朱濤　馬駿

[摘 要]入侵檢測識別是當(dāng)今網(wǎng)絡(luò)安全研究的熱點。近年來，入侵檢測系統(tǒng)的研究在智能化和分布式兩個方向有一定的發(fā)展，取得了很多成果，但依然存在一些問題。本文主要探討網(wǎng)絡(luò)入侵智能識別的相關(guān)技術(shù)與應(yīng)用。

[關(guān)鍵詞]網(wǎng)絡(luò)入侵 智能識別 技術(shù)

近年來，互聯(lián)網(wǎng)在國際上得到了飛速的發(fā)展，其重要性也與日俱增，但同時網(wǎng)絡(luò)本身的安全性問題也就顯得更為重要。網(wǎng)絡(luò)安全的一個主要威脅就是通過網(wǎng)絡(luò)對信息系統(tǒng)的入侵。

一、網(wǎng)絡(luò)入侵的內(nèi)涵與特征

網(wǎng)絡(luò)入侵的定義為：試圖破壞信息系統(tǒng)的完整性、機密性或可信性的任何網(wǎng)絡(luò)活動的集合。相對于傳統(tǒng)的對信息系統(tǒng)的破壞手段，網(wǎng)絡(luò)入侵具有以下特點：1.沒有地域和時間的限制?？缭絿绲墓艟屯诂F(xiàn)場一樣方便；2.攻擊迅速，作案只要成功，幾秒鐘到幾分鐘即達到破壞效果；3.通過網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動之間，隱蔽性強；4.入侵手段更加隱蔽和復(fù)雜。

由于網(wǎng)絡(luò)具有上述特點，如何對其入侵識別及防范成為眾多網(wǎng)絡(luò)安全手段的核心技術(shù)。大致來看網(wǎng)絡(luò)入侵分為以下幾種類型：1.利用網(wǎng)絡(luò)協(xié)議的不完善進行的攻擊；2.利用操作系統(tǒng)協(xié)議棧實現(xiàn)的缺陷進行的攻擊；3.通過對信息系統(tǒng)進行試探和掃描，試圖發(fā)現(xiàn)帳戶口令或系統(tǒng)的缺陷，然后入侵系統(tǒng)；4.惡意使用正常的網(wǎng)絡(luò)操作，造成信息系統(tǒng)崩潰和不能正常提供服務(wù)的拒絕服務(wù)攻擊；5.利用特殊的命令序列進行攻擊；6.利用正常的網(wǎng)絡(luò)操作，向目的系統(tǒng)傳送惡意的信息，進攻系統(tǒng)。

二、網(wǎng)絡(luò)入侵智能識別的相關(guān)技術(shù)

常規(guī)形式上從網(wǎng)絡(luò)安全測驗角度上去對入侵識別技術(shù)分類可包括為兩類：一類是誤用入侵識別；另一類就是異常識別。誤用識別實質(zhì)上可以說是特征性識別，主要目的是確立攻擊技術(shù)含量從而構(gòu)建對特征庫的惡意攻擊，然后以其攻擊方式對照系統(tǒng)進行比較，以確定攻擊發(fā)生與否；另一類的異常識別，異常識別就是指與入侵識別行為的差別的異同行為，因此，無差別的特征庫組合定義與更新是異常入侵識別的關(guān)鍵。

1.異常識別特性

異常識別主要針對識別行為而言，通過假定的人為入侵行為對系統(tǒng)的特征庫做出有效辨認，如果存在入侵行為痕跡，用戶行為和系統(tǒng)自身行為不同，則可以從中區(qū)分行為的差異，也就可以判定為入侵。

2.誤用入侵識別特性

誤用入侵識別技術(shù)，在與計算機系統(tǒng)互相交流信息過程之中，其設(shè)立了專家系統(tǒng)、模式匹配與協(xié)議驗證，并基于模型、鍵盤監(jiān)控、模型推論、狀態(tài)切換分析、Petri網(wǎng)實態(tài)切換等方法。

（1）基于專家系統(tǒng)的誤用識別方法

現(xiàn)今網(wǎng)絡(luò)很多入侵識別都采用的是此類方法技術(shù)，其原理是將入侵行為進行專門的編碼，然后制定成相應(yīng)的專家系統(tǒng)規(guī)則，各個規(guī)則均鑒于“條件THEN動作”的形式，并且它可以通過任意一個條件就可以觸發(fā)，于此，專家系統(tǒng)就會立即采取相關(guān)動作進行行為進行高效處理。

（2）基于狀態(tài)轉(zhuǎn)換分析的誤用識別方法

所謂狀態(tài)轉(zhuǎn)換分析，系指把攻擊行為表征為被監(jiān)控的狀態(tài)轉(zhuǎn)移，根據(jù)此狀態(tài)轉(zhuǎn)移條件來判定各種攻擊狀態(tài)，攻擊狀態(tài)以及行為和記錄無需對應(yīng)。

3.免疫學(xué)運用入侵識別技術(shù)

