入侵檢測技術(shù)研究現(xiàn)狀

張 甜

天津師范大學(xué)計(jì)算機(jī)與信息工程學(xué)院，天津 300387

入侵檢測技術(shù)，可以理解為識別或檢測針對計(jì)算機(jī)網(wǎng)絡(luò)資源以及信息的不合法意圖和行為，并且對此行為做出響應(yīng)的過程。能夠執(zhí)行并完成以上功能的獨(dú)立系統(tǒng)就是入侵檢測系統(tǒng) (Intrusion Detection System，以下簡稱IDS)。IDS 可以識別技術(shù)未授權(quán)對象入侵系統(tǒng)的企圖或行為，同時(shí)檢測授權(quán)對象對計(jì)算機(jī)系統(tǒng)資源和信息的非法操作。

有效的IDS，應(yīng)做的到如下幾點(diǎn)要求。首先可以讓計(jì)算機(jī)系統(tǒng)管理員時(shí)刻掌握網(wǎng)絡(luò)系統(tǒng)的任何變更，其次應(yīng)該能夠?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全策略提供幫助指南，再次，它能夠做到管理配置方便簡單，最后IDS 還可以根據(jù)安全需求、系統(tǒng)構(gòu)造以及網(wǎng)絡(luò)威脅變更而改變。

1 入侵檢測技術(shù)的類別

根據(jù)檢測技術(shù)類型可劃分為異常行為檢測技術(shù)類型和漏洞檢測技術(shù)類型。根據(jù)異常或者不合法行為和使用計(jì)算機(jī)資源信息的情況檢測入侵的技術(shù)類型被稱為異常入侵攻擊檢測。漏洞入侵檢測是利用已知系統(tǒng)和應(yīng)用軟件的漏洞攻擊方式檢測入侵。

根據(jù)IDS 結(jié)構(gòu)類型區(qū)分入侵檢測技術(shù)，則有以下幾種類別：基于主機(jī)的入侵檢測、基于網(wǎng)絡(luò)的入侵檢測以及這兩種技術(shù)的混合入侵檢測方式。基于主機(jī)的入侵檢測技術(shù)主要是根據(jù)IDS所在主機(jī)的統(tǒng)計(jì)數(shù)據(jù)和系統(tǒng)日志識別檢測可疑事件。基于網(wǎng)絡(luò)的入侵檢測則主要根據(jù)網(wǎng)絡(luò)管理協(xié)議、協(xié)議分析、網(wǎng)絡(luò)流量等信息檢測入侵。混合入侵檢測是將以上兩種入侵檢測技術(shù)結(jié)合在一起。

根據(jù)IDS 控制布局類型可分為集中式入侵檢測和分布式入侵檢測。集中式入侵檢測的定義是將局域網(wǎng)內(nèi)每個(gè)計(jì)算機(jī)收集的數(shù)據(jù)匯總到中央計(jì)算機(jī)進(jìn)行集中批量處理。與此相對應(yīng)，運(yùn)用多個(gè)節(jié)點(diǎn)或多個(gè)中央處理器共同合作檢測被監(jiān)視的計(jì)算機(jī)就是分布式IDS。

根據(jù)系統(tǒng)對入侵攻擊的響應(yīng)方式可分為主動(dòng)入侵檢測和被動(dòng)入侵檢測。主動(dòng)IDS 在檢測到入侵攻擊信息后，能夠立即實(shí)施預(yù)先定義的措施，包括自動(dòng)修補(bǔ)本機(jī)漏洞、強(qiáng)制違法用戶退出本機(jī)以及關(guān)閉受保護(hù)的相關(guān)服務(wù)等響應(yīng)措施。與主動(dòng)IDS 不同的是被動(dòng)IDS 在檢測或識別出對網(wǎng)絡(luò)資源或本機(jī)信息的入侵攻擊后只是向網(wǎng)絡(luò)系統(tǒng)安全管理員產(chǎn)生報(bào)警信息警告。

2 入侵檢測技術(shù)基本結(jié)構(gòu)

2.1 信息收集

信息收集是入侵檢測技術(shù)的第一步。一般來說，IDS 通過以下方式獲得信息。

第一種方式是通過網(wǎng)絡(luò)檢測數(shù)據(jù)包報(bào)文收集IDS 所需信息。但是這樣做的缺點(diǎn)是只能夠檢測到本系統(tǒng)所在機(jī)器的報(bào)文，將網(wǎng)卡設(shè)置為混雜模式就可以解決這一問題。

第二種方式是把IDS 模塊安裝在主機(jī)上，由IDS 模塊負(fù)責(zé)收集本主機(jī)上的信息，常用的信息包括系統(tǒng)調(diào)用、特定進(jìn)程信息、系統(tǒng)日志、特定程序日志等。

在具體的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中，以上兩種獲得信息的方式是合作完成入侵檢測的。

2.2 信息分析

信息分析是入侵檢測技術(shù)的第二步。IDS 中的知識庫負(fù)責(zé)記錄事先定義的特定安全策略。IDS 在完成第一步即收集到所需的相關(guān)信息后，將這些信息與知識庫中所有的安全策略逐一對比，IDS 就是通過這種方法檢測出收集到的信息中是否包含違反安全策略的行為。

