基于系統行為的入侵檢測的系統的研究

摘 要：本文主要介紹了基于系統行為的入侵檢測系統，首先對基于網絡的入侵檢測系統和基于主機的入侵檢測系統進行了簡要介紹及優缺點分析，然后對系統行為進行了剖析，其中重點對靜態行為分析技術和動態行為分析技術的原理，研究現狀，應用成效等進行了闡明和對比，最后總結了HIDS的目前研究進展和未來要關注的問題。

關鍵詞：網絡安全 入侵檢測 靜態行為分析 動態行為分析

中圖分類號：TP39 文獻標識碼：A 文章編號：1003-9082（2018）06-000-01

引言

目前網絡環境日趨復雜和多變，來自網絡的攻擊會對個人及社會造成極大的破環型，傳統的單一防火墻和殺毒軟件已無法防范復雜多變的攻擊，網絡安全已成為遏制網絡健康發展的重要因素，入侵檢測技術是網絡安全的一項重要組成部分，可以對來自系統外部與內部的行為進行監控與報警，當發現不良行為時可以馬上響應及報警攔截。在眾多的入侵檢測技術中，基于系統行為的入侵檢測系統是應用較普遍，檢測性能較好，費用較低，性價比較高的一種。

一、NIDS與HIDS的優劣分析

入侵檢測作為網絡安全領域的關鍵、核心技術之一，自從20世紀80年代Anderson的報告開始，一直是該領域的研究熱點。近些年國內和國外關于這方面的研究不斷開展，嘗試采用各種有效方法解決入侵檢測中的問題，取得了一定的功效。

入侵檢測（Intrusion Detection ）就是對系統外部與內部的非法入侵行為的檢測。它通過搜集和剖析計算機網絡或計算機系統中許多關鍵點的文件和程序等信息，檢查網絡或系統中有無存在非法的入侵行為和被襲擊的蹤跡。入侵檢測作為一種積極主動的安全防護技術，對系統的內部和外部提供了實時的保護，在被保護的對象受到侵害之前對入侵行為進行報警和攔截，入侵檢測技術雖然也能夠對網絡攻擊進行識別并作出反應，但其側重點還是在于發現，而不能代替防火墻系統執行整個網絡的訪問控制策略。

根據入侵檢測系統的設計原理來分類的話可以分為兩類：基于網絡的入侵檢測系統（NIDS）和基于主機的入侵檢測系統（HIDS）。

NIDS是基于網絡的入侵檢測系統，由分布在網絡中的眾多的傳感器（Sensor）組成，傳感器通常是獨立的檢測引擎，能獲得網絡分組、對整個網段中的網絡流量進行監聽，對數據包中的內容進行檢查，并對系統中的文件和記錄進行統計和追蹤，找尋誤用模式，然后監測到異常報告后向中央控制臺告警。目前，很多比較新的技術已經開始在NIDS中應用，像是數據挖掘技術和深度學習，通過這些新興技術的加持，在對搜集的信息和數據進行相關處理時，可以大大提高檢測效果，降低誤報率。

HIDS是基于主機的入侵檢測系統，他主要擔任保護網絡中某臺特定的主機，并在這臺主機上進行運行，基于主機的入侵檢測是入侵檢測的最初期形式，這種入侵檢測系統通常運行在被檢測的主機或者服務器上，實時檢測檢測系統的運行，通常從主機的審計記錄和日志文件中獲得所需的主要數據源，并輔之以主機上的其他信息，在此基礎上完成檢測攻擊行為的任務。特別的，從主機入侵檢測技術中還可以單獨分離出基于應用的入侵檢測模型，這是特別針對于某個特定任務的應用程序而設計的入侵檢測技術，采用的輸入數據源是應用程序的日志信息。

在實際的應用中，NIDS雖然可以在多種設備上移植，也很容易配置和實現但在實際檢測時，NIDS在處理加密的數據時，像是對數據進行簡單替換還有采用SSH、HTTPS、和帶密碼的壓縮文件這種技術手段，NIDS就比較難對其進行識別，在重放攻擊，中間人攻擊，網絡監聽， DDos以及異常檢測方面，NIDS也有較大的局限性。而HIDS雖然依賴主機，較難跨平臺，但其成本低，檢測襲擊種類多，在應用范圍上要比NIDS廣泛得多。

二、系統行為分析

在分析系統行為時，我們主要是對（1）系統信息，幾乎所有的操作系統都提供一組命令，獲得本機當前激活的進程的狀態信息，他們直接檢查內核程序的內存信息。（2）計算機資源的使用情況的記賬，例如CPU占用時間，內存，硬盤，網絡使用情況。（3）系統日志，可分為操作系統日志和應用程序日志兩部分。操作系統日志從不同方面記錄了系統中發生的事情，對于入侵檢測而言，具備重要的價值，當一個進程終止時，系統內核為每個進程在進程日志文件中寫入一條記錄。（4）C2安全審計，記錄所有可能與安全性有關的發生在系統上的事情。由此，我們一般將系統行為分為，靜態系統行為和動態系統行為。

