網(wǎng)絡(luò)入侵檢測(cè)方法研究

92124部隊(duì) 劉 超 趙希晶

1.引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用范圍的擴(kuò)大，人們?cè)絹?lái)越依賴于網(wǎng)絡(luò)進(jìn)行信息的處理。信息基礎(chǔ)設(shè)施己成為國(guó)民經(jīng)濟(jì)的一個(gè)重要支撐點(diǎn)，作為信息基礎(chǔ)設(shè)施的一個(gè)重要組成部分，信息安全關(guān)系到國(guó)家的存亡，經(jīng)濟(jì)的發(fā)展，社會(huì)的穩(wěn)定。隨著網(wǎng)絡(luò)攻擊工具和攻擊手法的日趨復(fù)雜化多樣化，僅靠傳統(tǒng)的網(wǎng)絡(luò)安全防范措施己無(wú)法滿足對(duì)網(wǎng)絡(luò)安全的要求，因此，網(wǎng)絡(luò)安全是目前一項(xiàng)十分重要的任務(wù)。入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)是近年來(lái)發(fā)展迅速的一種新型的網(wǎng)絡(luò)安全技術(shù)。

入侵檢測(cè)系統(tǒng)是指能夠通過(guò)分析與系統(tǒng)安全相關(guān)的數(shù)據(jù)來(lái)檢測(cè)入侵活動(dòng)的系統(tǒng)，包括入侵檢測(cè)的軟件和硬件的組合。從系統(tǒng)所執(zhí)行的功能上來(lái)考慮，入侵檢測(cè)系統(tǒng)必須包括如下三個(gè)功能部件：提供事件記錄流的數(shù)據(jù)收集部件、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的結(jié)果產(chǎn)生的響應(yīng)部件。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為新一代的動(dòng)態(tài)安全防范技術(shù)，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中若干關(guān)鍵點(diǎn)數(shù)據(jù)的收集，并對(duì)其進(jìn)行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能檢測(cè)到誰(shuí)正在攻擊當(dāng)前的網(wǎng)絡(luò)，從而及時(shí)通知網(wǎng)絡(luò)管理員進(jìn)行響應(yīng)，減少入侵行為帶來(lái)的損失，也能知道網(wǎng)絡(luò)是如何被攻擊的，從而有助于安全專家分析攻擊過(guò)程，由此得出系統(tǒng)或配置方面的漏洞，防止再次受到同樣的攻擊。一個(gè)完備的入侵檢測(cè)系統(tǒng)一定是基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞南到y(tǒng)。不同的體系結(jié)構(gòu)。不同的技術(shù)途徑實(shí)現(xiàn)的入侵檢測(cè)系統(tǒng)都各有優(yōu)缺點(diǎn)，具體采用那種模型和技術(shù)，都要根據(jù)具體的環(huán)境來(lái)選擇。

2.入侵檢測(cè)系統(tǒng)的整體結(jié)構(gòu)

系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖

3.入侵檢測(cè)系統(tǒng)建立的軟、硬件選擇

3.1 入侵檢測(cè)系統(tǒng)（IDS）的硬件選擇

IDS選擇硬件時(shí)，必須考慮到將要監(jiān)視的網(wǎng)絡(luò)的規(guī)模，探測(cè)器的性能必須和所要監(jiān)視的網(wǎng)絡(luò)的規(guī)模相匹配。使用IDS的目標(biāo)是檢測(cè)網(wǎng)絡(luò)上感興趣的數(shù)據(jù)流，所以匹配的探測(cè)器的關(guān)鍵是保證所有的包都被捕獲和記錄。顯然，偶爾的丟包是會(huì)發(fā)生的，目標(biāo)是構(gòu)建一個(gè)好的IDS系統(tǒng)，使得由于硬件的局限性而引起的丟包可能減少到最小。因此我們的目標(biāo)是：

（1）盡量減少丟包。

（2）保證安裝的系統(tǒng)能夠完成預(yù)計(jì)要完成的任務(wù)。

（3）節(jié)約開(kāi)支。

例如，我們可以對(duì)四個(gè)最關(guān)鍵的硬件作出以下選擇：

1）處理器

選擇使用intel Pentium IV 3.06Ghz處理器。所以使用這種處理器，關(guān)鍵在于它使用了超線程技術(shù)。這種技術(shù)模擬了多個(gè)處理器系統(tǒng)，保證了系統(tǒng)在運(yùn)行其他進(jìn)程時(shí)，允許snort在另一個(gè)管道中持續(xù)運(yùn)行而不會(huì)喪失大部分處理器性能，從而在實(shí)際上限制了任何網(wǎng)絡(luò)監(jiān)視的暫停。當(dāng)然，使用這種處理器，限制了我們對(duì)操作系統(tǒng)的選擇，因?yàn)橹挥性趙indows系統(tǒng)上才能最充分的發(fā)揮其性能。

