薛玉芳 路守克 李潔瓊 孫云霞

（1、3、4、安徽理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，安徽 淮南 232001；2、炮兵學(xué)院計(jì)算中心，安徽 合肥 230031）

目前大型數(shù)據(jù)庫(kù)系統(tǒng)都提供了安全管理機(jī)制，但現(xiàn)有的數(shù)據(jù)庫(kù)安全機(jī)制不能完全解決數(shù)據(jù)庫(kù)的安全問(wèn)題。例如：一個(gè)數(shù)據(jù)庫(kù)用戶如果擁有了系統(tǒng)管理員賬號(hào)，就能完全控制數(shù)據(jù)庫(kù)服務(wù)器，數(shù)據(jù)庫(kù)訪問(wèn)控制安全機(jī)制對(duì)此無(wú)能為力。大多數(shù)數(shù)據(jù)庫(kù)都提供了審計(jì)技術(shù)，但是在Internet環(huán)境下，由于訪問(wèn)數(shù)據(jù)庫(kù)的用戶的不確定性，審計(jì)數(shù)據(jù)庫(kù)難以預(yù)知系統(tǒng)的入侵者，用數(shù)據(jù)庫(kù)系統(tǒng)提供的用戶級(jí)審計(jì)功能來(lái)發(fā)現(xiàn)入侵是困難的，此時(shí)往往需要審計(jì)對(duì)系統(tǒng)資源的訪問(wèn)來(lái)發(fā)現(xiàn)可能的入侵。審計(jì)系統(tǒng)資源的訪問(wèn)，審計(jì)數(shù)據(jù)量很大，耗費(fèi)了大量的存儲(chǔ)空間，審計(jì)員很難從大量的審計(jì)數(shù)據(jù)中通過(guò)人工方法找出可疑入侵。使用入侵檢測(cè)技術(shù)，則可以發(fā)現(xiàn)非授權(quán)用戶企圖使用計(jì)算機(jī)系統(tǒng)或合法用戶濫用其特權(quán)的行為。

1.入侵檢測(cè)技術(shù)的發(fā)展過(guò)程

入侵檢測(cè) (IDS--Intrusion Detection System)是近年來(lái)發(fā)展起來(lái)的一種防范技術(shù)，綜合采用了統(tǒng)計(jì)技術(shù)、規(guī)則方法、網(wǎng)絡(luò)通信技術(shù)、人工智能、密碼學(xué)、推理等技術(shù)和方法，其作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。入侵檢測(cè)的研究最早可追溯到James Anderson在1980年的工作，他首先提出了入侵檢測(cè)的概念，在該文中Anderson提出審計(jì)追蹤可應(yīng)用于監(jiān)視入侵威脅，但由于當(dāng)時(shí)所有已有的系統(tǒng)安全程序都著重于拒絕未經(jīng)認(rèn)證主體對(duì)重要數(shù)據(jù)的訪問(wèn)，這一設(shè)想的重要性當(dāng)時(shí)并未被理解。1987年Dorothy.E.Denning提出入侵檢測(cè)系統(tǒng) (Intrusion Detection System，IDS)的抽象模型“，首次將入侵檢測(cè)的概念作為一種計(jì)算機(jī)系統(tǒng)安全防御問(wèn)題的措施提出，與傳統(tǒng)加密和訪問(wèn)控制的常用方法相比，IDS是全新的計(jì)算機(jī)安全措施。

2.入侵檢測(cè)的概念

入侵檢測(cè)的定義為：識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過(guò)程。入侵檢測(cè)系統(tǒng)則是完成如上功能的獨(dú)立系統(tǒng)。入侵檢測(cè)系統(tǒng)能夠檢測(cè)未授權(quán)對(duì)象(人或程序)針對(duì)系統(tǒng)的入侵企圖或行為(Intrusion)，同時(shí)監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作(Misuse)。

(1)從系統(tǒng)的不同環(huán)節(jié)收集信息；(2)分析該信息，試圖尋找入侵活動(dòng)的特征；(3)自動(dòng)對(duì)檢測(cè)到的行為做出響應(yīng)；(4)紀(jì)錄并報(bào)告檢測(cè)過(guò)程結(jié)果。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)能很好的彌補(bǔ)防火墻的不足，從某種意義上說(shuō)是防火墻的補(bǔ)充。入侵檢測(cè)用來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法行動(dòng)。

