淺談網絡入侵檢測技術

摘 要：網絡安全是一門涉及計算機科學、網絡技術的等多門學科的綜合科學，傳統的網絡安全檢測技術包括防火墻技術、加密技術、病毒防護技術等，但這些技術實現的卻是一種較為被動的防護，其網絡安全防護能力遠遠不能滿足安全需求。網絡入侵檢測技術是近年來發展較快的網絡安全技術之一，它具有為系統提供實時的入侵檢測的能力，并且能夠有效阻止系統內部的攻擊。本文簡要介紹了入侵檢測的概念、入侵檢測系統的分類以及入侵檢測系統執行的主要任務，并對幾種常用的網絡入侵檢測技術進行了探討。

關鍵詞：概念；分類；執行任務；檢測技術

一、入侵檢測的概念

入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，檢測網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

二、入侵檢測系統的分類

入侵檢測系統（Intrusion Detection System，簡稱IDS）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備，依據不同研究角度，有以下分類方式：

基于信息來源不同，可分為基于主機的入侵檢測系統、基于網絡的入侵檢測系統以及分布式入侵檢測系統?；谥鳈C的入侵檢測系統主要以用戶訪問主機的行為信息作為信息分析來源，適用于加密和交換環境；基于網絡的入侵檢測系統以所截獲的數據包流量信息作為檢測分析來源，在與主機基結合的入侵檢測系統中，一般可用于入侵預警；分布式入侵檢測系統采用分布架構，其分布在網絡不同位置的探測點將收集到得信息發送給中央探測點，以此來判斷是否發生入侵。

基于檢測分析方法不同，可分為濫用檢測入侵檢測系統與異常檢測入侵檢測系統。濫用檢測，又稱為基于規則的入侵檢測，主要對已知攻擊行為或與已知攻擊行為類似的行為進行檢測。濫用檢測的分析機制依賴于攻擊方法或特征庫的建立，它能準確的檢測到某些特定攻擊，但對未知攻擊卻無能為力。其不足主要體現在以下方面：不能檢測未知攻擊及攻擊變體、已經建立的特征庫無法自動獲取與更新、當特征庫較大時，運行效率低；異常檢測，又稱為基于行為的入侵檢測，是通過建立正常行為模式，通過發現異常行為來檢測攻擊。

三、入侵檢測系統執行的主要任務

所謂IDS就是一個能夠對網絡或計算機系統的活動進行實時監測的系統，它能夠發現并報告網絡或系統中存在的可疑跡象，為網絡安全管理提供有價值的信息。IDS執行的主要任務是：（1）監視、分析用戶及系統活動；（2）對系統構造和弱點的審計；（3）識別反映已知進攻的活動模式并向相關人士報警；（4）異常行為模式的統計分析；（5）評估重要系統和數據文件的完整性；（6）操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

四、入侵檢測技術

1.基于專家系統的濫用檢測系統。在濫用檢測中，入侵過程模型及其在攻擊過程中留下的蹤跡是決策的基礎。將專家系統用于入侵檢測系統，就是依據專家知識定義入侵特征，再將被觀察對象與該特征進行比較，分析是否為入侵行為。專家系統主要功能模塊如下：

檢測知識庫：用于存放規則；推理機：用于模擬專家思維過程；數據庫：用于存放獲取及中間過程產生的數據；解釋接口：用于對系統行為作出解釋并記錄推理過程。

專家系統采用基于規則的方法檢測已知的入侵檢測。規則包括前件和后件，前件具有比較、檢驗事實等功能，后件具有刪除、判定事實等功能。專家檢測系統功能強大，靈活性過，但也存在以下問題：不能檢測未知攻擊及攻擊變體；知識不能自動更新；當知識數據庫較大時，效率較低。

2.基于審計追蹤的入侵檢測?；趯徲嬓畔⒌娜肭謾z測工具以及自動分析工具可以向系統安全管理員報告計算機系統活動的評估報告， 通常是脫機的、滯后的。

對攻擊的實時檢測系統的工作原理是基于對用戶歷史行為的建模，以及在早期的證據或模型的基礎之上。審計系統實時地檢測用戶對系統的使用情況，根據系統內部保持的用戶行為的概率統計模型進行監測，當發現有可疑的用戶行為發生時，保持跟蹤并監測該用戶的行為。

系統應具備處理自適應的用戶參數的能力，能夠判斷使用行為是合法還是可疑。這種辦法同樣適用于檢測程序的行為以及對數據資源（如文件或數據庫）的存取行為。

3.基于神經網絡的入侵檢測技術?；趯徲嫿y計數據的入侵檢測系統，具有一些先天的弱點，因為用戶的行為可以是非常復雜的，所以想要準確匹配一個用戶的歷史行為和當前的行為相當困難。錯發的警報往往來自于對審計數據的統計算法所基于的不準確或不貼切的假設。SRI的研究小組利用和發展神經網絡技術來進行入侵檢測。神經網絡可能用于解決傳統的統計分析技術所面臨的以下幾個問題：難于建立確切的統計分布、難于實現方法的普適性、算法實現比較昂貴、系統臃腫難于剪裁。

目前，神經網絡技術提出了對基于傳統統計技術的入侵檢測方法的改進方向，但尚不十分成熟，所以傳統的統計方法仍將繼續發揮作用，也仍然能為發現用戶的異常行為提供相當有參考價值的信息。

4.基于模型推理的入侵檢測技術。攻擊者在入侵一個系統時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者并不一定都是惡意的。用基于模型的推理方法，人們能夠為某些行為建立特定的模型，從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種系統就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的系統建立特定的攻擊腳本。

當有證據表明某種特定的攻擊模型發生時，系統應當收集其他證據來證實或者否定攻擊的真實，以盡可能的避免錯報。

為了防止過多不相干信息的干擾，用于安全目的的入侵檢測系統在審計系統之外一般還配備適合系統安全策略的信息采集器或過濾器。同時，還應當充分利用來自其他信息源的信息。在某些系統內可以在不同的層次進行審計跟蹤。如有些系統的安全機制中采用三級審計跟蹤：審計操作系統核心調用行為的跟蹤；審計用戶和操作系統界面級行為的跟蹤；審計應用程序內部行為的跟蹤。

參考文獻：

[1]王勁松.網絡互聯協議TCP/IP詳解[M].北京：科學技術文獻出版社，1993.

[2]吳應良.管理信息系統的安全問題與對策研究[J].計算機應用研究，1999.

[3]胡振昌.網絡入侵檢測原理與技術[M].北京：北京理工大學出版社，2005.