基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)

孫澤宇， 陳朝輝

(洛陽(yáng)理工學(xué)院 a. 計(jì)算機(jī)與信息工程系；b.電氣工程與自動(dòng)化系，河南 洛陽(yáng) 471023)

0 引言

入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)是用于識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)或是更為廣泛意義上的信息系統(tǒng)的非法攻擊，它是網(wǎng)絡(luò)信息系統(tǒng)安全的第二道防線，是安全基礎(chǔ)設(shè)施的補(bǔ)充。它通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中基于關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊跡象的一種安全技術(shù)。IDS的構(gòu)建基本上有兩種方法：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)和基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS)。兩者的主要區(qū)別是數(shù)據(jù)來(lái)源不同[1]。基于主機(jī)入侵檢測(cè)系統(tǒng)從單個(gè)主機(jī)上提取數(shù)據(jù)作為入侵分析的數(shù)據(jù)源，而基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)從網(wǎng)絡(luò)上提取數(shù)據(jù)作為入侵分析的數(shù)據(jù)源。由于數(shù)據(jù)源不同，所以采用的檢測(cè)方法也不同。

1 入侵檢測(cè)系統(tǒng)框架模型

入侵檢測(cè)交換格式(IDEF)是由互聯(lián)網(wǎng)工作小組(IETF)的入侵檢測(cè)工作組(IDWG)，在1999年6月開發(fā)的安全事件報(bào)警的標(biāo)準(zhǔn)格式。該格式最主要的一點(diǎn)是規(guī)范了部分術(shù)語(yǔ)的使用，為適應(yīng)入侵檢測(cè)系統(tǒng)所輸出的安全事件信息的多樣性，IDEF數(shù)據(jù)模型采用了面向?qū)ο蟮脑O(shè)計(jì)思想，并以統(tǒng)一的建模語(yǔ)言(UML)來(lái)加以描述。其安全檢測(cè)框架模型如圖 1所示。

圖1 IETF/IDWG安全檢測(cè)框架模型

這個(gè)框架模型反映了入侵檢測(cè)系統(tǒng)的功能要求和邏輯結(jié)構(gòu)，而在實(shí)現(xiàn)上的形式可以各有不同，依賴于系統(tǒng)所負(fù)擔(dān)的任務(wù)和所處的工作環(huán)境，所以傳感器、分析器和管理器可以是獨(dú)立的設(shè)備，也可以是一個(gè)設(shè)備中的不同功能[2]。入侵檢測(cè)過(guò)程在宏觀上一般分為三個(gè)過(guò)程，依次是信息收集、數(shù)據(jù)分析和事件響應(yīng)。信息收集包括系統(tǒng)、網(wǎng)絡(luò)、傳輸?shù)臄?shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。數(shù)據(jù)分析的任務(wù)是將收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息送到檢測(cè)引擎，而檢測(cè)引擎一般通過(guò)三種手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到事件時(shí)產(chǎn)生一個(gè)報(bào)警并發(fā)送管理器。管理器根據(jù)安全政策的定義，針對(duì)報(bào)警的內(nèi)容進(jìn)行響應(yīng)，提出相應(yīng)的處理措施建議[3]。

2 入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

2.1 基于主機(jī)入侵檢測(cè)系統(tǒng)

基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。它是通過(guò)比較這些審計(jì)記錄文件的記錄與攻擊簽名以發(fā)現(xiàn)它是否匹配。如果匹配，檢測(cè)系統(tǒng)就向系統(tǒng)管理員發(fā)出入侵報(bào)警并采取相應(yīng)的行動(dòng)?；谥鳈C(jī)的IDS可以精確地判斷入侵事件，并可以對(duì)入侵事件做出立即反應(yīng)。它還可針對(duì)不同操作系統(tǒng)的特點(diǎn)判斷出應(yīng)用層的入侵事件。由于審計(jì)數(shù)據(jù)是收集系統(tǒng)用戶行為信息的主要方法，因而必須保證系統(tǒng)的審計(jì)數(shù)據(jù)不被修改。但是，當(dāng)系統(tǒng)遭到攻擊時(shí)，這些數(shù)據(jù)很可能被修改。這就要求基于主機(jī)的入侵檢測(cè)系統(tǒng)必須滿足一個(gè)重要的實(shí)時(shí)性條件：檢測(cè)系統(tǒng)必須在攻擊者完全控制系統(tǒng)并更改審計(jì)數(shù)據(jù)之前完成對(duì)審計(jì)數(shù)據(jù)的分析、產(chǎn)生報(bào)警并采取相應(yīng)的措施。