在醫(yī)學(xué)教育中臨床實(shí)習(xí)是重要組成部分，同時(shí)也是學(xué)生將理論知識(shí)運(yùn)用到臨床中的一個(gè)過(guò)程，在婦產(chǎn)科中比較重視理論與實(shí)踐的相結(jié)合，臨床帶教工作可促使醫(yī)學(xué)生在極短的時(shí)間內(nèi)掌握臨床技能，在理論知識(shí)的基礎(chǔ)上得到提升。針對(duì)我國(guó)的實(shí)際情況來(lái)說(shuō)因受到醫(yī)療體制改革、帶教意識(shí)差等因素從而影響了臨床帶教的質(zhì)量。婦產(chǎn)科所涉及的是患者的隱私問(wèn)題，因而增加了婦產(chǎn)科的帶教困難[1]。

2）內(nèi)存

內(nèi)存的大小直接影響到系統(tǒng)的運(yùn)行速度。目前x86系統(tǒng)所使用的RAM價(jià)格便宜，可用選用x86，對(duì)系統(tǒng)配置2G的內(nèi)存。

3）存儲(chǔ)介質(zhì)

在選擇存儲(chǔ)介質(zhì)前，必須確定每天如何操作IDS。如果是建立一個(gè)庫(kù)存儲(chǔ)每天的日志文件，那么硬盤較小就可以了，但如果打算每周或者每月備份一次日志文件，那么硬盤就需要大容量了。結(jié)合我們實(shí)際使用的系統(tǒng)，需要每日備份日志文件，但周末需要系統(tǒng)記錄3日的數(shù)據(jù)，且現(xiàn)在硬盤價(jià)格很便宜，所以系統(tǒng)仍使用大容量硬盤160G。

4）網(wǎng)卡

選擇2塊網(wǎng)卡，一塊網(wǎng)卡用于正常的網(wǎng)絡(luò)通信，另一塊網(wǎng)卡用于監(jiān)聽(tīng)。網(wǎng)卡的選擇必須和連接的交換機(jī)的速率相匹配，否則丟包明顯，甚至無(wú)法抓包。因此針對(duì)連接不同交換機(jī)的IDS選擇百兆、千兆intel網(wǎng)卡。

3.2 IDS操作系統(tǒng)的選擇。

為安裝snort時(shí)通常要考慮易用性、成熟性、兼容性、通用性等因素。選擇操作系統(tǒng)平臺(tái)。

首先，系統(tǒng)管理員對(duì)操作系統(tǒng)最有效的選擇就是他最熟悉的操作系統(tǒng)。例如如果對(duì)windonws及其軟件的使用非常熟悉，但是在linux方面卻完全是個(gè)新手，那么很顯然應(yīng)選擇windows。另一個(gè)影響我們選擇的因素是操作系統(tǒng)的易用性。在任何一種操作系統(tǒng)上安裝snort都會(huì)比較復(fù)雜。相對(duì)而言，在windows上安裝和使用snort比較容易。雖然在windows系統(tǒng)上運(yùn)行snort有一些技術(shù)復(fù)雜度，例如winpcap問(wèn)題、內(nèi)核升級(jí)問(wèn)題以及系統(tǒng)修復(fù)問(wèn)題等等，但是很容易找到解決任何可能出現(xiàn)的問(wèn)題的相關(guān)文檔。我們還需要考慮性能問(wèn)題，雖然windows不如unix擁有出色的性能，但是我們也考慮到硬件對(duì)操作系統(tǒng)的影響非常大，而x86架構(gòu)系統(tǒng)的硬件現(xiàn)在非常便宜，完全可以彌補(bǔ)windows性能上的不足。綜上，得出選擇IDS平臺(tái)的黃金法則：“選擇最熟悉的并且是能夠最容易地被集成到現(xiàn)有環(huán)境的平臺(tái)。”通常我們選擇windows作為系統(tǒng)的操作系統(tǒng)。

4.IDS系統(tǒng)的實(shí)現(xiàn)

結(jié)合系統(tǒng)結(jié)構(gòu)及安全要求，在整個(gè)系統(tǒng)中部署兩類IDS，一個(gè)是部署在外部防火墻和路由器之間，監(jiān)控內(nèi)外網(wǎng)之間的數(shù)據(jù)，它是基于特征的入侵檢測(cè)技術(shù)的。另一類連接在內(nèi)網(wǎng)的交換機(jī)上，監(jiān)控內(nèi)網(wǎng)中的數(shù)據(jù)流，它是基于策略的入侵檢測(cè)技術(shù)。

4.1 內(nèi)部IDS的實(shí)現(xiàn)