兩種行為分析方法都是通過對正常的系統行為進行的闡明和搜集，總結出正常行為普遍模式，對正常行為進行模型建立，當出現與系統中不匹配的行為時，系統會認為這是異常行為，就會對此行為進行報警和攔截。但兩種行為分析方法也有不同點，靜態行為分析方法是在系統不運行的情況下對系統行為進行搜集分析和建模，而動態行為分析方法是在系統運行的情況下對系統行為進行搜集分析和建模。但這兩種檢測系統都會有如下缺陷：一是如果是正常行為，但在行為庫中并未收集，這時系統在檢測這種行為時會誤認為是異常行為而進行攔截，二是對正常行為的記錄及建模是需要大量時間來訓練的，而且在監聽時需要與行為庫中的正常行為進行比對，這些都會對主機的性能造成影響。由此我們可以看出，在系統異常行為檢測技術中其核心其實就是是對系統非法行為的識別。在未來的發展中，系統異常行為檢測技術不僅要提高甄別能力并且要盡量避免上文所述的缺陷。

三、系統行為分析技術的分析

系統行為分析技術主要就是靜態系統行為分析方法和動態系統行為分析方法。

對于靜態系統行為分析方法，主要是對是程序源代碼和二進制文件進行分析，在系統靜止的情況下對系統中需要保護的程序文件用數據流、約束條件、基于抽象解釋、基于類型和結果、符號執行建模等技術手段來進行分析和處理等，對系統中需要保護的系統文件用注注冊表、關鍵系統文件、系統設置等系統屬性來進行分析和處理，通過上述技術手段對系統中需要保護的程序文件以及系統文件進行分析處理后，進行模型建立，當系統開始運行時，當監測到模型庫中沒有的行為時，就會將這種行為標記為異常行為，系統就會對此行為進行攔截。

像現在比較主流的靜態分析方法主要有（1）基于數據流的分析（2）基于約束條件的分析（3）基于抽象解釋的分析，以及（4）符號執行分析。

這些靜態分析方法既可以分析系統中的程序文件.也可對系統設置進行，將正常系統建模，監聽系統中的關鍵行為，當發現一些關鍵點的狀態改變或是一些設置被更改，這表示有有異常行為破環系統。

靜態行為分析方法態在技術上已經比較成熟了，其優點與缺點都是比較突出的，雖然靜態行為分析方法在訓練數據庫方面的成本比較低，分析方法和分析層次也比較多樣；也不需進行后期學習練習；誤報率還比較低。但是.靜態行為分析方法的缺點也是非常顯著的，比如：分析對象不易獲得；編譯時和鏈接時的數據分析容易受到較多約束等等。

而動態行為分析則可以很好地彌補靜態行為分析方法的缺點，動態行為分析是在系統運行的情況下對系統的行為進行記錄，將系統中出現的實際情況進行收集和記錄，不需要得倒程序的源代碼或二進制文件就可以獲得很多靜態行為分析時較難得倒的信息（比如頻率、堆棧信息等）。由此可得出在異常入侵檢測方法中，動態行為分析方法較之于靜態行為分析方法會有更大的優勢。不過動態行為分析方法也存在缺陷：一是在總結和記錄系統的正常行為時可能會不夠全面，而導致將一些系統的正常行為標記為異常行為，而產生誤報，二是動態行為分析方法是在系統運行時來對系統行為進行記錄和建模，這就會導致訓練數據庫所需的成本較高。

四、結語

在目前復雜的網絡環境下，入侵檢測已是計算機安全領域必不可少的一項關鍵部分，在眾多的入侵檢測技術中，基于系統行為的入侵檢測技術已是非常成熟，應用也是非常廣泛。不過，綜合分析，不管是靜態行為分析方法還是動態行為分析方法，都有各自的專長和缺陷，如果單一使用，總是不能對系統進行全方面的監聽，最好的就是可以將二者結合來使用，揚長避短，利用動態分析技術模擬靜態分析的效果，將二者各自優點發揮最大，以求達到最佳監測效果，才是未來基于系統行為入侵檢測研究的方向。

參考文獻

[1]周彬彬.于程序行為靜態分析的入侵檢測系統研究與設計[D].北京郵電大學，2010.

[2]葛賢銀，韋素媛，楊百龍，蒲玄及.于行為分析技術的混合入侵檢測系統的研究[A].國電子學會信息論分會.中國電子學會第十六屆信息論學術年會論文集[C].中國電子學會信息論分會：中國電子學會信息論分會，2009：4.

[3]余曉永.于網絡行為分析的入侵檢測系統研究[D].合肥工業大學，2009.

[4]黃盧記.于網絡行為分析的入侵檢測系統研究[D].鄭州大學，2007.

作者簡介：段悅，（1986-），女，初級/計算機，研究方向：網絡安全。