入侵檢測(cè)系統(tǒng)性能與魯棒性分析

張 毅， 梅 挺

(成都醫(yī)學(xué)院 人文信息管理學(xué)院 計(jì)算機(jī)教研室，四川 成都 610081)

0 引言

入侵檢測(cè)技術(shù)提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶權(quán)的一種方法，自1980年，Anderson首先提出了入侵檢測(cè)的概念以來(lái)，入侵檢測(cè)技術(shù)已被廣泛應(yīng)用于網(wǎng)絡(luò)安全防御中。從獲取數(shù)據(jù)的角度來(lái)說(shuō)，入侵檢測(cè)體統(tǒng)可以分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)它主要分析主機(jī)內(nèi)部的活動(dòng)，從操作系統(tǒng)和安全審計(jì)系統(tǒng)的日志獲取信息，同時(shí)分析主機(jī)的系統(tǒng)調(diào)用以及文件系統(tǒng)完整性，并對(duì)所得的信息進(jìn)行處理[1]。如果發(fā)現(xiàn)入侵，它將會(huì)給以適合的響應(yīng)?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包為數(shù)據(jù)源。它通常利用工作在混雜模式下的網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視并分析流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)流。它可以分析一個(gè)網(wǎng)段中的所有數(shù)據(jù)包，進(jìn)行實(shí)時(shí)分析和響應(yīng)。而且，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)具有操作系統(tǒng)無(wú)關(guān)性，可以單獨(dú)安裝不會(huì)增加主機(jī)的負(fù)載。

一個(gè)典型的入侵檢測(cè)系統(tǒng)(IDS)的基本構(gòu)成如圖1所示。

圖1 通用入侵檢測(cè)模型

如圖1所示的通用入侵檢測(cè)系統(tǒng)模型中，主要由以下幾大部分組成。

數(shù)據(jù)收集器（又可稱為探測(cè)器）：主要負(fù)責(zé)收集數(shù)據(jù)。探測(cè)器的輸入數(shù)據(jù)流包括任何可能包含入侵行為線索的系統(tǒng)數(shù)據(jù)。比如說(shuō)網(wǎng)絡(luò)數(shù)據(jù)包、日志文件和系統(tǒng)調(diào)用記錄等。探測(cè)器將這些數(shù)據(jù)收集起來(lái)，然后發(fā)送到檢測(cè)器進(jìn)行處理。

檢測(cè)器（又可稱為分析器或檢測(cè)引擎），負(fù)責(zé)分析和檢測(cè)入侵的任務(wù)，并發(fā)出警報(bào)信號(hào)。

知識(shí)庫(kù)：提供必要的數(shù)據(jù)信息支持。例如用戶歷史活動(dòng)檔案，或者檢測(cè)規(guī)則集合等。

控制器：根據(jù)警報(bào)信號(hào)，人工或自動(dòng)作出反應(yīng)動(dòng)作。

另外，絕大多數(shù)的入侵檢測(cè)系統(tǒng)都會(huì)包含一個(gè)用戶接口組件，用于觀察系統(tǒng)的運(yùn)行狀態(tài)合輸出信號(hào)，并對(duì)系統(tǒng)行為進(jìn)行控制。

隨著IDS廣泛應(yīng)用和推廣后，對(duì)IDS進(jìn)行測(cè)試和評(píng)估也十分必要。不論是IDS的設(shè)計(jì)者還是使用者都希望有方便的工具，合理的方法對(duì)IDS進(jìn)行科學(xué)，公正并且可信地測(cè)試和評(píng)估。對(duì)于IDS的研制和開(kāi)發(fā)者來(lái)說(shuō)，對(duì)各種IDS進(jìn)行經(jīng)常性的評(píng)估，可以及時(shí)了解技術(shù)發(fā)展的現(xiàn)狀和系統(tǒng)存在的不足，從而將研究重點(diǎn)放在關(guān)鍵的技術(shù)問(wèn)題上，減少系統(tǒng)的不足，提高系統(tǒng)的性能；而對(duì)于IDS的使用者來(lái)說(shuō)，由于他們對(duì)IDS依賴程度越來(lái)越大，所以也希望通過(guò)評(píng)估來(lái)選擇適合自己需要的產(chǎn)品，避免各IDS產(chǎn)品宣傳的誤導(dǎo)。

1 入侵檢測(cè)系統(tǒng)形式化描述

根據(jù)計(jì)算機(jī)信息安全的定義，本文對(duì)IDS系統(tǒng)的安全性能給出形式化的描述：[2]

