為：試圖破壞信息系統的完整性、機密性或可信性的任何網絡活動的集合。相對于傳統的對信息系統的破壞手段，網絡入侵具有以下特點：1.沒有地域和時間的限制。跨越國界的攻擊就同在現場一樣方便；2.攻擊迅速，作案只要成功，幾秒鐘到幾分鐘即達到破壞效果；3.通過網絡的攻擊往往混雜在大量正常的網絡活動之間，隱蔽性強；4.入侵手段更加隱蔽和復雜。

由于網絡具有上述特點，如何對其入侵識別及防范成為眾多網絡安全手段的核心技術。大致來看網絡入侵分為以下幾種類型：1.利用網絡協議的不完善進行的攻擊；2.利用操作系統協議棧實現的缺陷進行的攻擊；3.通過對信息系統進行試探和掃描，試圖發(fā)現帳戶口令或系統的缺陷，然后入侵系統；4.惡意使用正常的網絡操作，造成信息系統崩潰和不能正常提供服務的拒絕服務攻擊；5.利用特殊的命令序列進行攻擊；6.利用正常的網絡操作，向目的系統傳送惡意的信息，進攻系統。

二、網絡入侵智能識別的相關技術

常規(guī)形式上從網絡安全測驗角度上去對入侵識別技術分類可包括為兩類：一類是誤用入侵識別；另一類就是異常識別。誤用識別實質上可以說是特征性識別，主要目的是確立攻擊技術含量從而構建對特征庫的惡意攻擊，然后以其攻擊方式對照系統進行比較，以確定攻擊發(fā)生與否；另一類的異常識別，異常識別就是指與入侵識別行為的差別的異同行為，因此，無差別的特征庫組合定義與更新是異常入侵識別的關鍵。

1.異常識別特性

異常識別主要針對識別行為而言，通過假定的人為入侵行為對系統的特征庫做出有效辨認，如果存在入侵行為痕跡，用戶行為和系統自身行為不同，則可以從中區(qū)分行為的差異，也就可以判定為入侵。

2.誤用入侵識別特性

誤用入侵識別技術，在與計算機系統互相交流信息過程之中，其設立了專家系統、模式匹配與協議驗證，并基于模型、鍵盤監(jiān)控、模型推論、狀態(tài)切換分析、Petri網實態(tài)切換等方法。

（1）基于專家系統的誤用識別方法

現今網絡很多入侵識別都采用的是此類方法技術，其原理是將入侵行為進行專門的編碼，然后制定成相應的專家系統規(guī)則，各個規(guī)則均鑒于“條件THEN動作”的形式，并且它可以通過任意一個條件就可以觸發(fā)，于此，專家系統就會立即采取相關動作進行行為進行高效處理。

（2）基于狀態(tài)轉換分析的誤用識別方法

所謂狀態(tài)轉換分析，系指把攻擊行為表征為被監(jiān)控的狀態(tài)轉移，根據此狀態(tài)轉移條件來判定各種攻擊狀態(tài)，攻擊狀態(tài)以及行為和記錄無需對應。

3.免疫學運用入侵識別技術

計算技術的逐步成熟與完善，使計算機技術不斷運用于各個領域行業(yè)，由此，網絡入侵識別技術也同步初獲成果，其具體應研究重點表現在免疫學的推行與廣泛應用。生物免疫系統與計算機內部安全系統頗為相似，計算機的網絡安全環(huán)境就猶如生物免疫系統，就好比生物免疫系統對抗病原體，而計算機入侵識別系統針對網絡盛行的病毒一樣，結合此原理，計算機網絡入侵識別技術運用到生物免疫學當中，并且兩相結合，原理對比、分析，從而確定以生物免疫學系統原理為核心去規(guī)劃設計出計算機入侵識別技術的科學研究方向；以生物免疫學系統理論構建出入侵識別技術的發(fā)展體系，即為定義自身、生成識別器、識別入侵三方面的技術程序。定義自身就是指計算機判定的正常行為模式化為本體，對本體逐步構建成常規(guī)形式下的本體特征庫，而識別可分為成熟識別和未成熟識別，就是說成熟識別就是系統實行常規(guī)行為，判定為“免疫”的行為過程，反之，未成熟識別，就需要計算機核對數據特征庫進行鑒定；如果在與特征庫里的認定行為不符、不相匹配，則判定為人為利用計算機技術手段入侵系統；與此同時，系統可自動采取應急措施來處理入侵行為。

三、網絡入侵的防御系統

Linux操作系統一般使用iptables構建基于netfilter框架的防火墻，來實現數據包處理、數據包過濾和地址轉換等功能。Snort系統包括數據包解析器、檢測引擎和報警輸出三個子系統組成。Libpcap提供數據包捕獲和過濾的機制。因為Snort 源代碼是開放的，人們可以對其進行修改和定制，這樣可以較容易地實現與Linux系統防火墻netfilter/iptables系統聯動。在Snort檢測到網絡攻擊后，不僅報警和記錄日志，也可以對攻擊包做出丟棄或阻斷等響應，來保護主機的安全運行。將netfiletr/iptables與Snort結合是IPS最直接的一種實現方案，可以利用Linux系統中進程間的通信機制可以實現它們之間的聯動。這就是Snort和netfilter/iptables構成的入侵防御系統體系結構。snort與netfilter/iptables通信采用內網地址。將與snort主機相連的交換機端口作為鏡像端口，確保所有數據包都能被捕獲。在入侵防御系統安全體系之中，入侵檢測系統發(fā)現需阻斷的入侵行為時，就會立即通知防火墻作出規(guī)則的動態(tài)修改，對攻擊源地址進行及時封堵，以達到主動安全防御的目的。防火墻也可以彌補入侵檢測系統自我防護機制差的弱點[3]。由于入侵檢測系統置于防火墻之后，不必分析已被防火墻攔截的流量，不僅減輕了負載也減少了受到拒絕服務攻擊的可能，提高了入侵檢測自身的安全性。該系統在Linux系統下運行，使用Snort作為入侵檢測模塊，運用告警融合和過濾模塊對Snort的輸出告警進行處理。并將處理結果與主機系統的漏洞信息庫進行比對，提取出對主機系統真正有威脅的入侵行為。最后由防御模塊生成防火墻的阻塞規(guī)則來阻斷惡意攻擊行為。

參考文獻：

[1]田軍，俞海英，伍紅兵. 入侵檢測技術研究[J]. 電腦知識與技術，2010（7）.

[2]壬強. 計算機安全入侵檢測方案的實現[J]. 計算機與信息技術，2007，14：28 8，32 0.

[3]夏炎，尹慧文. 網絡入侵檢測技術研究[J]. 沈陽工程學院學報：自然科學版，2008，4（4）：362～363.