網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的設(shè)想與實(shí)現(xiàn)

王威

【摘要】計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機(jī)密性、完整性和可使用性受到保護(hù)。網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的設(shè)想與實(shí)現(xiàn)，就是保證用戶在網(wǎng)絡(luò)環(huán)境下所有信息的安全。

【關(guān)鍵詞】網(wǎng)絡(luò)入侵檢測(cè)；入侵檢測(cè)系統(tǒng)

文章編號(hào):ISSN1006—656X(2013)06?-00092-01

隨著計(jì)算機(jī)的普及和計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，越來(lái)越多的政府、企業(yè)和個(gè)人通過(guò)INTENERT 網(wǎng)，實(shí)現(xiàn)了全社會(huì)的信息共享已經(jīng)成為現(xiàn)實(shí)。網(wǎng)絡(luò)應(yīng)用的不斷擴(kuò)大，對(duì)網(wǎng)絡(luò)的各種攻擊與日俱增。尤其是相當(dāng)數(shù)量的政府、銀行、企事業(yè)單位都有自己的內(nèi)聯(lián)網(wǎng)，內(nèi)聯(lián)網(wǎng)的安全十分重要，內(nèi)部系統(tǒng)被入侵、破壞與泄密都是嚴(yán)重的問(wèn)題 。因此，對(duì)入侵攻擊的監(jiān)測(cè)防范等網(wǎng)絡(luò)安全問(wèn)題，已成為當(dāng)今計(jì)算機(jī)安全方向的重要課題。

一、入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的，一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，利用審計(jì)紀(jì)錄，入侵監(jiān)測(cè)系統(tǒng)識(shí)別非法活動(dòng)并限制和制止它，利用報(bào)警和防護(hù)系統(tǒng)，在入侵攻擊發(fā)生危害前驅(qū)逐入侵攻擊?；蛟诒蝗肭趾笫占鄳?yīng)信息，添入知識(shí)庫(kù)，增強(qiáng)防范能力。入侵檢測(cè)系統(tǒng)實(shí)質(zhì)是試圖發(fā)現(xiàn)闖入你系統(tǒng)中的入侵者，或誤用你資源的合法用戶，對(duì)入侵者起到了震懾作用。隨著黑客入侵手段的提高，尤其是巧借他人之手，實(shí)施聯(lián)合攻擊的方法出現(xiàn)，傳統(tǒng)單一的、缺乏協(xié)作的入侵檢測(cè)技術(shù)已經(jīng)不能滿足需求，分布協(xié)同的入侵檢測(cè)技術(shù)，成為當(dāng)今入侵檢測(cè)技術(shù)領(lǐng)域的研究熱點(diǎn)。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超過(guò)授權(quán)的非法訪問(wèn)。一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，不需要改變服務(wù)器等主機(jī)的配置。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。

由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不像路由器、防火墻等關(guān)鍵設(shè)備方式工作，它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。布署一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)，比主機(jī)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)少得多。但是，入侵監(jiān)測(cè)系統(tǒng)仍存在很多缺點(diǎn)。一是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。而在使用交換以太網(wǎng)的環(huán)境中，安裝多臺(tái)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器，會(huì)使布署整個(gè)系統(tǒng)的成本大大增加；二是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，為了性能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)；三是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn)，而中央控制臺(tái)成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣系統(tǒng)中的傳感器協(xié)同工作能力較弱。

二、入侵檢測(cè)系統(tǒng)的主要形式

入侵監(jiān)測(cè)系統(tǒng)主要有兩種方式：實(shí)時(shí)入侵檢測(cè)系統(tǒng)和非實(shí)時(shí)入侵檢測(cè)系統(tǒng)。

實(shí)時(shí)入侵檢測(cè)系統(tǒng)實(shí)時(shí)監(jiān)測(cè)目標(biāo)系統(tǒng)或網(wǎng)絡(luò)上各種情況，及時(shí)捕捉到非法入侵者或?yàn)E用資源的合法用戶。方法通常有統(tǒng)計(jì)異常事務(wù)檢查和模式匹配檢查。單獨(dú)使用異常檢查和模式匹配都不夠充分，目前大多數(shù)研究實(shí)時(shí)入侵檢測(cè)系統(tǒng)的項(xiàng)目，使用這兩種技術(shù)來(lái)捕獲入侵。