定義1 IDS系統(tǒng)安全是指?jìng)鞲衅飨蚩刂婆_(tái)發(fā)送的信息，數(shù)據(jù)文件存儲(chǔ)的規(guī)則和記錄的數(shù)據(jù)信息以及控制臺(tái)向管理員發(fā)送的響應(yīng)信息等的機(jī)密性、完整性和可用性。其實(shí)：它可用＜S,I,U＞三元組來(lái)進(jìn)行形式化定義：

S：是指信息的機(jī)密性，即只能有授權(quán)用戶訪問(wèn)信息以及對(duì)IDS中有用信息進(jìn)行加密處理；

I：是指信息的完整性，即指防止 IDS系統(tǒng)中存儲(chǔ)與傳輸?shù)男畔⒈恍薷?、?fù)制和破壞，以及保證信息交換的內(nèi)容與順序均證實(shí)有效且不可否認(rèn)；

U：是指信息的可用性，即IDS系統(tǒng)資源和信息能夠持續(xù)有效地工作，以及授權(quán)用戶可以在需要的時(shí)間、從需要的地方、以需要的方式來(lái)訪問(wèn)跟蹤相應(yīng)資源。

如果針對(duì)三元組中的任何一個(gè)元素進(jìn)行相應(yīng)地操作，則會(huì)對(duì)IDS系統(tǒng)中信息資源的安全性產(chǎn)生威脅。

定義2 IDS系統(tǒng)安全度是指IDS系統(tǒng)在特定的環(huán)境或條件下，在一定的時(shí)間內(nèi)，不會(huì)發(fā)生針對(duì)IDS系統(tǒng)信息的機(jī)密性、完整性以及可用性進(jìn)行破壞活動(dòng)或事件的概率。

若以E表示特定的環(huán)境，t表示給定的時(shí)間，設(shè)系統(tǒng)從0時(shí)刻開(kāi)始運(yùn)行，直到T時(shí)刻發(fā)生入侵IDS系統(tǒng)的事件，則：。即表示IDS系統(tǒng)在特定的環(huán)境E下的、正常工作到時(shí)刻t時(shí)的概率。

其中，T是從0時(shí)刻開(kāi)始，系統(tǒng)運(yùn)行到發(fā)生故障時(shí)的時(shí)間。根據(jù)定義， (,)MEt具有如下性質(zhì)：

① (,0)1E = ，即在 0時(shí)刻，系統(tǒng)尚未遭受到任何入侵事件的攻擊，系統(tǒng)安全度最高；

② M(E,∞ ) = 0 ，即在無(wú)限遠(yuǎn)的時(shí)刻，系統(tǒng)必定將受到入侵；

③ 在時(shí)間區(qū)間(0，+∞)上， (,)MEt是單調(diào)下降的，即隨著時(shí)間的增加，IDS系統(tǒng)的安全度則相應(yīng)降低。

定義3 IDS系統(tǒng)入侵度是指在特定的環(huán)境或條件下，在一個(gè)確定的時(shí)間內(nèi)，發(fā)生針對(duì)于IDS系統(tǒng)安全性的破壞活動(dòng)或事件的概率，記為 (,)NEt。由定義可知：，即：

因此， (,)NEt具有與 (,)MEt相似的性質(zhì)：

① N(E , 0) = 0 ，即在0時(shí)刻，系統(tǒng)無(wú)入侵事件發(fā)生，IDS系統(tǒng)入侵度為0；

② N(E,∞) = 1 ，即在無(wú)限遠(yuǎn)的時(shí)刻，系統(tǒng)必定將受到入侵，入侵度為1；

③ 在時(shí)間區(qū)間(0，+∞)上， (,)NEt是單調(diào)上升的，即隨著時(shí)間的增加。

IDS系統(tǒng)發(fā)生入侵活動(dòng)或事件的概率相應(yīng)增加，系統(tǒng)入侵度也相應(yīng)增加。因此，如何有效地提高IDS系統(tǒng)的安全度，并有效地降低IDS系統(tǒng)的入侵度，則是保證IDS系統(tǒng)安全可靠的重要途徑。