計算技術(shù)的逐步成熟與完善，使計算機技術(shù)不斷運用于各個領(lǐng)域行業(yè)，由此，網(wǎng)絡(luò)入侵識別技術(shù)也同步初獲成果，其具體應(yīng)研究重點表現(xiàn)在免疫學(xué)的推行與廣泛應(yīng)用。生物免疫系統(tǒng)與計算機內(nèi)部安全系統(tǒng)頗為相似，計算機的網(wǎng)絡(luò)安全環(huán)境就猶如生物免疫系統(tǒng)，就好比生物免疫系統(tǒng)對抗病原體，而計算機入侵識別系統(tǒng)針對網(wǎng)絡(luò)盛行的病毒一樣，結(jié)合此原理，計算機網(wǎng)絡(luò)入侵識別技術(shù)運用到生物免疫學(xué)當(dāng)中，并且兩相結(jié)合，原理對比、分析，從而確定以生物免疫學(xué)系統(tǒng)原理為核心去規(guī)劃設(shè)計出計算機入侵識別技術(shù)的科學(xué)研究方向；以生物免疫學(xué)系統(tǒng)理論構(gòu)建出入侵識別技術(shù)的發(fā)展體系，即為定義自身、生成識別器、識別入侵三方面的技術(shù)程序。定義自身就是指計算機判定的正常行為模式化為本體，對本體逐步構(gòu)建成常規(guī)形式下的本體特征庫，而識別可分為成熟識別和未成熟識別，就是說成熟識別就是系統(tǒng)實行常規(guī)行為，判定為“免疫”的行為過程，反之，未成熟識別，就需要計算機核對數(shù)據(jù)特征庫進行鑒定；如果在與特征庫里的認定行為不符、不相匹配，則判定為人為利用計算機技術(shù)手段入侵系統(tǒng)；與此同時，系統(tǒng)可自動采取應(yīng)急措施來處理入侵行為。

三、網(wǎng)絡(luò)入侵的防御系統(tǒng)

Linux操作系統(tǒng)一般使用iptables構(gòu)建基于netfilter框架的防火墻，來實現(xiàn)數(shù)據(jù)包處理、數(shù)據(jù)包過濾和地址轉(zhuǎn)換等功能。Snort系統(tǒng)包括數(shù)據(jù)包解析器、檢測引擎和報警輸出三個子系統(tǒng)組成。Libpcap提供數(shù)據(jù)包捕獲和過濾的機制。因為Snort 源代碼是開放的，人們可以對其進行修改和定制，這樣可以較容易地實現(xiàn)與Linux系統(tǒng)防火墻netfilter/iptables系統(tǒng)聯(lián)動。在Snort檢測到網(wǎng)絡(luò)攻擊后，不僅報警和記錄日志，也可以對攻擊包做出丟棄或阻斷等響應(yīng)，來保護主機的安全運行。將netfiletr/iptables與Snort結(jié)合是IPS最直接的一種實現(xiàn)方案，可以利用Linux系統(tǒng)中進程間的通信機制可以實現(xiàn)它們之間的聯(lián)動。這就是Snort和netfilter/iptables構(gòu)成的入侵防御系統(tǒng)體系結(jié)構(gòu)。snort與netfilter/iptables通信采用內(nèi)網(wǎng)地址。將與snort主機相連的交換機端口作為鏡像端口，確保所有數(shù)據(jù)包都能被捕獲。在入侵防御系統(tǒng)安全體系之中，入侵檢測系統(tǒng)發(fā)現(xiàn)需阻斷的入侵行為時，就會立即通知防火墻作出規(guī)則的動態(tài)修改，對攻擊源地址進行及時封堵，以達到主動安全防御的目的。防火墻也可以彌補入侵檢測系統(tǒng)自我防護機制差的弱點[3]。由于入侵檢測系統(tǒng)置于防火墻之后，不必分析已被防火墻攔截的流量，不僅減輕了負載也減少了受到拒絕服務(wù)攻擊的可能，提高了入侵檢測自身的安全性。該系統(tǒng)在Linux系統(tǒng)下運行，使用Snort作為入侵檢測模塊，運用告警融合和過濾模塊對Snort的輸出告警進行處理。并將處理結(jié)果與主機系統(tǒng)的漏洞信息庫進行比對，提取出對主機系統(tǒng)真正有威脅的入侵行為。最后由防御模塊生成防火墻的阻塞規(guī)則來阻斷惡意攻擊行為。

參考文獻：

[1]田軍，俞海英，伍紅兵. 入侵檢測技術(shù)研究[J]. 電腦知識與技術(shù)，2010（7）.

[2]壬強. 計算機安全入侵檢測方案的實現(xiàn)[J]. 計算機與信息技術(shù)，2007，14：28 8，32 0.

[3]夏炎，尹慧文. 網(wǎng)絡(luò)入侵檢測技術(shù)研究[J]. 沈陽工程學(xué)院學(xué)報：自然科學(xué)版，2008，4（4）：362～363.