內(nèi)部網(wǎng)絡(luò)，通常采用基于策略的IDS。為了讓IDS正常工作，必須定義規(guī)則或者攻擊特征，當(dāng)出現(xiàn)新的攻擊行為特征時(shí)，我們必須及時(shí)把該特征增加到規(guī)則文件內(nèi)，只要不斷的及時(shí)更新規(guī)則，就可以保證IDS檢測(cè)到最新的攻擊。但這里面存在一個(gè)問(wèn)題，當(dāng)新的攻擊已經(jīng)存在，系統(tǒng)尚未及時(shí)做好規(guī)則文件，而此時(shí)網(wǎng)絡(luò)中恰巧發(fā)生了這種攻擊行為，就無(wú)法知道這種攻擊的存在了。

基于策略的IDS系統(tǒng)工作方式完全和通用IDS系統(tǒng)相反，它僅僅定義網(wǎng)絡(luò)中可以接受的行為，包括特定主機(jī)之間的特定通信類型、特定協(xié)議等。它的核心概念是：不屬于可接收行為列表的操作都是潛在的入侵。

基于策略的IDS的好處是，使IDS管理員不必再及時(shí)不斷的更新攻擊規(guī)則，只需設(shè)置網(wǎng)絡(luò)中正常的操作行為準(zhǔn)則。其他的都是不正常的可疑的。而且因?yàn)榛诓呗缘腎DS只需要定義少量可接收的行為規(guī)則，因而比通用IDS的性能更好。但是一般而言基于策略的IDS不適合同外部連接的網(wǎng)絡(luò)。因?yàn)楹屯獠窟B接的數(shù)據(jù)種類太多，無(wú)法一一羅列。

4.2 外部IDS的實(shí)現(xiàn)

部署在外部防火墻和路由器之間，監(jiān)控內(nèi)外網(wǎng)之間的數(shù)據(jù)，它是基于特征的入侵檢測(cè)技術(shù)。

一般通過(guò)以下幾個(gè)步驟實(shí)現(xiàn)：

1）系統(tǒng)安裝，通常安裝微軟的windows 2000 sever；

2）安裝snort；

3）配置snort。

這項(xiàng)技術(shù)目前已比較成熟，在這里不再贅述。

5.結(jié)論

前面所述的方案基本保證了企業(yè)當(dāng)前系統(tǒng)流暢、安全的運(yùn)行。但隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，還會(huì)有更復(fù)雜、對(duì)安全要求更高的應(yīng)用出現(xiàn)。因此我們還要在這條道路上繼續(xù)走下去。今后對(duì)網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)將堅(jiān)持技術(shù)和管理并重。

在擁有先進(jìn)手段的前提下，對(duì)于網(wǎng)絡(luò)安全問(wèn)題來(lái)說(shuō)最重要的應(yīng)該是網(wǎng)絡(luò)安全思想，可以說(shuō)有好的安全思想可以避免絕大多數(shù)的安全問(wèn)題，所以安全思想意識(shí)應(yīng)放在網(wǎng)絡(luò)安全的首要位置。可以采用更加先進(jìn)的網(wǎng)絡(luò)安全體系架構(gòu)、密碼算法、防火墻、入侵檢測(cè)系統(tǒng)和病毒防治軟件等來(lái)保衛(wèi)系統(tǒng)的安全。比這些技術(shù)層次上安全措施更為重要的是一套良好的安全制度和安全思想，它們才是確保系統(tǒng)安全的根本

總之網(wǎng)絡(luò)攻擊手段的多元化、復(fù)雜化、智能化，使網(wǎng)絡(luò)安全的形勢(shì)日益嚴(yán)峻，保衛(wèi)網(wǎng)絡(luò)安全將是一個(gè)持久和艱巨的過(guò)程，任重而道遠(yuǎn)，需要不斷學(xué)習(xí)，不斷開(kāi)發(fā)、掌握和使用與安全威脅相斗爭(zhēng)的各種安全技術(shù)和手段。希望有更多的人能加入到研究和維護(hù)網(wǎng)絡(luò)安全的行列中，為保護(hù)網(wǎng)絡(luò)安全做出自己的貢獻(xiàn)。

[1]李家春,李之棠.入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究,2001.

[2]許榕生,劉寶旭,楊澤明等.黑客攻擊技術(shù)揭秘[M].機(jī)械工業(yè)出版社,2002.

[3]于磊.網(wǎng)絡(luò)安全利器——snort[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2003.

[4]譚思亮.監(jiān)聽(tīng)與隱藏——網(wǎng)絡(luò)偵聽(tīng)揭密與數(shù)據(jù)保護(hù)技術(shù)[M].北京:人民郵電出版社,2002.

[5]楊檳.網(wǎng)絡(luò)安全與防火墻[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,1997.