網絡入侵智能識別的相關技術與應用

朱濤　馬駿

[摘 要]入侵檢測識別是當今網絡安全研究的熱點。近年來，入侵檢測系統的研究在智能化和分布式兩個方向有一定的發展，取得了很多成果，但依然存在一些問題。本文主要探討網絡入侵智能識別的相關技術與應用。

[關鍵詞]網絡入侵 智能識別 技術

近年來，互聯網在國際上得到了飛速的發展，其重要性也與日俱增，但同時網絡本身的安全性問題也就顯得更為重要。網絡安全的一個主要威脅就是通過網絡對信息系統的入侵。

一、網絡入侵的內涵與特征

網絡入侵的定義為：試圖破壞信息系統的完整性、機密性或可信性的任何網絡活動的集合。相對于傳統的對信息系統的破壞手段，網絡入侵具有以下特點：1.沒有地域和時間的限制。跨越國界的攻擊就同在現場一樣方便；2.攻擊迅速，作案只要成功，幾秒鐘到幾分鐘即達到破壞效果；3.通過網絡的攻擊往往混雜在大量正常的網絡活動之間，隱蔽性強；4.入侵手段更加隱蔽和復雜。

由于網絡具有上述特點，如何對其入侵識別及防范成為眾多網絡安全手段的核心技術。大致來看網絡入侵分為以下幾種類型：1.利用網絡協議的不完善進行的攻擊；2.利用操作系統協議棧實現的缺陷進行的攻擊；3.通過對信息系統進行試探和掃描，試圖發現帳戶口令或系統的缺陷，然后入侵系統；4.惡意使用正常的網絡操作，造成信息系統崩潰和不能正常提供服務的拒絕服務攻擊；5.利用特殊的命令序列進行攻擊；6.利用正常的網絡操作，向目的系統傳送惡意的信息，進攻系統。

二、網絡入侵智能識別的相關技術

常規形式上從網絡安全測驗角度上去對入侵識別技術分類可包括為兩類：一類是誤用入侵識別；另一類就是異常識別。誤用識別實質上可以說是特征性識別，主要目的是確立攻擊技術含量從而構建對特征庫的惡意攻擊，然后以其攻擊方式對照系統進行比較，以確定攻擊發生與否；另一類的異常識別，異常識別就是指與入侵識別行為的差別的異同行為，因此，無差別的特征庫組合定義與更新是異常入侵識別的關鍵。

1.異常識別特性

異常識別主要針對識別行為而言，通過假定的人為入侵行為對系統的特征庫做出有效辨認，如果存在入侵行為痕跡，用戶行為和系統自身行為不同，則可以從中區分行為的差異，也就可以判定為入侵。

2.誤用入侵識別特性

誤用入侵識別技術，在與計算機系統互相交流信息過程之中，其設立了專家系統、模式匹配與協議驗證，并基于模型、鍵盤監控、模型推論、狀態切換分析、Petri網實態切換等方法。

（1）基于專家系統的誤用識別方法

現今網絡很多入侵識別都采用的是此類方法技術，其原理是將入侵行為進行專門的編碼，然后制定成相應的專家系統規則，各個規則均鑒于“條件THEN動作”的形式，并且它可以通過任意一個條件就可以觸發，于此，專家系統就會立即采取相關動作進行行為進行高效處理。

（2）基于狀態轉換分析的誤用識別方法

所謂狀態轉換分析，系指把攻擊行為表征為被監控的狀態轉移，根據此狀態轉移條件來判定各種攻擊狀態，攻擊狀態以及行為和記錄無需對應。

3.免疫學運用入侵識別技術

計算技術的逐步成熟與完善，使計算機技術不斷運用于各個領域行業，由此，網絡入侵識別技術也同步初獲成果，其具體應研究重點表現在免疫學的推行與廣泛應用。生物免疫系統與計算機內部安全系統頗為相似，計算機的網絡安全環境就猶如生物免疫系統，就好比生物免疫系統對抗病原體，而計算機入侵識別系統針對網絡盛行的病毒一樣，結合此原理，計算機網絡入侵識別技術運用到生物免疫學當中，并且兩相結合，原理對比、分析，從而確定以生物免疫學系統原理為核心去規劃設計出計算機入侵識別技術的科學研究方向；以生物免疫學系統理論構建出入侵識別技術的發展體系，即為定義自身、生成識別器、識別入侵三方面的技術程序。定義自身就是指計算機判定的正常行為模式化為本體，對本體逐步構建成常規形式下的本體特征庫，而識別可分為成熟識別和未成熟識別，就是說成熟識別就是系統實行常規行為，判定為“免疫”的行為過程，反之，未成熟識別，就需要計算機核對數據特征庫進行鑒定；如果在與特征庫里的認定行為不符、不相匹配，則判定為人為利用計算機技術手段入侵系統；與此同時，系統可自動采取應急措施來處理入侵行為。

三、網絡入侵的防御系統

Linux操作系統一般使用iptables構建基于netfilter框架的防火墻，來實現數據包處理、數據包過濾和地址轉換等功能。Snort系統包括數據包解析器、檢測引擎和報警輸出三個子系統組成。Libpcap提供數據包捕獲和過濾的機制。因為Snort 源代碼是開放的，人們可以對其進行修改和定制，這樣可以較容易地實現與Linux系統防火墻netfilter/iptables系統聯動。在Snort檢測到網絡攻擊后，不僅報警和記錄日志，也可以對攻擊包做出丟棄或阻斷等響應，來保護主機的安全運行。將netfiletr/iptables與Snort結合是IPS最直接的一種實現方案，可以利用Linux系統中進程間的通信機制可以實現它們之間的聯動。這就是Snort和netfilter/iptables構成的入侵防御系統體系結構。snort與netfilter/iptables通信采用內網地址。將與snort主機相連的交換機端口作為鏡像端口，確保所有數據包都能被捕獲。在入侵防御系統安全體系之中，入侵檢測系統發現需阻斷的入侵行為時，就會立即通知防火墻作出規則的動態修改，對攻擊源地址進行及時封堵，以達到主動安全防御的目的。防火墻也可以彌補入侵檢測系統自我防護機制差的弱點[3]。由于入侵檢測系統置于防火墻之后，不必分析已被防火墻攔截的流量，不僅減輕了負載也減少了受到拒絕服務攻擊的可能，提高了入侵檢測自身的安全性。該系統在Linux系統下運行，使用Snort作為入侵檢測模塊，運用告警融合和過濾模塊對Snort的輸出告警進行處理。并將處理結果與主機系統的漏洞信息庫進行比對，提取出對主機系統真正有威脅的入侵行為。最后由防御模塊生成防火墻的阻塞規則來阻斷惡意攻擊行為。

參考文獻：

[1]田軍，俞海英，伍紅兵. 入侵檢測技術研究[J]. 電腦知識與技術，2010（7）.

[2]壬強. 計算機安全入侵檢測方案的實現[J]. 計算機與信息技術，2007，14：28 8，32 0.

[3]夏炎，尹慧文. 網絡入侵檢測技術研究[J]. 沈陽工程學院學報：自然科學版，2008，4（4）：362～363.