信息安全管理系列之四十九：入侵檢測（ID）技術及其產(chǎn)品標準化淺析

李榛 謝宗曉

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之四十九

在本系列之前的討論中大多從架構(gòu)或標準等視角探討信息安全問題，但毫無疑問，在信息安全實踐中，安全技術/產(chǎn)品占據(jù)了更重要的位置。當然，技術和管理是相輔相成、密不可分的兩個面。在后續(xù)的文章中，我們開始陸續(xù)介紹一些主流的安全技術/產(chǎn)品。和其他文獻不同，我們主要關注如何“使用”。

摘要：介紹了入侵檢測防御產(chǎn)品（IDS/IPS）的概念、主要發(fā)展過程、主要技術路線、未來發(fā)展趨勢以及相關的國際和國家標準。

關鍵詞：信息安全 入侵檢測系統(tǒng) 標準化

Abstract： This paper introduces the concept of intrusion detection and prevention systems （IDPS）， the main development process， the main technical routes， future development trends and related international/national standards.

Key words： information security， Intrusion Detection System （IDS）， standardization

1 概念

所有未經(jīng)允許的進入都可以稱為“入侵”，這個詞匯在物理層面并不難判斷，例如國土遭到了敵人入侵，但是在虛擬的網(wǎng)絡空間（cyberspace）中，入侵的概念變得廣義且模糊，黑客攻擊肯定是入侵行為，但是尚未破解的口令嘗試也算，直至惡意代碼等都可以列入其中。也就是說，在信息安全情境中，所有的惡意行為都列入其中，不再刻意限定邊界。

入侵檢測是對企圖入侵、正在入侵或已經(jīng)發(fā)生的入侵行為識別的過程。無論以任何技術實現(xiàn)上述目標的系統(tǒng)，都可以稱為入侵檢測系統(tǒng)（Intrusion Detection System，IDS）。通俗地講，IDS的目標就是發(fā)現(xiàn)可能的惡意威脅（稱為事件），記錄該事件并采取適當?shù)男袆印＿@就引出了IDS的兩個基本問題：

問題A：如何判斷惡意的事件？

問題B：采取什么適當?shù)男袆樱?/p>

2 主要發(fā)展過程

在物理世界，因為有了圍墻，所以有了門作為出入口，同時控制其中安全。在數(shù)字世界，因為有了電子安全邊界（Electronic Security Perimeters，ESP），所以有了控制出入口的防火墻。總之，因為有了邊界的概念，就產(chǎn)生了入侵的概念。因此，防火墻和IDS的提出都非常早，防火墻幾乎與路由器同時產(chǎn)生。

1980年2月26日，James P. Anderson Co.1）在標題為Computer Security Threat Monitoring and Surveillance（計算機安全監(jiān)控與監(jiān)視）的一份報告中提出了入侵檢測的概念。在該報告的引言中就提出項目的目標在于提高系統(tǒng)的審計和監(jiān)視能力，因此，在當時，對于入侵檢測的理解更強調(diào)審計跟蹤（audit trail）。

Dorothy E. Denning2）在1983—1987年作為計算機科學家的身份參與至斯坦福國際研究院（SRI International），在這期間，她帶領設計了入侵檢測專家系統(tǒng)（Intrusion Detection Expert System，IDES）。需要注意的是，IDS是被定義為專家系統(tǒng)的。這一認識，奠定了其后續(xù)發(fā)展的基調(diào)。至此，IDS的概念框架基本確定，在后續(xù)的發(fā)展中，主要是技術突破的問題。

既然可以認為是專家系統(tǒng)，對IDS而言，那么準確性就非常重要，幾乎所有的廠商都在強調(diào)準確性。但實際情況是，限于底層技術的瓶頸，IDS的準確率總是有限的。也就是說，“問題A：如何判斷惡意的事件？”是IDS領域不變的主題。

回顧問題B，回歸到IDS的本源，IDS的產(chǎn)生是為了監(jiān)視系統(tǒng)，監(jiān)視系統(tǒng)的最終目的是為了防止入侵，最好是能夠阻止攻擊或者與外部系統(tǒng)聯(lián)動預防威脅。因此，對于入侵分成兩個層次的理解：1）最好是能夠防止入侵，防患于未然；2）如果不能阻止，至少能夠事后發(fā)現(xiàn)，亡羊補牢。

以此為分界點，目標為2）的為第一代IDS，目標為1）的為第二代IDS，稱為入侵防御系統(tǒng)（Intrusion Prevention System，IPS）。

3 技術分析及其趨勢

IDS的技術分析本質(zhì)是討論問題A的解決。

目前，IDS的技術主要有：統(tǒng)計異常檢測（anomaly-based detection）和特征碼檢測（signature-based detection）。