關(guān)于IDS 定義知識庫的方法，通常做法是查看第一步網(wǎng)絡(luò)或主機(jī)收集到的信息中是否含有特定的入侵攻擊特征。IDS 知識庫能夠定義了哪些種類的報(bào)文包含入侵攻擊信息。

IDS 的核心技術(shù)是構(gòu)建知識庫，其目的是準(zhǔn)確定義入侵行為，這是IDS 與其他行為管理軟件的不同之處。雖然它們都可以監(jiān)視網(wǎng)絡(luò)信息和行為，但是IDS 包含記錄入侵攻擊特征信息的知識庫。攻擊特征的準(zhǔn)確性直接決定了IDS 檢測技術(shù)的準(zhǔn)確率。

IDS 一般應(yīng)用統(tǒng)計(jì)分析或者模式匹配進(jìn)行實(shí)施入侵檢測，應(yīng)用完整性分析進(jìn)行事后分析。這三種方法都可以對收集到的系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、及用戶活動(dòng)狀態(tài)和行為數(shù)據(jù)等信息進(jìn)行深度挖掘分析。

2.3 結(jié)果響應(yīng)

在完成收集信息和信息分析之后，入侵檢測的第三個(gè)步驟是結(jié)果響應(yīng)。IDS 檢測到入侵攻擊信息后命令控制臺(tái)按照系統(tǒng)中定義的相應(yīng)的結(jié)果響應(yīng)采取對應(yīng)的防護(hù)安全措施，可以是IDS 主動(dòng)響應(yīng)安全防護(hù)，包括：防止或阻止攻擊、更新路由器和防火墻配置、中斷相應(yīng)進(jìn)程、終止或中斷網(wǎng)絡(luò)連接以及更新重要文件屬性等措施，也可以是IDS 被動(dòng)響應(yīng)安全防護(hù)，如：記錄入侵攻擊事件或只是發(fā)出警告。

3 入侵檢測技術(shù)現(xiàn)有的缺點(diǎn)

3.1 阻斷入侵的能力低

雖然IDS 可以識別入侵進(jìn)而阻斷連接，并支持對內(nèi)外攻擊和誤操作的實(shí)時(shí)保護(hù)，但只是側(cè)重于發(fā)現(xiàn)和識別入侵攻擊行為。未來可將IDS 與防火墻結(jié)合使用，配置 IDS 的相應(yīng)安全策略，并指定對象防火墻的密鑰及地址。由 IDS 與防火墻發(fā)起并建立正常連接，IDS 產(chǎn)生新的安全事件后隨即通知防火墻，防火墻隨之做出相應(yīng)的安全措施響應(yīng)，使安全機(jī)制從源頭上識別并阻斷入侵攻擊行為。這樣不僅提高防火墻的實(shí)時(shí)反應(yīng)能力，還能提升 IDS 的阻斷能力。

3.2 高誤報(bào)率和高漏報(bào)率

IDS 不能有效地檢測高速交換網(wǎng)絡(luò)中的所有的數(shù)據(jù)包，并且分析信息的準(zhǔn)確率不高，就會(huì)產(chǎn)生誤報(bào)。IDS 檢測入侵攻擊規(guī)則的更新落后于入侵攻擊手段的更新，就容易導(dǎo)致漏報(bào)。未來可將數(shù)據(jù)包報(bào)文信息直接存儲(chǔ)到系統(tǒng)內(nèi)核事先指定的地址空間中，并且將系統(tǒng)內(nèi)核中存儲(chǔ)數(shù)據(jù)包報(bào)文信息的內(nèi)存直接映射到入侵檢測模塊的應(yīng)用程序空間當(dāng)中。入侵檢測模塊可以直接對訪問這部分內(nèi)存，因此減少了系統(tǒng)內(nèi)核向用戶應(yīng)用程序空間的內(nèi)存復(fù)制以及系統(tǒng)調(diào)用的開銷。IDS 可以自動(dòng)獲取當(dāng)前網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)信息，并且根據(jù)網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)變化隨時(shí)更新防護(hù)配置，使得IDS 中入侵檢測規(guī)則只和當(dāng)前網(wǎng)絡(luò)狀態(tài)相關(guān)。通過此種方式達(dá)到預(yù)防攻擊，以及保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息的目的。

[1]戴連英，連一峰，王航.系統(tǒng)安全與入侵檢測技術(shù)[M].北京：清華大學(xué)出版社，2002，3.

[2]壬強(qiáng).計(jì)算機(jī)安全入侵檢測方案的實(shí)現(xiàn)[J].計(jì)算機(jī)與信息技術(shù)，2007，14：288，320.

[3]張志剛，吳建設(shè).入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].黃石理工學(xué)院學(xué)報(bào)，2008，24(5)：l3-15.

[4]夏炎，尹慧文.網(wǎng)絡(luò)入侵檢測技術(shù)研究[J].沈陽工程學(xué)院學(xué)報(bào)：自然科學(xué)版，2008，4(4)：362-363.