網絡入侵監測系統的設想與實現

王威

【摘要】計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境里，信息數據的機密性、完整性和可使用性受到保護。網絡入侵監測系統的設想與實現，就是保證用戶在網絡環境下所有信息的安全。

【關鍵詞】網絡入侵檢測；入侵檢測系統

文章編號:ISSN1006—656X(2013)06?-00092-01

隨著計算機的普及和計算機網絡的快速發展，越來越多的政府、企業和個人通過INTENERT 網，實現了全社會的信息共享已經成為現實。網絡應用的不斷擴大，對網絡的各種攻擊與日俱增。尤其是相當數量的政府、銀行、企事業單位都有自己的內聯網，內聯網的安全十分重要，內部系統被入侵、破壞與泄密都是嚴重的問題 。因此，對入侵攻擊的監測防范等網絡安全問題，已成為當今計算機安全方向的重要課題。

一、入侵檢測技術

入侵檢測技術是為保證計算機系統的安全而設計與配置的，一種能夠及時發現并報告系統中未授權或異常現象的技術，利用審計紀錄，入侵監測系統識別非法活動并限制和制止它，利用報警和防護系統，在入侵攻擊發生危害前驅逐入侵攻擊。或在被入侵后收集相應信息，添入知識庫，增強防范能力。入侵檢測系統實質是試圖發現闖入你系統中的入侵者，或誤用你資源的合法用戶，對入侵者起到了震懾作用。隨著黑客入侵手段的提高，尤其是巧借他人之手，實施聯合攻擊的方法出現，傳統單一的、缺乏協作的入侵檢測技術已經不能滿足需求，分布協同的入侵檢測技術，成為當今入侵檢測技術領域的研究熱點。

網絡入侵檢測系統能夠檢測那些來自網絡的攻擊，它能夠檢測到超過授權的非法訪問。一個網絡入侵檢測系統，不需要改變服務器等主機的配置。由于它不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業務系統的性能。

由于網絡入侵檢測系統不像路由器、防火墻等關鍵設備方式工作，它不會成為系統中的關鍵路徑。網絡入侵檢測系統發生故障不會影響正常業務的運行。布署一個網絡入侵檢測系統的風險，比主機入侵檢測系統的風險少得多。但是，入侵監測系統仍存在很多缺點。一是網絡入侵檢測系統只檢查它直接連接網段的通信，不能檢測在不同網段的網絡包。而在使用交換以太網的環境中，安裝多臺網絡入侵檢測系統的傳感器，會使布署整個系統的成本大大增加；二是網絡入侵檢測系統，為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測；三是網絡入侵檢測系統，可能會將大量的數據傳回分析系統中。對入侵判斷的決策由傳感器實現，而中央控制臺成為狀態顯示與通信中心，不再作為入侵行為分析器。這樣系統中的傳感器協同工作能力較弱。

二、入侵檢測系統的主要形式

入侵監測系統主要有兩種方式：實時入侵檢測系統和非實時入侵檢測系統。

實時入侵檢測系統實時監測目標系統或網絡上各種情況，及時捕捉到非法入侵者或濫用資源的合法用戶。方法通常有統計異常事務檢查和模式匹配檢查。單獨使用異常檢查和模式匹配都不夠充分，目前大多數研究實時入侵檢測系統的項目，使用這兩種技術來捕獲入侵。

非實時入侵檢測系統是定期查看目標系統或網絡的安全情況，對系統威脅進行定期評估。它尋找可能對系統造成威脅的潛在問題，和實時入侵檢測系統相比，其優點是對資源的平均占用時間少。通常實時入侵檢測和非實時入侵檢測需要結合起來使用。對于威脅大、影響嚴重的破壞事件，使用實時入侵檢測來監視入侵；對于風險小的事件，采用非實時入侵檢測。當然，實際使用時，需要用戶來判斷什么事件應實時監測，什么事件應間斷掃描。