2 影響入侵檢測(cè)系統(tǒng)性能主要因素

入侵檢測(cè)系統(tǒng)的性能分析主要考慮檢測(cè)系統(tǒng)的有效性、效率和可用性。有效性研究檢測(cè)機(jī)制的檢測(cè)精確度和系統(tǒng)檢測(cè)結(jié)果的可信度，它是開(kāi)發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的，是檢測(cè)評(píng)估IDS的主要指標(biāo)，效率則從檢測(cè)機(jī)制的處理數(shù)據(jù)的速度以及經(jīng)濟(jì)性的角度來(lái)考慮，也就是側(cè)重檢測(cè)機(jī)制性能價(jià)格的改進(jìn)。[3]可用性主要包括系統(tǒng)的可擴(kuò)展性、用戶界面的可用性，部署配置程度等方面。有效性是開(kāi)發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的，因此也是測(cè)試評(píng)估IDS的主要指標(biāo)，但效率和可用性對(duì)IDS的性能也起很重要的作用。效率和可用性的要求也體現(xiàn)與IDS設(shè)計(jì)的各個(gè)環(huán)節(jié)中。

IDS的檢測(cè)率、虛警率和檢測(cè)可信度是其性能的重要指標(biāo)。檢測(cè)率是指被監(jiān)控系統(tǒng)在收到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能夠正確報(bào)警的概率。虛警率是指檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)虛驚的概率。檢測(cè)可信度也就是檢測(cè)系統(tǒng)檢測(cè)結(jié)果的可信程度，這是測(cè)試評(píng)估IDS的最重要的指標(biāo)。

在測(cè)試評(píng)估IDS的具體實(shí)施過(guò)程中，除了要IDS的檢測(cè)率和虛警率之外，往往還會(huì)單獨(dú)考慮與這兩個(gè)指標(biāo)密切相關(guān)的一些因素，比如能檢測(cè)的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力。顯然，能檢測(cè)的入侵特征數(shù)量越多，檢測(cè)率也就越高。此外，由于攻擊者為了加大檢測(cè)的難度甚至繞過(guò)IDS的檢測(cè)，常常會(huì)發(fā)送一些特別設(shè)計(jì)的分組。為了提高IDS檢測(cè)率降低IDS的虛警率，IDS常常需要采取一些相應(yīng)的措施，比如對(duì)于各種逃避方式增加一些預(yù)處理器等。因?yàn)榉治鰡蝹€(gè)的數(shù)據(jù)分組會(huì)導(dǎo)致許多誤報(bào)和漏報(bào)，所以增強(qiáng)IDS對(duì)數(shù)據(jù)流的重組能力可以提高檢測(cè)的精確度。IP碎片重組的評(píng)測(cè)標(biāo)準(zhǔn)有三個(gè)性能：能重組的最大IP分片數(shù)；能同時(shí)重組的IP分組數(shù)；能進(jìn)行重組的最大IP數(shù)據(jù)分組的長(zhǎng)度，TCP流重組是為了對(duì)完整的網(wǎng)絡(luò)對(duì)話進(jìn)行分析，它是網(wǎng)絡(luò)IDS對(duì)應(yīng)用層進(jìn)行分析的基礎(chǔ)。如：檢查郵件內(nèi)容、檢查FTP傳輸?shù)臄?shù)據(jù)，禁止訪問(wèn)有害網(wǎng)站，判斷非法HTTP請(qǐng)求等。這兩個(gè)能力都會(huì)直接影響IDS的檢測(cè)可信度。

除此之外，影響IDS性能的還有延遲時(shí)間、資源占有率、負(fù)荷能力和報(bào)警響應(yīng)能力等。延遲時(shí)間指的是在攻擊發(fā)生至IDS檢測(cè)到入侵之間的延遲時(shí)間，延遲時(shí)間的長(zhǎng)短直接關(guān)系著入侵攻擊破壞的程度。資源的占有率即系統(tǒng)在達(dá)到某種檢測(cè)有效性時(shí)對(duì)資源的要求情況。通常，在同等檢測(cè)有效性的前提下，對(duì)資源的要求越低，IDS的性能越好，檢測(cè)入侵的能力也就越強(qiáng)。負(fù)荷能力是其設(shè)計(jì)的負(fù)荷能力，在超出負(fù)荷能力的情況下，性能會(huì)出現(xiàn)不同程度的下降。比如，在正常情況下IDS可檢測(cè)到某攻擊但在負(fù)荷大的情況下可能就檢測(cè)不出該攻擊，考察檢測(cè)系統(tǒng)的負(fù)荷能力就是觀察不同大小的網(wǎng)絡(luò)流量、不同強(qiáng)度的 CPU內(nèi)存等系統(tǒng)資源的使用對(duì) IDS的關(guān)鍵指標(biāo)（比如檢測(cè)率、虛警率）的影響。日志、報(bào)警、報(bào)告以及響應(yīng)能力。日志能力是指檢測(cè)系統(tǒng)保存日志的能力、按照特定要求選取日志內(nèi)容的能力。報(bào)警能力是指在檢測(cè)到入侵后，向其它部件、人員發(fā)送報(bào)警信號(hào)的能力以及在報(bào)警中附加信息的能力。報(bào)告能力是指產(chǎn)生入侵行為報(bào)告、提供查詢報(bào)告、創(chuàng)建和保存報(bào)告的能力。響應(yīng)能力是指在檢測(cè)到入侵后進(jìn)一步處理的能力，這包括阻斷入侵、跟蹤入侵者、記錄入侵證據(jù)等。