3 入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

入侵檢測(cè)系統(tǒng)的一般系統(tǒng)結(jié)構(gòu)如圖所示，主要由以下幾大部分組成：

(1)數(shù)據(jù)收集裝置，收集反映狀態(tài)信息的審計(jì)數(shù)據(jù)，輸入給檢測(cè)器。

(2)檢測(cè)器，負(fù)責(zé)分析和檢測(cè)入侵的任務(wù)，并發(fā)出警告信號(hào)。

(3)知識(shí)庫(kù)，提供必要的數(shù)據(jù)信息支持。

(4)控制器，根據(jù)警報(bào)信號(hào)，人工或自動(dòng)做出反映動(dòng)作。

圖1 入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)示意

從一般意義來(lái)說(shuō)，一個(gè)入侵檢測(cè)系統(tǒng)可以看成一個(gè)處理來(lái)自所保護(hù)系統(tǒng)的各種信息的檢測(cè)器，所處理的系統(tǒng)信息可以分為：長(zhǎng)期的信息，如關(guān)于攻擊的知識(shí)庫(kù)、系統(tǒng)目前的配置信息和描述當(dāng)前發(fā)生事件的審計(jì)數(shù)據(jù)。檢測(cè)器的作用就是從眾多審計(jì)數(shù)據(jù)中剔除無(wú)用信息，給出一個(gè)用戶關(guān)心的與安全性相關(guān)的分析報(bào)告，然后做出決策，發(fā)現(xiàn)屬于入侵行為的活動(dòng)。

4.入侵檢測(cè)系統(tǒng)的分類

入侵檢測(cè)系統(tǒng)根據(jù)其檢測(cè)數(shù)據(jù)來(lái)源分為三類：基于主機(jī)(Host—based)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)(Network-based)的入侵檢測(cè)系統(tǒng)、基于分布式(Distributed—based)的入侵檢測(cè)系統(tǒng)。

（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS)

HIDS的檢測(cè)對(duì)象主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測(cè)系統(tǒng)可運(yùn)行在被檢測(cè)的主機(jī)或單獨(dú)的主機(jī)上。此類系統(tǒng)依賴于審計(jì)數(shù)據(jù)或系統(tǒng)日志的準(zhǔn)確性、完整性以及安全事件的定義。

（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)

NIDS使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，通常使用報(bào)文的模式匹配或模式匹配序列來(lái)定義規(guī)則，檢測(cè)時(shí)將監(jiān)聽(tīng)到的報(bào)文與模式匹配序列進(jìn)行比較，根據(jù)比較的結(jié)果來(lái)判斷是否有非正常的網(wǎng)絡(luò)行為。其攻擊辯識(shí)模塊通常有：模式、表達(dá)式或字節(jié)匹配，頻率或穿越閾值，低級(jí)事件的相關(guān)性，統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè)等。

(3)分布式的入侵檢測(cè)系統(tǒng)(DIDS)

近來(lái)對(duì)分布式的入侵檢測(cè)逐步引起重視通過(guò)數(shù)據(jù)收集和數(shù)據(jù)分析的分布式處理，能夠提高檢測(cè)系統(tǒng)應(yīng)對(duì)協(xié)作入侵攻擊和日趨分散化的系統(tǒng)漏洞。其中基于Agent的入侵檢測(cè)成為重要的研究?jī)?nèi)容。

從技術(shù)上看，入侵可分為兩類：一種是有特征的攻擊，它是對(duì)已知系統(tǒng)的系統(tǒng)弱點(diǎn)進(jìn)行常規(guī)性的攻擊：另一種是異常攻擊。與此對(duì)應(yīng)，入侵檢測(cè)也分為兩類：基于特征的(Signature—based，即基于濫用的Misuse—based)和基于異常的(Anomaly—based，也稱 Behavior—based 基于行為的)。

（1）基于特征的入侵檢測(cè)。特征檢測(cè)對(duì)那些試圖以非標(biāo)準(zhǔn)手段使用系統(tǒng)的安全事件進(jìn)行鑒別。IDS中存儲(chǔ)著已知的入侵行為描述，以此為根據(jù)比較系統(tǒng)行為。當(dāng)某方面的系統(tǒng)調(diào)用與一種已知的入侵行為描述匹配時(shí)，一次警報(bào)就會(huì)提交給IDS分析員。特征檢測(cè)是檢測(cè)已知攻擊行為的最準(zhǔn)確的技術(shù)。特征檢測(cè)系統(tǒng)的優(yōu)點(diǎn)在于它們具有非常低的虛警率，同時(shí)檢測(cè)的匹配條件可以被很清楚的描述，有利于安全管理人員采用清晰明確的預(yù)防保護(hù)措施。