統(tǒng)計異常檢測是由Dorothy E. Denning所提出的，其基本原理就是建立基線，定義什么是正常，然后將測量特定時間段和監(jiān)控指標發(fā)生的事件數(shù)量進行對比。統(tǒng)計異常檢測的本質(zhì)就是統(tǒng)計學。最簡單的例子是某個階段有人總是輸錯口令（password），造成賬戶被鎖定。這就被定義為異常事件。統(tǒng)計異常檢測的IDS/IPS將與其類似的概念擴展到涵蓋網(wǎng)絡流量模式、應用程序事件和系統(tǒng)利用率。

統(tǒng)計異常檢測優(yōu)點是善于檢測突然超過標準的事件，例如CPU資源耗盡，某個網(wǎng)絡節(jié)點流量異常等，缺點是不能適應快速變化的網(wǎng)絡環(huán)境，換句話說，“正常”并不是一成不變的，一旦變化頻繁，統(tǒng)計異常檢測的準確性就迅速降低，產(chǎn)生更多的誤報。

特征碼檢測的原理跟病毒檢測原理類似，依賴于已知的不良行為和模式進行判斷，這與統(tǒng)計異常檢測的邏輯實際是相反的。如果統(tǒng)計異常檢測非常重要的是依賴于定義“正常”，那么特征碼檢測主要是依賴于定義“不正常”，即不良行為和模式的數(shù)據(jù)工作庫。

特征碼檢測非常善于識別已知的威脅，而且如果定義良好的話，精確度也會非常高。顯然，特征碼檢測無法預知可能的威脅。統(tǒng)計異常檢測的本質(zhì)是“有罪推定”，與正常的差異都會被預警，而特征碼檢測的本質(zhì)是“無罪推定”。

在技術上，對惡意事件的判定，越來越偏向預測的方向發(fā)展，例如，利用神經(jīng)網(wǎng)絡、貝葉斯網(wǎng)絡、貝葉斯推理等，在后續(xù)，人工智能和大數(shù)據(jù)對于形如IDS/IPS的專家系統(tǒng)肯定有很大的促進。

在具體產(chǎn)品設計上，集成化是比較明顯的趨勢，例如，統(tǒng)一威脅管理（Unified Threat Management，UTM）就是將防火墻、網(wǎng)關防病毒和IDS/IPS等產(chǎn)品集成在一起。拋開UTM這種沒有實際技術突破的產(chǎn)品，防火墻和IDS/IPS等都在向應用層（OSI的第7層）發(fā)展，都在試圖解析報文中的數(shù)據(jù)凈荷，以提高判斷的準確率。

4 相關的國際和國家標準

從文獻[3]和[4]中得知，IDS的相關標準，可以分為產(chǎn)品相關標準和應用場景相關標準。其中，產(chǎn)品相關標準關注的是如何設計、生產(chǎn)IDS/IPS，應用場景相關標準關注的是如何選擇、部署IDS/IPS。如引言中所述，在本文中，我們更關注的是應用場景相關的IDS/IPS標準。

在ISO/IEC27000標準族中，有ISO/IEC 27039：

2015 Information technology—Security techniques— Selection， deployment and operations of intrusion detection and prevention systems （IDPS）《信息技術 安全技術 入侵檢測與防御系統(tǒng)（IDPS）選擇、部署和操作》。

ISO/IEC 27039之前被發(fā)布為ISO/IEC 18043：

2006，修改采用的國家標準為GB/T 28454—2012《信息技術 安全技術 入侵檢測系統(tǒng)的選擇、部署和操作》。從其中標題的變化就可以看出從IDS向IPS的變化趨勢。

此外，國家標準發(fā)布了兩個CC類的產(chǎn)品標準，分別為：1）GB/T 20275—2013《信息安全技術 網(wǎng)絡入侵檢測系統(tǒng)技術要求和測試評價方法》；2）GB/T 28451—2012《信息安全技術 網(wǎng)絡型入侵防御產(chǎn)品技術要求和測試評價方法》。

5 小結(jié)

IDS/IPS通常被認為是繼防病毒軟件和防火墻之后的最重要的安全防護手段之一，此三者被業(yè)界稱為“信息安全老三樣”。市場上存在各種各樣的IDS/IPS產(chǎn)品，以及各種各樣的不依據(jù)技術路線的分類，例如，基于主機的IDS稱為HIDS，基于網(wǎng)絡的IDS稱為NIDS。但是萬變不離其宗，本文梳理了其發(fā)展過程，分析了主流的技術實現(xiàn)路線，以幫助讀者選擇合適的產(chǎn)品。

參考文獻

[1] Mark Rhodes-Ousley. 信息安全完全參考手冊（第2版）[M]. 北京：清華大學出版社，2014.

[2] 劉建偉， 王育民.網(wǎng)絡安全——技術與實踐（第2版）[M].北京：清華大學出版社，2015.

[3] 謝宗曉，李寬.通用準則（CC）與信息安全管理體系（ISMS）的比較分析[J].中國質(zhì)量與標準導報，2018（7）：28-32.

[4] 李軍，謝宗曉.基于產(chǎn)品和基于流程的信息安全標準及其分析[J].中國質(zhì)量與標準導報，2017（12）：60-63.