入侵檢測系統新技術介紹

蘇家洪

(北京信息職業技術學院，北京 100018）

引言

隨著計算機和因特網的普及與應用，大量的個人、企業與政府機構信息開始保存在計算機和網絡服務器中，這就對信息安全提出了更高要求，對安全解決方案的需求與日俱增。現有的網絡、信息安全解決方案中最常用的就是防火墻。傳統意義上依靠防火墻建立網絡組織結構，常常是“外緊內松”，能夠有效阻止外部人員的入侵，但對內部人員所做的攻擊卻無能為力。而入侵檢測系統的成功研發與應用，是對防火墻缺陷的有益補充。

1 入侵檢測系統（IDS）

入侵的含義，從廣義上講，包括攻擊發起者通過非正常手段取得合法的計算機系統控制權，也包括攻擊者利用收集到的漏洞信息，惡意的對計算機及網絡系統造成拒絕訪問、使用等危害的行為。而入侵檢測，便是發覺、發現入侵行為的過程。它通常是通過對計算機或網絡系統中若干個關鍵點進行信息收集，以此來判斷、分析、發現計算機或網絡系統中存在的違反安全規定、安全策略的行為或者曾被攻擊過的跡象。能夠實現上述功能的軟件、硬件或者它們的組合，即是所謂的入侵檢測系統（IDS）。與其他計算機、網絡安全產品不同，入侵檢測系統更多的具有智能特點，它可以對收集的數據進行分析、判斷，進而得出有用的結果。有效的入侵檢測系統能夠簡化、降低計算機和網絡管理人員的工作程序和工作量，

2 IDS新技術介紹

2.1 數據分析協同

入侵檢測不僅需要利用模式匹配和異常檢測技術來分析某個檢測引擎所采集的數據，以發現一些簡單的入侵行為，還需要在此基礎上利用數據挖掘技術，分析多個檢測引擎提交的審計數據以發現更為復雜的入侵行為。

理論上講，任何網絡入侵行為都能夠被發現，因為網絡流量和主機日志記錄了入侵的活動。數據分析協同需要在兩個層面上進行，一是對一個檢測引擎采集的數據進行協同分析，綜合使用檢測技術，以發現較為常見的、典型的攻擊行為;二是對來自多個檢測引擎的審計數據，利用數據挖掘技術進行分析，以發現較為復雜的攻擊行為。考核IDS數據分析能力可以從準確、效率和可用性三方面進行。基于這一點，可以認為，檢測引擎是完成第一種數據分析協同的最佳地點，中心管理控制平臺則是完成第二種數據分析協同的最佳地點。

當檢測引擎面對并非單一的數據時，綜合使用各種檢測技術就顯得十分重要。從攻擊的特征來看，有的攻擊方法使用異常檢測來檢測會很容易，而有的攻擊方法使用模式匹配來檢測則很簡單。因此，對檢測引擎的設計來說，首先需要確定檢測策略，明確哪些攻擊行為屬于異常檢測的范疇，哪些攻擊屬于模式匹配的范疇。中心管理控制平臺執行的是更為高級的、復雜的入侵檢測，它面對的是來自多個檢測引擎的審計數據。它可就各個區域內的網絡活動情況進行“相關性”分析，其結果為下一時間段及檢測引擎的檢測活動提供支持。例如黑客在正式攻擊網絡之前，往往利用各種探測器分析網絡中最脆弱的主機及主機上最容易被攻擊的漏洞，在正式攻擊之時，因為黑客的“攻擊準備”活動記錄早已被系統記錄，所以IDS就能及時地對此攻擊活動做出判斷。目前，在這一層面上討論比較多的方法是數據挖掘技術，它通過審計數據的相關性發現入侵，能夠檢測到新的進攻方法。

傳統數據挖掘技術的檢測模型是離線產生的，就像完整性檢測技術一樣，這是因為傳統數據挖掘技術的學習算法必須要處理大量的審計數據，十分耗時。但是，有效的IDS必須是實時的。而且，基于數據挖掘的IDS僅僅在檢測率方面高于傳統方法的檢測率是不夠的，只有誤報率也在一個可接受的范圍內時，才是可用的。

美國哥倫比亞大學提出了一種基于數據挖掘的實時入侵檢測技術，證明了數據挖掘技術能夠用于實時的IDS。其基本框架是:首先從審計數據中提取特征，以幫助區分正常數據和攻擊行為;然后將這些特征用于模式匹配或異常檢測模型;接著描述一種人工異常產生方法，來降低異常檢測算法的誤報率;最后提供一種結合模式匹配和異常檢測模型的方法。實驗表明，上述方法能夠提高系統的檢測率，而不會降低任何一種檢測模型的效能。在此技術基礎上，實現了數據挖掘的實時IDS則是由引擎、檢測器、數據倉庫和模型產生四部分構成。其中，引擎觀察原始數據并計算用于模型評估的特征;檢測器獲取引擎的數據并利用檢測模型來評估它是否是一個攻擊;數據倉庫被用作數據和模型的中心存儲地;模型產生的主要目的是為了加快開發以及分發新的入侵檢測模型的速度。

2.2 響應協同

前面已經論述，由于IDS在網絡中的位置決定了其本身的響應能力相當有限，響應協同就是IDS與有充分響應能力的網絡設備或網絡安全設備集成在一起，構成響應和預警互補的綜合安全系統。響應協同主要包含下面的幾個方面。

1）IDS與防火墻的協同：

防火墻與IDS可以很好的互補。這種互補體現在靜態和動態兩個層面上。靜態的方面是IDS可以通過了解防火墻的策略，對網絡上的安全事件進行更有效的分析，從而實現準確的報警，減少誤報；動態的方面是當IDS發現攻擊行為時，可以通知防火墻對已經建立的連接進行有效的阻斷，同時通知防火墻修改策略，防止潛在的進一步攻擊的可能性。

2）IDS與路由器、交換機的協同

由于交換機和路由器防火墻一樣，一般串接在網絡上。同時都有預定的策略，可以決定網絡上的數據流，所以IDS與交換機、路由器的協同和與IDS同防火墻的協同非常相似，都有動態和靜態兩個方面，過程也大致相同，這里不作詳細的論述。

結束語

入侵的行為千變萬化；入侵檢測的手段也要隨機應變。為了發現入侵；我們要有機地把數據分析協同、響應協同、IDS與交換機、路由器的協同及IDS同防火墻的協同等等入侵檢測技術結合在一起，以有效地抵御入侵。

[1]肖海明.基于數據降維和支持向量機的入侵檢測方法研究[D].河北：華北電力大學2010.

[2]譚偉.防火墻與入侵檢測系統聯動架構的研究[D].武漢：武漢理工大學，2010年.

[3]高朝勤，陳元琰，李梅.入侵檢測中的自適應模式匹配技術[J].計算機工程，2009年06期.