基于主機(jī)入侵檢測(cè)系統(tǒng)其優(yōu)點(diǎn)在于：主機(jī)入侵檢測(cè)系統(tǒng)對(duì)分析“可能的攻擊行為”非常有用，它能夠分辨出入侵者干了什么事、他們運(yùn)行什么程序、打開了哪些文件等等。其缺點(diǎn)在于：主機(jī)入侵檢測(cè)系統(tǒng)安裝在我們需要保護(hù)的設(shè)備上。當(dāng)一個(gè)數(shù)據(jù)庫(kù)服務(wù)器需要保護(hù)時(shí)，就要在服務(wù)器本身上安裝入侵檢測(cè)系統(tǒng)，這會(huì)降低應(yīng)用系統(tǒng)的效率。此外，它也會(huì)帶來(lái)一些額外的安全問(wèn)題，安裝了主機(jī)入侵檢測(cè)系統(tǒng)后，擴(kuò)大了本不允許管理員訪問(wèn)的服務(wù)器權(quán)限。

2.2 基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(HIDS)放置在被保護(hù)的網(wǎng)絡(luò)上，使用原始網(wǎng)絡(luò)報(bào)文作為數(shù)據(jù)源進(jìn)行攻擊分析。通常利用一個(gè)網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視和分析所有通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)臄?shù)據(jù)。一旦檢測(cè)到攻擊，入侵檢測(cè)系統(tǒng)相應(yīng)模塊通過(guò)告知、報(bào)警以及中斷連接等方式來(lái)對(duì)攻擊做出反應(yīng)。系統(tǒng)中數(shù)據(jù)采集模塊是由過(guò)濾器、網(wǎng)絡(luò)接口引擎和探測(cè)器組成。它的功能是，按一定規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給入侵檢測(cè)系統(tǒng)分析引擎模塊進(jìn)行安全分析；入侵分析引擎模塊將根據(jù)從采集模塊傳來(lái)的數(shù)據(jù)包并結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)進(jìn)行分析，把分析結(jié)果傳送給管理與配置模塊；而管理與配置模塊的主要功能是管理其他功能模塊的配置工作，并將入侵分析引擎模塊的輸出結(jié)果以有效的方式通知網(wǎng)絡(luò)管理員。

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)其優(yōu)點(diǎn)在于：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠檢測(cè)到哪些是來(lái)自網(wǎng)絡(luò)的攻擊、哪些是來(lái)自超過(guò)權(quán)限的非法訪問(wèn)等等。由于HIDS不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的CPU、I/O設(shè)備與磁盤等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能，HIDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。其缺點(diǎn)在于：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的數(shù)據(jù)包，在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限，而安裝多臺(tái)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器會(huì)使整個(gè)系統(tǒng)的成本大大增加。

2.3 基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)

基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)(HDIDS)，其結(jié)構(gòu)分為兩個(gè)部分：主機(jī)探測(cè)器和入侵管理控制器。HDIDS用于保護(hù)網(wǎng)絡(luò)的關(guān)鍵服務(wù)器或其他具有敏感信息的系統(tǒng)，利用主機(jī)的系統(tǒng)資源、系統(tǒng)調(diào)用、審計(jì)日志等信息，判斷主機(jī)系統(tǒng)的運(yùn)行是否遵循安全規(guī)則[4]。在實(shí)際工作過(guò)程中，主機(jī)探測(cè)器多以安全代理(Agent)形式直接安裝在每個(gè)被保護(hù)的主機(jī)系統(tǒng)上，并通過(guò)網(wǎng)絡(luò)中防火墻和網(wǎng)絡(luò)邊界安全開孔的方法(DMZ)對(duì)系統(tǒng)管理控制臺(tái)進(jìn)行遠(yuǎn)程控制。這種集中式的控制方式，便于對(duì)系統(tǒng)進(jìn)行狀態(tài)監(jiān)控、管理以及對(duì)檢測(cè)模塊的軟件進(jìn)行更新。大大加強(qiáng)了基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)的安全化、結(jié)構(gòu)化和可擴(kuò)展化。其HDIDS配置圖如圖2所示。