非實(shí)時(shí)入侵檢測(cè)系統(tǒng)是定期查看目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的安全情況，對(duì)系統(tǒng)威脅進(jìn)行定期評(píng)估。它尋找可能對(duì)系統(tǒng)造成威脅的潛在問(wèn)題，和實(shí)時(shí)入侵檢測(cè)系統(tǒng)相比，其優(yōu)點(diǎn)是對(duì)資源的平均占用時(shí)間少。通常實(shí)時(shí)入侵檢測(cè)和非實(shí)時(shí)入侵檢測(cè)需要結(jié)合起來(lái)使用。對(duì)于威脅大、影響嚴(yán)重的破壞事件，使用實(shí)時(shí)入侵檢測(cè)來(lái)監(jiān)視入侵；對(duì)于風(fēng)險(xiǎn)小的事件，采用非實(shí)時(shí)入侵檢測(cè)。當(dāng)然，實(shí)際使用時(shí)，需要用戶來(lái)判斷什么事件應(yīng)實(shí)時(shí)監(jiān)測(cè)，什么事件應(yīng)間斷掃描。

掃描器屬于非實(shí)時(shí)入侵檢測(cè)系統(tǒng)。它一般通過(guò)檢查對(duì)象的屬性，如文件屬主和允許權(quán)限，或是通過(guò)仿效黑客的行為。如運(yùn)行大量各種腳本試圖，發(fā)現(xiàn)目標(biāo)節(jié)點(diǎn)上的弱點(diǎn)，來(lái)掃描缺陷。掃描器定期性地運(yùn)行，所以不可能在破壞事件一出現(xiàn)時(shí)就能立刻發(fā)現(xiàn)。它的目的是通過(guò)提前警告用戶系統(tǒng)缺陷的存在，從而實(shí)現(xiàn)防止攻擊。它定期運(yùn)行是系統(tǒng)和網(wǎng)絡(luò)情況經(jīng)常變化所致，新軟件的使用、節(jié)點(diǎn)的增減、服務(wù)要求的變化等都可能引進(jìn)新的安全隱患，定期運(yùn)行掃描器，可以發(fā)現(xiàn)新環(huán)境中的安全問(wèn)題。

掃描器又分遠(yuǎn)程掃描器和本地掃描器兩類。遠(yuǎn)程掃描器，又稱為互聯(lián)網(wǎng)掃描器，運(yùn)行在整個(gè)網(wǎng)絡(luò)上，主要查詢TCP/IP端口并記錄目標(biāo)的響應(yīng)，通過(guò)對(duì)目標(biāo)節(jié)點(diǎn)的檢查找出薄弱之處。本地掃描器，也稱為系統(tǒng)掃描器，運(yùn)行于節(jié)點(diǎn)之上，主要針對(duì)本地漏洞，執(zhí)行自我檢查。這些漏洞大多是遠(yuǎn)程掃描器難以察覺(jué)的，它可以被內(nèi)部的不法人員所利用。遠(yuǎn)程掃描器和本地掃描器是相輔相成的。遠(yuǎn)程掃描器側(cè)重于網(wǎng)絡(luò)協(xié)議檢查，主要通過(guò)發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包來(lái)檢測(cè)系統(tǒng)，發(fā)現(xiàn)特定弱點(diǎn)；本地掃描器研究文件的內(nèi)容，查找配置問(wèn)題，找出誤用。由于本地掃描器實(shí)際上是運(yùn)行于目標(biāo)節(jié)點(diǎn)的進(jìn)程，所以可檢查出遠(yuǎn)程掃描器查不出的問(wèn)題。在系統(tǒng)環(huán)境中，應(yīng)綜合運(yùn)用這兩種掃描器。有時(shí)它們是以不同的方式檢測(cè)出同一問(wèn)題，這正實(shí)現(xiàn)了安全的層次性。

三、自適應(yīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

自適應(yīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是利用掃描器確定網(wǎng)絡(luò)狀況，用戶化定制入侵檢測(cè)系統(tǒng)，實(shí)質(zhì)是將非實(shí)時(shí)入侵檢測(cè)和實(shí)時(shí)入侵檢測(cè)有機(jī)結(jié)合，提高IDS的工作效率。

