基于網絡的入侵檢測模型和方法研究

胡莉萍

（浙江橫店影視職業學院，東陽 322118）

0 引言

信息網絡如今已成為全世界范圍內的一個信息交換和資源共享的平臺，它有著開發和共享這個特性，但是這個特性也成了信息網絡的先天安全缺陷。另一方面，網絡上的黑客站點很多，黑客們的攻擊手段也很高明。而我們國家在這個方面的法律法規卻相對比較滯后。因此很多大公司都曾被黑客入侵。信息安全問題已不容我們忽視。本論文將對網絡安全中的入侵檢測問題進行研究，提出以入侵檢測為核心的動態的網絡安全解決方案。

1 入侵檢測通用模型

入侵檢測技術是從計算機網絡或系統若干關鍵點中收集分析相關信息，通過分析來得出系統或網絡是否已經被攻擊或已存在安全隱患，同時要作出響應的一種動態安全防御技術。它有實時性、動態檢測性和主動防御性，可以彌補靜態防御工具的缺點，如可將防火墻和入侵檢測系統結合起來使用來共同抵擋網絡內外的攻擊。

1987年Dorothy E.Denning提出了名為IDES的入侵檢測模型。該模型由六個部分組成：主體（指在目標系統上活動的實體）、對象即客體、審計記錄（主體對客體實施操作時系統產生的數據）、活動檔案（主體相對于客體的正常行為用度量和統計模型來表示）、異常記錄和活動規則（條件和動作）。

Denning模型定義了事件計數器、資源測量器、間隔定時器這3種度量。并提出了可操作模型、多變量模型、時間序列模型、均值和標準差模型和馬爾可夫過程模型這5種統計模型。Denning模型會對系統審計數據進行統計分析從而得出單個用戶或一組用戶的正常的行為特征，模型通過將這些正常的行為特征與系統中的審計數據進行比較，如果不相同的內容超過了規定的范圍就可得出是有入侵了。這個模型成了其后的許多異常檢測方法的基礎。該模型如圖1所示。

圖1 Denning入侵檢測模型

2 層次化入侵檢測模型

現今比較常見和成熟的是來源于誤用檢測和異常檢測的層次化入侵檢測模型。誤用檢測往往是針對非安全行為，而異常檢測則針對安全行為，層次化入侵檢測模型則既可以通過對攻擊行為的分析檢測出已知入侵，同時又可以通過對安全策略庫和疑似入侵的行為進行模式匹配來檢測出未知入侵種類。

誤用檢測和異常檢測相結合就構成了層次化的模型，這種模型通過對入侵行為的逐步分析和處理，可以將大多數的攻擊行為檢測出來，層次化入侵檢測模型分為入侵行為檢測和入侵結果檢測兩部分，整個過程主要分成入侵特征提取和入侵行為分析。層次化入侵檢測模型如圖2所示，攻擊特征的提取和行為分析都結合在層次化入侵檢測模型的整個體系結構中，其中入侵特征提取代表了基于知識的入侵檢測思想和入侵行為分析則代表基于行為的檢測思想，入侵特征提取用于檢測未知入侵和入侵行為分析則用于監控已知的入侵。層次化入侵檢測模型如圖2所示。

圖2 層次化入侵檢測體系結構

3 CIDF通用入侵檢測框架

CIDF由美國加州大學戴維斯分校計算機安全實驗室于1997年初提出。CIDF將入侵檢測系統分為4個基本組件：事件產生器、事件分析器、響應單元、事件數據庫，以上這4個組件中的事件指系統需要分析的數據如網絡中的數據包或從系統日志中得到的信息。這些組件之間采用統一入侵檢測對象GIDO這個標準格式進行數據交換，因此這些組件在其他環境中只需要將典型的環境特征轉換為GIDO格式就可以使用。雖然CIDF標準并沒有正式確立，但各IDS廠商都在按照CIDF進行信息交換的標準化工作。