（2）基于異常的入侵檢測(cè)。異常檢測(cè)通過(guò)對(duì)標(biāo)準(zhǔn)的測(cè)量來(lái)檢測(cè)濫用行為，如果一個(gè)行為的模式與標(biāo)準(zhǔn)不同，就會(huì)產(chǎn)生一個(gè)警報(bào)。此類檢測(cè)技術(shù)的優(yōu)點(diǎn)在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)最新和未被發(fā)現(xiàn)漏洞的嘗試，同時(shí)在某種程度上，它更少依賴于特定的操作系統(tǒng)環(huán)境。另外，對(duì)于合法用戶超越其權(quán)限的違法行為的檢測(cè)能力大大加強(qiáng)。

5.入侵檢測(cè)的發(fā)展方向

近年來(lái)對(duì)入侵檢測(cè)技術(shù)有以下幾個(gè)主要發(fā)展方向

(1)分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)。傳統(tǒng)的IDs一般局限于單一主機(jī)或網(wǎng)絡(luò)構(gòu)架，對(duì)異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的檢測(cè)明顯不足。同時(shí)不同的IDS系統(tǒng)之間不具有協(xié)同工作能力，為解決這一問(wèn)題，需要分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。C訌DF以構(gòu)建通用的IDS體系結(jié)構(gòu)與通信系統(tǒng)為目標(biāo)。

(2)應(yīng)用層入侵檢測(cè)。許多入侵的語(yǔ)義只有在應(yīng)用層刁能理解，而目前的IDS僅能檢測(cè)如WEB之類的通用協(xié)議，而不能處理如Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及面向?qū)ο蠹夹g(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測(cè)保護(hù)。Stiller man等人已經(jīng)開(kāi)始對(duì)CORBA的IDS進(jìn)行研究。

（3）智能的入侵檢測(cè)。入侵方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域的應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。

（4）入侵檢測(cè)的評(píng)測(cè)方法。用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià)，評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍、系統(tǒng)資源占用、IDS系統(tǒng)自身的可靠性與魯棒性。從而設(shè)計(jì)通用的入侵檢測(cè)測(cè)試與評(píng)估方法和平臺(tái)，實(shí)現(xiàn)對(duì)多種IDS系統(tǒng)的檢測(cè)己成為當(dāng)前IDS的另一個(gè)研究與發(fā)展領(lǐng)域。

（5）網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻、VPN，PKIX、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。

（6）嵌入操作系統(tǒng)內(nèi)核。由于黑客攻擊的目標(biāo)主要是終端部分，因此入侵檢測(cè)系統(tǒng)最好能與操作系統(tǒng)內(nèi)核結(jié)合起來(lái)，這樣從根本上確定黑客攻擊系統(tǒng)到了什么程度，如黑客現(xiàn)在的攻擊對(duì)系統(tǒng)是否造成了威脅，黑客現(xiàn)在擁有了系統(tǒng)哪個(gè)級(jí)別的權(quán)限，黑客是否控制了一個(gè)系統(tǒng)等。

[1]連一峰.分布式入侵檢測(cè)系統(tǒng)的協(xié)作交互研究.中國(guó)科學(xué)院研究生院學(xué)報(bào)，2005 V01.22 No.

[2]Jack Kazoo著.吳溥峰，孫默，許誠(chéng)等譯.Snort入侵檢測(cè)實(shí)用解決方案。機(jī)械工業(yè)出版社，2005

[3]唐正軍.黑客入侵防護(hù)系統(tǒng)源代碼分析.機(jī)械工業(yè)出版社，2002.

[4]ChacoD L，F(xiàn)orrest S.Information Immune Systems.Proceedings of the First International Conference on Artificial Immune Systems(ICARIS)[C]，2002.

[5]計(jì)算機(jī)世界.入侵檢測(cè)技術(shù)專題報(bào)道.計(jì)算機(jī)世界周報(bào)網(wǎng)絡(luò)產(chǎn)品與技術(shù)，2001，30(5).