由于網(wǎng)絡(luò)狀況的不可知性，一般的IDS的知識(shí)庫(kù)，在初始化設(shè)置時(shí)會(huì)考慮不同的網(wǎng)絡(luò)環(huán)境，進(jìn)行檢測(cè)漏洞。如在一個(gè)IDS知識(shí)庫(kù)中，既有對(duì)MIRCOSOFT的網(wǎng)絡(luò)環(huán)境的檢測(cè)，又有對(duì) UNIX的網(wǎng)絡(luò)環(huán)境的檢測(cè)，但在實(shí)際狀況中單一網(wǎng)絡(luò)結(jié)構(gòu)中是常見(jiàn)的，這時(shí)IDS的工作效率會(huì)減小一半。如何根據(jù)已知網(wǎng)絡(luò)環(huán)境進(jìn)行用戶化的定制IDS ，是自適應(yīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)的關(guān)鍵。

網(wǎng)絡(luò)系統(tǒng)管理員可能對(duì)它的網(wǎng)絡(luò)整體狀況有一定了解，如在網(wǎng)絡(luò)中有多少服務(wù)器、工作站，使用哪些操作系統(tǒng)等，但對(duì)于網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，如網(wǎng)絡(luò)服務(wù)的漏洞、操作系統(tǒng)有那些補(bǔ)丁就不一定十分了解。而且網(wǎng)絡(luò)狀況是不斷變化，實(shí)時(shí)動(dòng)態(tài)更新的，所以一個(gè)好的IDS必須適應(yīng)網(wǎng)絡(luò)變化。這些變化有網(wǎng)絡(luò)狀況的不同和同一網(wǎng)絡(luò)不斷變化。自適應(yīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，就是利用掃描器的動(dòng)態(tài)掃描來(lái)優(yōu)化IDS。通過(guò)掃描器可以對(duì)服務(wù)器的版本、漏洞進(jìn)行掃描，在打補(bǔ)丁前，用IDS相關(guān)規(guī)則去掉不出現(xiàn)的情況，提高效率；并通過(guò)定期掃描，審視網(wǎng)絡(luò)當(dāng)前狀況，IDS根據(jù)網(wǎng)絡(luò)變化適應(yīng)改變規(guī)則，實(shí)現(xiàn)實(shí)時(shí)檢測(cè)。

自適應(yīng)入侵監(jiān)測(cè)系統(tǒng)的關(guān)鍵在于以下幾個(gè)方面：第一，檢測(cè)速度：由于網(wǎng)絡(luò)主機(jī)眾多，就要求探查系統(tǒng)可在較短的時(shí)間內(nèi)完成大規(guī)模的網(wǎng)絡(luò)掃描；第二，判斷精確度：把一個(gè)安全系統(tǒng)誤認(rèn)為有安全隱患將帶來(lái)不必要的麻煩，而將一個(gè)不安全的系統(tǒng)看成安全系統(tǒng)而信賴更是危險(xiǎn)的。第三，漏報(bào)率：由于IDS規(guī)則不全或由于網(wǎng)絡(luò)流量大，有丟包現(xiàn)象的出現(xiàn)而沒(méi)有檢測(cè)到的漏洞。

在自適應(yīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，由于在IDS中規(guī)則使用減少，不僅檢測(cè)時(shí)間縮短，且檢測(cè)網(wǎng)絡(luò)流量減小。因此漏報(bào)率降低，輕量檢測(cè)也可提高IDS的執(zhí)行速度，進(jìn)行精確模式匹配方式使檢測(cè)準(zhǔn)確性提高。

參考文獻(xiàn)：

[1]張俊安.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D].成都:西南交通大學(xué),2003.

[2]謝怡寧.基于CVE入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D].哈爾濱理工大學(xué)，2005.

[3]魏士靖.計(jì)算機(jī)網(wǎng)絡(luò)取證分析系統(tǒng)[D].江南大學(xué)，2006.

[4]張杰，戴英俠.入侵檢測(cè)系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢(shì)[J].郵電設(shè)計(jì)技術(shù)，2002，（6）.