李東靈，王 健

（1.商丘職業(yè)技術(shù)學(xué)院，河南 商丘 476100；2.國家電網(wǎng)河南省電力公司 商丘供電公司，河南 商丘 476100）

防火墻系統(tǒng)本身可以很好的控制那些不被允許訪問您內(nèi)部網(wǎng)絡(luò)的一種行為，傳統(tǒng)的入侵檢測系統(tǒng)可以監(jiān)管網(wǎng)絡(luò)內(nèi)部的一切網(wǎng)絡(luò)行為，但對(duì)于有權(quán)力進(jìn)入內(nèi)部網(wǎng)絡(luò)的入侵行為來說，必須要有一套防御措施才能有效地抵御傳統(tǒng)防火墻系統(tǒng)所不能發(fā)現(xiàn)的攻擊行為.正如權(quán)威機(jī)構(gòu)Gartner在2003年6月發(fā)布的一個(gè)相關(guān)研究報(bào)告中稱，傳統(tǒng)的防火墻技術(shù)已“死”，而單純的網(wǎng)絡(luò)安全技術(shù)不但不能給網(wǎng)絡(luò)帶來安全，相反會(huì)增加管理員的維護(hù)難度，建議用戶使用DIDS來代替.

1 入侵檢測系統(tǒng)簡介

入侵攻擊的定義是指試圖破壞系統(tǒng)網(wǎng)絡(luò)資源的完整性、可靠性、機(jī)密性和可用性的一個(gè)動(dòng)作集合.從目前的各個(gè)分類角度來看，可以有偽裝、入侵、拒絕服務(wù)、系統(tǒng)滲透、惡意、泄漏使用等6種類型［1］.

入侵檢測技術(shù)就是為了對(duì)系統(tǒng)網(wǎng)絡(luò)資源上的各種非法行為進(jìn)行識(shí)別，并進(jìn)行相應(yīng)處理的過程，用來幫助系統(tǒng)對(duì)應(yīng)來自網(wǎng)絡(luò)外部和內(nèi)部攻擊的一種解決方案.采用主動(dòng)防護(hù)的方式，對(duì)網(wǎng)絡(luò)協(xié)議的各層次進(jìn)行全面的入侵檢測，以提早檢測出并防止系統(tǒng)可能遭受的攻擊，這樣做不僅可以有效地檢測出來自網(wǎng)絡(luò)外部的入侵，同時(shí)也可以檢測到網(wǎng)絡(luò)內(nèi)部的行為.入侵檢測極大地提高了網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)管理能力，保證了信息安全結(jié)構(gòu)的完整性.

2 入侵檢測系統(tǒng)（IDS）分類

對(duì)于目前的入侵檢測系統(tǒng)而言，選取不同的標(biāo)準(zhǔn)可能會(huì)有不同的分類.目前，網(wǎng)絡(luò)安全領(lǐng)域有三種常見的分類方法：基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)及分布式入侵檢測系統(tǒng)［2］796－798.

2.1 按照信息源分類

常用的劃分方法是按照信息源來分類的，可以將入侵檢測系統(tǒng)劃分為基于主機(jī)入侵檢測統(tǒng)與基于網(wǎng)絡(luò)入侵檢測的系統(tǒng).

基于HOST的入侵檢測系統(tǒng)通常是安裝在被防護(hù)的計(jì)算機(jī)上，主要是對(duì)計(jì)算機(jī)的系統(tǒng)審計(jì)日志以及網(wǎng)絡(luò)實(shí)時(shí)連接進(jìn)行智能判斷和分析.如果活動(dòng)出現(xiàn)異常，入侵檢測系統(tǒng)就會(huì)采取相應(yīng)措施來進(jìn)行處理.

一般情況下，基于主機(jī)的入侵檢測系統(tǒng)可以實(shí)時(shí)監(jiān)測Window下的安全記錄和系統(tǒng)事件.當(dāng)系統(tǒng)發(fā)生變化時(shí)，入侵檢測系統(tǒng)就會(huì)把攻擊標(biāo)記與新的記錄條目進(jìn)行比較，看它們是否一致.如果一致就表示檢測到入侵信號(hào)，系統(tǒng)就會(huì)自動(dòng)給管理員發(fā)送報(bào)警信息，來提醒他們需要采取相應(yīng)的措施.