1）事件產生器

事件產生器負責從整個計算環境中收集數據也就是相關事件（Event），并將這些數據轉換成GIDO格式傳送給其他組件。

2）事件分析器

事件分析器的任務是分析從其他組件收到的CIDF的GIDO，并將得到的分析結果傳送給其他組件。

3）事件數據庫

事件數據庫負責存儲系統需要的時候使用的各種中間和最終事件的數據。

4）響應單元

響應單元是對分析結果做出諸如威脅報警、殺死相關進程等反應的功能單元。

CIDF的體系結構如圖3所示。

圖3 CIDF的體系結構

4 入侵檢測方法

1）誤用檢測 (Misuse Detection)。

誤用檢測將所有觀測到的和目標對象有關的用戶行為同通過分析各種已知的攻擊方法、手段和漏洞組建起來的入侵模式庫進行比較，如果發現其行為與入侵模式庫的某種入侵模式匹配，就可判定是入侵行為。這種方法準確度較高，因此目前幾種商用的IDS如Snort、Bro基本都使用它。當然它也存在一定的缺陷，那就是對入侵特征模式庫太過依賴，如果模式庫本身并不完整或不能得到及時更新，那么就很容易發生漏報事件，另外隨著入侵行為的添加，模式庫的容量也會不繼擴大，這也必然會加重系統的負擔和降低發現入侵行的效率。目前常用的誤用檢測技術有專家系統（Expert Systems）、模式匹配（Pattern Matching）和基于Petri網分析的濫用入侵檢測方法等。一種比較典型的誤用入侵檢測系統模型如圖4所示。

2）異常檢測（Anomaly Detection）

異常檢測技術首先將不符合對象正常、合法的所有活動判定為入侵行為，為了判定這種不正常現象，異常檢測技術得對正常狀態下的系統行為建立起行為模型，但建立模型的過程是復雜且動態變化的，在已建立起行為模型的基礎上，將從系統中觀測到的與目標對象相關的活動與之進行比較就可得出哪些是可疑的入侵行為。異常檢測技術存在著許多不確定性和誤警率也較高，這種技術目前還主要停留在研究階段，但這一思想的本質對我們研究和設計NIDS有著十分重要的作用。比較成熟的異常檢測技術有統計分析（Statistioal Measures）和神經網絡技術（Neural Networks）。當然還有其它的一些異常檢測方法，如基于數據挖掘（DataMining）的、基于計算機免疫學的異常檢測方法等。一種比較典型的異常入侵檢測系統模型如圖5所示。

圖5 一種比較典型的異常入侵檢測系統模型

圖6 基于Agent的入侵檢測模型

3) 智能入侵檢測模型

誤用檢測的智能性要求較低，它主要用于對已知行為進行檢測，而異常檢測對智能的要求則較高，它主要針對未知入侵。入侵檢測系統通過單個主機和監視模塊收集數據，收集后再由一個中心處理器來完成檢測。智能化入侵檢測模型一般是使用神經網絡、遺傳算法等智能化手段來進行入侵特征的辨識與泛化。基于Agent的入侵檢測模型如圖6所示。

5 結束語

入侵檢測是對網絡靜態防御技術的一種有效彌補工具，它能提供對網絡內外部攻擊的實時保護。設計和實現有效的入侵檢測模型是建立IDS的關鍵。入侵檢測技術也正與其它學科如數據挖掘、人工智能等交融匯合形成了新的入侵檢測技術，并對網絡安全起著新的更強的保護作用。入侵檢測模型的發展必將會逐步走向豐富化、智能化和多元化。

[1] 張鵬, 趙輝.關于入侵檢測模型的研究與分析[J].網絡安全技術與應用.2009, 03.

[2] 王麗薔.基于黑客行為特征的入侵檢測研究[D].解放軍信息工程大學.2009, 10.

[3] 羅騰.基于協議分析的入侵檢測系統研究與設計[J].中國新技術新產品.2010, 07.

[4] 武明.Agent技術在入侵檢測中的應用研究[D].電子科技大學.2004, 02.

[5] 張家超, 王全善.網絡入侵檢測技術的研究[J].連云港職業技術學院學報(綜合版).2004, 03.

[6] 馬星亮.基于CORBA的分布式入侵檢測系統的研究與實現[D].武漢科技大學.2008, 04.

[7] 滿紅芳, 宿超, 馬春清.基于Agent的分布式入侵檢測系統模型的研究與設計[J].山東電大學報.2006, 02.

[8] 李勇, 李建, 曾銀.數據挖掘技術在入侵檢測系統中的應用[J].山西電子技術.2006, 12.

[9] 劉秀麗.基于網絡的智能化入侵檢測系統模型研究[D].南京航空航天大學.2007, 12.

[10] 郝文江.黑客入侵檢測模型研究[J].吉林公安高等專科學校學報.2009, 12.