入侵檢測技術的研究

張 帥，白 偉

(太原廣播電視大學，山西 太原 030002)

入侵檢測是在考慮網絡環境安全的基礎上提出的，是一種能夠積極主動地對網絡環境進行監測、防御或防止系統內外入侵行為發生的網絡安全技術。與常用的安全防御技術比較，入侵檢測技術對網絡入侵行為能夠積極處理，具有智能監測、實時監控、自動響應、配置簡單的特點。入侵檢測技術就是對入侵過程的檢測，它可以對系統安全日志、網絡異常行為、審計數據進行實時分析，也可以對網絡數據信息以及系統中的重要數據進行收集整理，以此來檢查系統中存在的安全隱患和破壞系統安全的行為。入侵檢測通過主動的安全防御技術對誤操作以及系統內外攻擊提供實時保護，在系統遭到網絡攻擊時，能夠進行積極的響應、阻止惡意的入侵行為。所以，在網絡通信的實時安全性方面，入侵檢測技術具有不可取代的地位。從20世紀90年代至今，入侵檢測方法出現了突飛猛進的發展，在分列式、實時檢測以及智能計算等多個方面取得了一定的成果。

一、入侵檢測模型

1986年PeterNeumann等研究并提出最早的入侵檢測模型（IDS）。該系統模型的構成部分如圖1所示。

圖1 IDS檢測模型

此模型的缺點是沒有包含攻擊方面的知識和已經存在的系統漏洞，又由于入侵檢測模型不具備兼容性，因此兩個不同入侵檢測模型在一個計算機系統內不能共存，多個入侵檢測模塊之間也不能夠共享數據，彌補現有的系統的不足之處、改進計算機系統的功能就必須重構整個入侵檢測模型。因此，為了實現不同系統的兼容性與相互共存，提出公共入侵檢測框架(CIDF)。

圖2 CIDF檢測模型

CIDF的模型如圖2所示，其構成要素主要有四個部分。在CIDF檢測模型中，分析的網絡信息被稱為事件。其可以是計算機網絡中的數據信息，或者是系統中通過其他方法得到的數據。事件的產生器主要負責收集事件，這些事件主要來自于除IDS檢測模型以外的部分，并將其變換成CIDF可以識別的文件形式，再將這些文件信息傳輸到別的功能模塊；分析器主要負責分析由其他的構成組件得到的數據包，給出分析結果數據包，并將結果數據包再繼續發送傳遞給其他的構成部分；響應單元是一種功能單元，主要負責對分析結果的數據包做出相應的反應，對接收到的數據包進行處理，可以切斷接通渠道、更改信息屬性，或者給予警示告知；事件的信息數據庫用于存放不同階段獲得的信息數據，其組成既可以是比較復雜的數據，或者是較為普通的文本文件。入侵檢測模型具有較為強大的拓展性和靈活性，已經得到了較為廣泛的認可和應用。

二、入侵檢測技術分類

通過對現有入侵檢測系統的研究，并結合近些年出現的人工免疫方法、遺傳算法、數據挖掘等新型的檢測技術，將入侵檢測模型分為異常檢測、誤用檢測和混合檢測三種。

1.異常檢測

異常檢測是指觀察數據通信中的不正常的活動。一般來說，系統出現異常的行為并不代表一定有入侵活動存在，但是當有入侵活動發生時，系統中一定會出現異常的現象。比如，當監視一個系統調用，發現偏離了正常運行模式時，則系統中一定存在入侵行為；或者是發現系統用戶發生了非正常的調用、非正常的登錄行為，則表明系統存在入侵活動。根據檢測規則，異常檢測具有檢測未知攻擊特征入侵活動的優點，但是其錯誤報警行為是不可避免的。如何最低限度地降低誤報率，有待做進一步的研究。圖3為典型的異常檢測系統模型。

