入侵檢測技術的發展與趨勢

安振亞

（山東省科學技術協會學會服務中心，山東 濟南250001）

1 入侵技術發展的體現

（1）入侵的綜合化與復雜化。入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網絡防范技術的多重化，攻擊的難度增加，使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。

（2）入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。通過一定的技術，可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術后，對于被攻擊對象攻擊的主體是無法直接確定的。

（3）入侵的規模擴大。對于網絡的入侵與攻擊，在其初期往往是針對于某公司或一個網站，其攻擊的目的可能為某些網絡技術愛好者的獵奇行為，也不排除商業的盜竊與破壞行為。由于戰爭對電子技術與網絡技術的依賴性越來越大，隨之產生、發展、逐步升級到電子戰與信息戰。對于信息戰，無論其規模與技術都與一般意義上的計算機網絡的入侵與攻擊都不可相提并論。信息戰的成敗與國家主干通信網絡的安全是與任何主權國家領土安全一樣的國家安全。

（4）入侵技術的分布化。以往常用的入侵與攻擊行為往往由單機執行。由于防范技術的發展使得此類行為不能奏效。所謂的分布式拒絕服務（DDoS）在很短時間內可造成被攻擊主機的癱瘓。且此類分布式攻擊的單機信息模式與正常通信無差異，所以往往在攻擊發動的初期不易被確認。分布式攻擊是近期最常用的攻擊手段。

（5）攻擊對象的轉移。入侵與攻擊常以網絡為侵犯的主體，但近期來的攻擊行為卻發生了策略性的改變，由攻擊網絡改為攻擊網絡的防護系統，且有愈演愈烈的趨勢。現已有專門針對IDS作攻擊的報道。攻擊者詳細地分析了IDS的審計方式、特征描述、通信模式找出IDS的弱點，然后加以攻擊。

2 入侵檢測系統存在的問題

入侵檢測系統還存在相當多的問題，這些問題大多是目前入侵檢測系統的結構所難以克服的。

（1）攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以及越來越復雜細致的攻擊手法。入侵檢測系統必須不斷跟蹤最新的安全技術，才能不致被攻擊者遠遠超越。

（2）惡意信息采用加密的方法傳輸。網絡入侵檢測系統通過匹配網絡數據包發現攻擊行為，入侵檢測系統往往假設攻擊信息是通過明文傳輸的，因此對信息的稍加改變便可能騙過入侵檢測系統的檢測。

（3）不能知道安全策略的內容。必須協調、適應多樣性的環境中的不同的安全策略。網絡及其中的設備越來越多樣化，入侵檢測系統要能有所定制以更適應多樣的環境要求。

（4）不斷增大的網絡流量。用戶往往要求入侵檢測系統盡可能快的報警，因此需要對獲得的數據進行實時的分析，這導致對所在系統的要求越來越高，商業產品一般都建議采用當前最好的硬件環境。盡管如此，對日益增大的網絡流量，單一的入侵檢測系統系統仍很難應付。

（5）不恰當的自動反應存在風險。一般的IDS都有入侵響應的功能，如記錄日志，發送告警信息給console、發送警告郵件，防火墻互動等，敵手可以利用IDS的響應進行間接攻擊，使入侵日志迅速增加，塞滿硬盤；發送大量的警告信息，使管理員無法發現真正的攻擊者，并占用大量的cpu資源；發送大量的告警郵件，并占用接收警告郵件服務器的系統資源；發送虛假的警告信息，使防火墻錯誤配置，如攻擊者假冒大量不同的IP進行模擬攻擊，而入侵檢測系統系統自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉，造成一些正常的IP無法訪問等。

（6）自身的安全問題。入侵檢測系統本身也往往存在安全漏洞。因為IDS是安裝在一定的操作系統之上，操作系統本身存在漏洞或IDS自身防御力差，就可能受到smurf、synflood等攻擊。此類攻擊很有可能造成IDS的探測器丟包、失效或不能正常工作。

（7）存在大量的誤報和漏報。采用當前的技術及模型，完美的入侵檢測系統無法實現。這種現象存在的主要原因是：入侵檢測系統必須清楚的了解所有操作系統網絡協議的運作情況，甚至細節，才能準確的進行分析。而不同操作系統之間，甚至同一操作系統的不同版本之間對協議處理的細節均有所不同。而力求全面則必然違背入侵檢測系統高效工作的原則。

3 入侵檢測技術的發展方向

今后的入侵檢測技術大致可朝下述幾個方向發展：

（1）分布式入侵檢測：傳統的IDS局限于單一的主機或網絡架構，對異構系統及大規模的網絡檢測明顯不足，不同的IDS系統之間不能協同工作。為解決這一問題，需要發展分布式入侵檢測技術與通用入侵檢測架構。第一層含義，即針對分布式網絡攻擊的檢測方法；第二層含義即使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。

（2）應用層入侵檢測：許多入侵的語義只有在應用層才能理解，而目前的IDS僅能檢測如Web之類的通用協議，而不能處理如Lotus Notes、數據庫系統等其他的應用系統。

（3）高速網絡的入侵檢測：在IDS中，截獲網絡的每一個數據包，并分析、匹配其中是否具有某種攻擊的特征需要花費大量的時間和系統資源，因此大部分現有的IDS只有幾十兆的檢測速度，隨著百兆、甚至千兆網絡的大量應用，需要研究高速網絡的入侵檢測。

（4）增加信譽服務：很多基于網絡和基于主機的IDS產品最近都增加了信譽服務。這些服務已經在其他類型的安全控制中使用多年。信譽服務能收集域名，IP地址，應用協議，物理位置和計算活動的其他方面信息。然后，IPS系統利用這些信息來確定新的活動是否是是惡意的。此信息對提高確定IPS警報的優先級特別有價值。例如，IPS傳感器可以對各類不尋常的活動發出警報，但是這些IP地址之一的其他惡意操作歷史記錄可能會提升它的分析優先級，因為它可能是有惡意的。

（5）無線IPS的改進：無線IPS技術比其他形式IPS技術都要先進。隨著無線技術的發展，無線IPS技術正不斷擴大自己的能力。例如，自從IEEE 802.11n傳輸標準確定后，大多數無線IPS技術已經增加了對此標準的支持。

（6）虛擬環境中IPS的應用：云計算的興起帶來了對云安全技術的特性需求。值得慶幸的是，hypervisor（虛擬機管理器）是監控一個虛擬實例和不同虛擬實例間網絡行為的好地方，更知名的叫法師內部檢測。一些hypervisor主動提供自己的入侵檢測技術，另外一些hypervisor可以把內部檢測收集而來的信息傳遞到外部安全的控件，例如，標準的基于主機的IPS來檢測和發出警報。企業要確保當一個虛擬實例從一個云服務器移到另一個時，其安全策略也一并被轉移。

［1］鄭敬華.NIDS模型中檢測引擎模塊的設計與實現[J].信息通信,2011（05）.

［2］李志東.基于融合決策的網絡安全態勢感知技術研究[D].哈爾濱工程大學,2012.

［3］左澄真,方敏.進化模糊分類識別在IDS中的應用[J].計算機工程,2005（23）.

［4］孔靚,賈美娟,李梓.網絡安全關鍵技術研究[J].信息技術，2012（04）.