圖2 基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)配置

2.4 基于網(wǎng)絡(luò)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)

HDIDS只能保護(hù)主機(jī)的安全。如果當(dāng)網(wǎng)絡(luò)中需要保護(hù)的主機(jī)系統(tǒng)比較多時(shí)，其安裝配置的工作非常復(fù)雜。此外，對(duì)于一些復(fù)雜攻擊，主機(jī)探測(cè)器無(wú)能為力。因此，需要使用基于網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)(NDIDS)。NDIDS結(jié)構(gòu)分為兩個(gè)部分[4]：網(wǎng)絡(luò)探測(cè)器和管理控制器。網(wǎng)絡(luò)探測(cè)器部署在重要的網(wǎng)絡(luò)區(qū)域，如服務(wù)器在收集網(wǎng)絡(luò)通信數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)流時(shí)，通過(guò)采用異常和誤用兩種方法對(duì)收集到信息進(jìn)行分析，若出現(xiàn)攻擊或異常網(wǎng)絡(luò)行為，就向管理控制器發(fā)送報(bào)警信息。其NDIDS配置圖如下頁(yè)圖3所示。

3 網(wǎng)絡(luò)檢測(cè)方法

從入侵的過(guò)程可以看出，數(shù)據(jù)分析是入侵檢測(cè)系統(tǒng)的核心，它是關(guān)系到能否檢測(cè)出入侵行為的關(guān)鍵。檢測(cè)率是人們關(guān)注的焦點(diǎn)，不同的分析技術(shù)所體現(xiàn)的分析機(jī)制也是不一樣的，從而對(duì)數(shù)據(jù)分析得到的結(jié)果當(dāng)然也大不相同，而且不同的分析技術(shù)對(duì)不同的數(shù)據(jù)環(huán)境的適用性也不一樣。根據(jù)入侵檢測(cè)系統(tǒng)所采用的分析技術(shù)來(lái)看，它可以分為采用異常檢測(cè)的入侵檢測(cè)系統(tǒng)和采用誤用檢測(cè)的入侵檢測(cè)系統(tǒng)?；谏鲜龇治隹芍?，入侵行為能夠按某種方式進(jìn)行編碼，而入侵檢測(cè)過(guò)程實(shí)際上就是模式匹配的過(guò)程。

圖3 基于網(wǎng)絡(luò)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)配置

3.1 BM算法

BM算法在一個(gè)文本中匹配某一特定字符串時(shí)，采用了啟發(fā)規(guī)則來(lái)跳過(guò)不必要的比較，減少數(shù)據(jù)比較次數(shù)[1]。BM算法使用的第一個(gè)啟發(fā)規(guī)則一般叫做“壞字符啟發(fā)式”。如果一個(gè)字符在所搜索的模式字符中并沒有出現(xiàn)，那么模式字符串可以向前移N個(gè)字符，其中N是給定的模式字符串的長(zhǎng)度。第二個(gè)啟發(fā)式規(guī)則使用了模式字符串中“重復(fù)子字符串”的知識(shí)。這樣如果發(fā)生了不匹配，并且模式字符串中存在重復(fù)字符串模式，那么就可以使模式字符串移動(dòng)到子字符串下一次出現(xiàn)的地方。BM算法如下：

3.2 基于貝葉斯推理異常檢測(cè)方法

3.3 基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法

基于神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)方法是訓(xùn)練神經(jīng)網(wǎng)絡(luò)連續(xù)的信息單元，信息單元指的是命令[6]。網(wǎng)絡(luò)的輸入層是用戶當(dāng)前輸入的命令和已執(zhí)行過(guò)的N個(gè)命令；用戶執(zhí)行的命令被神經(jīng)網(wǎng)絡(luò)使用來(lái)預(yù)測(cè)用戶輸入的下一個(gè)命令。若神經(jīng)網(wǎng)絡(luò)被訓(xùn)練成預(yù)測(cè)用戶輸入命令序列集合，則神經(jīng)網(wǎng)絡(luò)就構(gòu)成用戶的輪廓框架。當(dāng)用這個(gè)神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)不出某用戶正確的后繼命令，即在某種程序上表明了用戶行為與其輪廓框架的偏離，這時(shí)有異常事件發(fā)生，以此就能進(jìn)行異常入侵檢測(cè)。