3 IDS魯棒性分析

魯棒性是指系統(tǒng)中存在的可以被入侵者利用的弱點(diǎn)和缺陷，以及系統(tǒng)對(duì)某一個(gè)特定的威脅、攻擊或危險(xiǎn)事件的敏感性和受其威脅或攻擊的可能性。IDS系統(tǒng)作為一種對(duì)入侵活動(dòng)進(jìn)行檢測(cè)的軟件和硬件的集合，其自身也必然存在著漏洞和弱點(diǎn)。[4]為了衡量IDS系統(tǒng)魯棒性以及抗攻擊能力的強(qiáng)弱，下面對(duì)IDS系統(tǒng)魯棒度進(jìn)行分析。

定義4 IDS系統(tǒng)的魯棒度是指在一定的時(shí)間和條件范圍內(nèi)，IDS系統(tǒng)對(duì)某種特定漏洞的敏感度，以及針對(duì)該漏洞對(duì)IDS系統(tǒng)產(chǎn)生入侵的可能性，即：

其中，敏感度 S v(E)是指IDS系統(tǒng)能夠被檢測(cè)或察覺(jué)出系統(tǒng)所存在的漏洞及遭到相關(guān)的入侵和破壞行為，以及IDS系統(tǒng)被破壞到什么程度才會(huì)造成系統(tǒng)失效或死機(jī)的一種衡量指標(biāo)；而可能性也就是指針對(duì)這種漏洞V的入侵度 N v(E,t)。因此，IDS系統(tǒng)的魯棒度 D (V , 5,E,t)表示在一定的時(shí)間與環(huán)境下，IDS系統(tǒng)對(duì)漏洞或入侵的敏感度與利用該漏洞所進(jìn)行入侵度的乘積。由于 S v(E)是一個(gè)與時(shí)間無(wú)關(guān)且只與系統(tǒng)自身環(huán)境有關(guān)的量，所以 S v(E)在任何時(shí)刻均為一個(gè)不為0的量，即魯棒度的性質(zhì)與入侵度的性質(zhì)相似：

實(shí)踐表明，針對(duì)IDS系統(tǒng)的入侵活動(dòng)是不可避免的，但是為了有效地降低系統(tǒng)入侵率以及魯棒度，提高系統(tǒng)的感知度是首要的解決方案，即增強(qiáng)IDS系統(tǒng)對(duì)漏洞的檢測(cè)能力，以及針對(duì)這些漏洞進(jìn)行入侵的活動(dòng)和事件的響應(yīng)能力。[5]另外，增強(qiáng)系統(tǒng)的自身修復(fù)能力、容錯(cuò)能力與抗攻擊能力，以及減少系統(tǒng)的開(kāi)銷(xiāo)也是IDS設(shè)計(jì)的重要內(nèi)容。