掃描器屬于非實時入侵檢測系統。它一般通過檢查對象的屬性，如文件屬主和允許權限，或是通過仿效黑客的行為。如運行大量各種腳本試圖，發現目標節點上的弱點，來掃描缺陷。掃描器定期性地運行，所以不可能在破壞事件一出現時就能立刻發現。它的目的是通過提前警告用戶系統缺陷的存在，從而實現防止攻擊。它定期運行是系統和網絡情況經常變化所致，新軟件的使用、節點的增減、服務要求的變化等都可能引進新的安全隱患，定期運行掃描器，可以發現新環境中的安全問題。

掃描器又分遠程掃描器和本地掃描器兩類。遠程掃描器，又稱為互聯網掃描器，運行在整個網絡上，主要查詢TCP/IP端口并記錄目標的響應，通過對目標節點的檢查找出薄弱之處。本地掃描器，也稱為系統掃描器，運行于節點之上，主要針對本地漏洞，執行自我檢查。這些漏洞大多是遠程掃描器難以察覺的，它可以被內部的不法人員所利用。遠程掃描器和本地掃描器是相輔相成的。遠程掃描器側重于網絡協議檢查，主要通過發送網絡數據包來檢測系統，發現特定弱點；本地掃描器研究文件的內容，查找配置問題，找出誤用。由于本地掃描器實際上是運行于目標節點的進程，所以可檢查出遠程掃描器查不出的問題。在系統環境中，應綜合運用這兩種掃描器。有時它們是以不同的方式檢測出同一問題，這正實現了安全的層次性。

三、自適應網絡入侵檢測系統

自適應網絡入侵檢測系統是利用掃描器確定網絡狀況，用戶化定制入侵檢測系統，實質是將非實時入侵檢測和實時入侵檢測有機結合，提高IDS的工作效率。

由于網絡狀況的不可知性，一般的IDS的知識庫，在初始化設置時會考慮不同的網絡環境，進行檢測漏洞。如在一個IDS知識庫中，既有對MIRCOSOFT的網絡環境的檢測，又有對 UNIX的網絡環境的檢測，但在實際狀況中單一網絡結構中是常見的，這時IDS的工作效率會減小一半。如何根據已知網絡環境進行用戶化的定制IDS ，是自適應網絡入侵檢測系統設計的關鍵。

網絡系統管理員可能對它的網絡整體狀況有一定了解，如在網絡中有多少服務器、工作站，使用哪些操作系統等，但對于網絡內部結構，如網絡服務的漏洞、操作系統有那些補丁就不一定十分了解。而且網絡狀況是不斷變化，實時動態更新的，所以一個好的IDS必須適應網絡變化。這些變化有網絡狀況的不同和同一網絡不斷變化。自適應網絡入侵檢測系統，就是利用掃描器的動態掃描來優化IDS。通過掃描器可以對服務器的版本、漏洞進行掃描，在打補丁前，用IDS相關規則去掉不出現的情況，提高效率；并通過定期掃描，審視網絡當前狀況，IDS根據網絡變化適應改變規則，實現實時檢測。

自適應入侵監測系統的關鍵在于以下幾個方面：第一，檢測速度：由于網絡主機眾多，就要求探查系統可在較短的時間內完成大規模的網絡掃描；第二，判斷精確度：把一個安全系統誤認為有安全隱患將帶來不必要的麻煩，而將一個不安全的系統看成安全系統而信賴更是危險的。第三，漏報率：由于IDS規則不全或由于網絡流量大，有丟包現象的出現而沒有檢測到的漏洞。

在自適應網絡入侵檢測系統中，由于在IDS中規則使用減少，不僅檢測時間縮短，且檢測網絡流量減小。因此漏報率降低，輕量檢測也可提高IDS的執行速度，進行精確模式匹配方式使檢測準確性提高。

參考文獻：

[1]張俊安.網絡入侵檢測系統研究與實現[D].成都:西南交通大學,2003.

[2]謝怡寧.基于CVE入侵檢測系統研究與實現[D].哈爾濱理工大學，2005.

[3]魏士靖.計算機網絡取證分析系統[D].江南大學，2006.

[4]張杰，戴英俠.入侵檢測系統技術現狀及其發展趨勢[J].郵電設計技術，2002，（6）.