3.4 基于模型誤用入侵檢測(cè)方法

該方法要點(diǎn)是建立攻擊劇本數(shù)據(jù)庫(kù)預(yù)警器和規(guī)劃者[3]。每個(gè)攻擊劇本表示成一個(gè)攻擊行為序列，在任意的給定時(shí)刻，攻擊劇本的子集都被用來(lái)推斷系統(tǒng)遭受入侵。入侵檢測(cè)系統(tǒng)根據(jù)當(dāng)前的活動(dòng)模型，預(yù)警器產(chǎn)生下一步行為，用來(lái)在審計(jì)跟蹤時(shí)作驗(yàn)證使用。規(guī)劃者負(fù)責(zé)判斷假設(shè)的行為是如何反映在審計(jì)跟蹤數(shù)據(jù)上，以及將假設(shè)的行為變成與系統(tǒng)相關(guān)的審計(jì)跟蹤進(jìn)行匹配。由于某些攻擊劇本的證據(jù)的累積，造成其他的證據(jù)的下降，活動(dòng)模型組就被更新。同時(shí)系統(tǒng)中嵌入證據(jù)推理分析功能，這樣就可以得到更新活動(dòng)的攻擊劇本出現(xiàn)的概率，根據(jù)攻擊劇本概率的大小進(jìn)行推斷檢測(cè)入侵。

3.5 基于狀態(tài)遷移的誤用檢測(cè)方法

狀態(tài)遷移方法利用狀態(tài)圖表示攻擊特征，不同狀態(tài)刻畫了系統(tǒng)某一時(shí)刻的特征。初始狀態(tài)對(duì)應(yīng)于入侵開始前的系統(tǒng)狀態(tài)，危害狀態(tài)對(duì)應(yīng)于已成功入侵時(shí)刻的系統(tǒng)狀態(tài)。初始狀態(tài)與危害狀態(tài)之間的遷移可能有一個(gè)或多個(gè)中間狀態(tài)。攻擊者的操作將導(dǎo)致狀態(tài)發(fā)生遷移，使系統(tǒng)從初始狀態(tài)遷移到危害狀態(tài)。基于狀態(tài)遷移的誤用檢測(cè)方法通過(guò)檢查系統(tǒng)的狀態(tài)變化來(lái)發(fā)現(xiàn)系統(tǒng)中的入侵行為。

4 結(jié)語(yǔ)

因?yàn)榫W(wǎng)絡(luò)入侵者通常是一些尖端技術(shù)的掌握者，至少有能力使用多級(jí)連接和代理等手段身份的掩護(hù)，所以入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)界共同難題。本文從實(shí)際出發(fā)，提出了基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)更有效地防御外來(lái)者的入侵，同時(shí)對(duì)BM算法和檢測(cè)方法做了詳細(xì)的描述。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全的擴(kuò)充，是網(wǎng)絡(luò)安全技術(shù)中的一個(gè)新型研究領(lǐng)域，具有廣闊的應(yīng)用前景。

[1] 牛少影.信息安全概論[M].北京:北京郵電大學(xué)出版社,2004:190-201.

[2] 龔儉,吳樺,楊望.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M].南京:東南大學(xué)出版社,2007:253-271.

[3] 劉艷云.基于改進(jìn)關(guān)聯(lián)規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法的研究[J].通信技術(shù),2008,41(12):316-318.

[4] 蔣建春.網(wǎng)絡(luò)信息安全理論與實(shí)踐[M].西安:西安電子科技大學(xué)出版社,2005:128-139.

[5] 夏炎,殷慧文.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J].沈陽(yáng)工程學(xué)院學(xué)報(bào),2008(10):362-364.

[6] 胡建偉.網(wǎng)絡(luò)安全與保密[M].西安:西安電子科技大學(xué)出版社,2006:233-241.