IDS體系結(jié)構(gòu)的魯棒性主要包括三個(gè)方面：平臺(tái)結(jié)構(gòu)漏洞、通信協(xié)議的漏洞以及IDS系統(tǒng)自身的魯棒性。其中平臺(tái)結(jié)構(gòu)漏洞以及通信協(xié)議的漏洞主要是指支持IDS的操作系統(tǒng)平臺(tái)以及IDS進(jìn)行數(shù)據(jù)通信過(guò)程中所使用的協(xié)議所存在的安全漏洞，大量的文獻(xiàn)對(duì)此已做出了深入的研究；而IDS系統(tǒng)體系結(jié)構(gòu)自身的安全性已成為業(yè)界關(guān)注的核心，盡管 CIDF體系結(jié)構(gòu)已經(jīng)被大多數(shù)企業(yè)所接受，但I(xiàn)DS體系結(jié)構(gòu)的標(biāo)準(zhǔn)仍未制定，CIDF中的四個(gè)模塊間在通信過(guò)程中傳輸?shù)臄?shù)據(jù)也會(huì)受到監(jiān)聽(tīng)或更改。[6]因此，為了保證IDS在數(shù)據(jù)與傳輸過(guò)程的安全性，一方面需要在傳輸過(guò)程中對(duì)數(shù)據(jù)加密；另一方面需要對(duì)IDS的不同主機(jī)間的通信進(jìn)行安全認(rèn)證、完整性檢驗(yàn)和數(shù)字簽名，并監(jiān)視網(wǎng)絡(luò)流量，使IDS系統(tǒng)達(dá)到負(fù)載平衡。另外，基于主機(jī)的入侵檢測(cè)系統(tǒng)采用服務(wù)器操作系統(tǒng)的檢測(cè)序列作為主要輸入源來(lái)檢測(cè)侵入行為，而大多數(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)則以監(jiān)控網(wǎng)絡(luò)故障作為檢測(cè)機(jī)制，但有些則用基于服務(wù)器的檢測(cè)模式和典型的入侵檢測(cè)系統(tǒng)靜態(tài)異常算法。早期的入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)用來(lái)監(jiān)控單一服務(wù)器，是基于主機(jī)的入侵檢測(cè)系統(tǒng)；近期的更多模型則集中用于監(jiān)控通過(guò)網(wǎng)絡(luò)互連的多服務(wù)器，是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。[7]由于 NIDS的傳感器只對(duì)本網(wǎng)段的通信進(jìn)行過(guò)濾，而不能檢測(cè)其它網(wǎng)段的數(shù)據(jù)包，所以在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)檢測(cè)范圍的局限，從而設(shè)計(jì)一個(gè)新的IDS體系結(jié)構(gòu)模型并有效地部署整個(gè)系統(tǒng)將面臨著新的挑戰(zhàn)。

4 結(jié)語(yǔ)

雖然 IDS及其相關(guān)技術(shù)已獲得了很大的進(jìn)展，但關(guān)于IDS性能檢測(cè)及其相關(guān)評(píng)測(cè)工具、標(biāo)準(zhǔn)以及測(cè)試環(huán)境等方面的研究工作還很缺乏。但是，對(duì)IDS進(jìn)行定性和定量的分析，實(shí)踐意義重大。有助于更好的刻畫(huà)IDS的特征。通過(guò)測(cè)試評(píng)估，可更好地認(rèn)識(shí)理解IDS的處理方法、所需資源及環(huán)境；領(lǐng)會(huì)各檢測(cè)方法之間的關(guān)系；可以對(duì)IDS的各項(xiàng)性能進(jìn)行評(píng)估，確定IDS的性能級(jí)別及對(duì)運(yùn)行環(huán)境的影響；最后還能利用測(cè)試和評(píng)估結(jié)果，可推斷IDS發(fā)展的趨勢(shì)，對(duì)IDS進(jìn)行改善，發(fā)現(xiàn)系統(tǒng)中存在的問(wèn)題并進(jìn)行改進(jìn)，提高系統(tǒng)的各項(xiàng)性能指標(biāo)。

[1] 汪洋,龔儉.入侵檢測(cè)系統(tǒng)評(píng)估方法綜述[J].計(jì)算機(jī)工程與應(yīng)用,2003(32):171-173.

[2] 諸葛建偉,王大為,陳昱,等.基于 D-S證據(jù)理論的網(wǎng)絡(luò)異常檢測(cè)方法[J].軟件學(xué)報(bào),2006(03):463-471.

[3] 孫美鳳,龔儉,楊望.基于特征的入侵檢測(cè)系統(tǒng)的評(píng)估新方法[J].通信學(xué)報(bào),2007,28(11):6-14.

[4] 陳友,沈華偉,李洋,等.一種高效的面向輕量級(jí)入侵檢測(cè)系統(tǒng)的特征選擇算法[J].計(jì)算機(jī)學(xué)報(bào),2007,30(08):1398-1408.

[5] 姚君蘭.入侵檢測(cè)技術(shù)及其發(fā)展趨勢(shì)[J].信息技術(shù),2006,30(04):172-175.

[6] 田俊峰,劉濤, 陳小祥.入侵檢測(cè)系統(tǒng)的評(píng)估方法與研究[J].計(jì)算機(jī)工程與應(yīng)用,2008,44(09):113-117.

[7] 王永全.入侵檢測(cè)系統(tǒng)（IDS）的研究現(xiàn)狀和展望[J].通信技術(shù),2008,41(11):39-146.