圖3 典型異常檢測系統

2.誤用檢測

誤用檢測技術是根據已有的入侵活動特征發展起來的一種檢測技術，也稱為特征校對檢測。首先要對不合法或惡意的行為特征進行定義，并將這些行為的特征分類總結建立數據庫。將獲取的網絡數據信息特征與數據庫中的信息特征進行比對，如果出現數據信息特征比對結果一致，則說明網絡系統中存在入侵活動；如果未存在對比一致的特征信息，則有可能是正常的網絡活動，但也有可能是未被添加到入侵活動特征信息數據庫中的入侵特征，且入侵活動的特征信息數據庫的建立和完善滯后于入侵特征的變換和發展，因此誤用檢測存在漏檢的情況。圖4是典型誤用檢測系統。

圖4 典型誤用檢測系統

3.混合檢測

如今的入侵活動逐漸趨于多樣性，并且大多數的入侵活動具有黑客攻擊、混合攻擊的特征。且由于異常檢測存在誤報行為、檢測率相對較低和誤用檢測存在漏檢行為，因此，使用單一的入侵檢測技術（異常檢測或者誤用檢測）很難有效地完成入侵檢測的任務。結合異常檢測和誤用檢測進行取長補短，可以彌補兩種單一檢測方法的不足，因而在此基礎上提出了混合檢測。該檢測方案既可以對未知的入侵特征進行檢測，也可以減低檢測的誤報率，最終提高了入侵檢測的效率。

三、入侵檢測技術的特點

針對網絡系統的攻擊方法的復雜性和多樣性，并隨著科學技術的不斷發展，入侵檢測技術也有了快速的發展。未來入侵檢測主要呈現出以下特點：

1.實時檢測

實時入侵檢測主要是根據系統的日常行為活動規律以及異常特征數據庫信息對系統的活動進行監測，當檢測到入侵行為，立即采取措施，切斷主機與外界的連接，并對計算機數據進行積極恢復，未來入侵檢測首要特點即為高速的檢測效率。因此，首先要優化內部組成和檢測算法，提高系統的運行速度。其次，高速網絡協議的提出與實施。

2.分布式檢測

分布式檢測技術結合了基于主機和網絡檢測系統的優點，該系統由傳感器、局域網管理器和中央數據處理器三部分組成。傳感器負責采集與主機相關的有用數據，局域網管理器負責對局域網內數據流量進行采集，并最終將采集的數據傳送到中央處理器，由該處理器完成數據的分析和入侵檢測的工作。

3.智能計算的檢測

入侵檢測的智能化是基于計算智能的理論及方法，尤其是對異常檢測，通過對檢測對象的特征進行學習，并將分析的數據結果進行建模。另外一種常用的入侵檢測方法是利用專家系統，通過拓展與更新知識庫，使得專家系統具備了自學習的特征，從而不斷地加強入侵檢測系統的防御攻擊能力，使得應用前景更為廣泛。

4.入侵檢測的響應技術

入侵檢測的響應技術是指在分析出非法活動或發生非法活動之后，采取一定的處理方式或者采取一定的方式告知操作員。入侵檢測的響應由主動響應和被動響應組成，其中被動響應又分為報警響應和手動響應的方式。報警響應和手動響應方式只是進行被動式記錄和處理入侵檢測行為，因此主要的研究方向為主動式響應技術。主動式的響應技術的發展將對計算機網絡的安全提供強有力的保障。目前主動式檢測技術的商業用途仍處于萌芽階段，僅僅在科研和研發機構得到一些應用，但隨著人們對網絡安全要求的不斷提高，高效、自動的入侵響應技術將得到更加廣泛的應用。

[1]卿斯漢,蔣建春等.網絡安全入侵檢測研究綜述 [J].通信學報，2004，（7）:19-29.

[2]李鴻培.入侵檢測中幾個關鍵問題的研究[D].西安電子科技大學博士學位論文，2001.

[3]郭曉淳，吳杰宏等.入侵檢測綜述[J].沈陽航空工業學院學報，2001,（4）:67-70.

[4]王艷華,馬志強,臧露等.入侵檢測技術在網絡安全中的應用與研究[J].信息技術，2009，（6）:41-44.

[5]畢戰科,許勝禮.入侵檢測技術的研究現狀及其發展[J].軟件導刊，2010，(11):152-154.