其次，對(duì)于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是在最主要的網(wǎng)段或者交換的位置通過捕獲到的數(shù)據(jù)分析數(shù)據(jù)包來檢測攻擊.其數(shù)據(jù)源主要是網(wǎng)絡(luò)數(shù)據(jù)包.系統(tǒng)具體實(shí)現(xiàn)時(shí)，通常是把入侵檢測系統(tǒng)所在服務(wù)器的網(wǎng)卡設(shè)置為混雜模式，以達(dá)到可以捕獲所有流經(jīng)它的數(shù)據(jù)包的目的.它可以實(shí)時(shí)監(jiān)測整個(gè)子網(wǎng)，同時(shí)保護(hù)整個(gè)共享子網(wǎng)正常運(yùn)行［3］.

2.2 按分析方法來分

如果按照相關(guān)的來分類分析方法就可以把入侵檢測系統(tǒng)劃分為異常檢測型的入侵檢測系統(tǒng)和濫用檢測型的入侵檢測系統(tǒng)［4］.

對(duì)于異常檢測型的入侵檢測系統(tǒng)往往是建立在以下假設(shè)的基礎(chǔ)之上的，就是任何一種入侵的行為都極有可能由于其偏離正?；蛩谕南到y(tǒng)以及用戶活動(dòng)規(guī)律而被檢測出來.而且它本身需要一個(gè)記錄合法的活動(dòng)數(shù)據(jù)庫，因?yàn)閿?shù)據(jù)庫的有限性從而使得誤報(bào)率比較高［5］.

而對(duì)于濫用檢測型的入侵檢測系統(tǒng)中，我們必須先建立一個(gè)對(duì)以往各種入侵的方法以及系統(tǒng)缺陷知識(shí)的相關(guān)數(shù)據(jù)庫，從收集到的信息與現(xiàn)有的數(shù)據(jù)庫中的原型相匹配的時(shí)候就報(bào)警.對(duì)于不符合特定條件的相關(guān)活動(dòng)就會(huì)被認(rèn)為非常合法，所以像樣的系統(tǒng)誤警率會(huì)非常低.

而基于特征入侵的檢測系統(tǒng)的優(yōu)點(diǎn)就是準(zhǔn)確率會(huì)比較高；其缺點(diǎn)在于難以發(fā)現(xiàn)未知攻擊.

3 入侵檢測系統(tǒng)（IDS）的部署方式

NIDS和AIDS通常是串聯(lián)在網(wǎng)絡(luò)中，如圖1和圖2所示.

圖1 NIDS部署方式

圖2 AIDS部署方式

HIDS通常以代理方式安裝到服務(wù)器或需要重點(diǎn)保護(hù)主機(jī)的前端，如圖3所示.

圖3 HIDS部署方式

4 入侵檢測系統(tǒng)應(yīng)改進(jìn)的地方和發(fā)展趨勢

入侵檢測系統(tǒng)的解決方案不需用戶的操縱就可以主動(dòng)作出反應(yīng)，并且可以實(shí)時(shí)報(bào)告所有可疑的活動(dòng)［6］83－97.但是任何方案都不可能非常完美，因此在本節(jié)將會(huì)介紹入侵檢測解決方案需要改進(jìn)的地方及其發(fā)展趨勢.

4.1 理想的入侵檢測解決方案應(yīng)該改進(jìn)的幾個(gè)方面

入侵檢測技術(shù)作為一種新型的網(wǎng)絡(luò)安全技術(shù)，與普通的防火墻技術(shù)相比，其本身還有許多的問題要解決，但是其中的大部分相關(guān)問題都是眼下入侵檢測技術(shù)而不能達(dá)到的一個(gè)較高標(biāo)準(zhǔn)，并且大部分的問題很可能會(huì)更加復(fù)雜和難以解決［7］.下面便是入侵檢測技術(shù)所面對(duì)的幾個(gè)方面的總結(jié).

——日新月異的攻擊手段

攻擊者日益增長的知識(shí)，豐富多樣的入侵工具，以及越來越高超的攻擊技術(shù)和方法.入侵檢測系統(tǒng)不得不參照業(yè)界較新的網(wǎng)絡(luò)安全技術(shù)作為基礎(chǔ)，這樣才可能使其不被日后所淘汰.

——攻擊信息大多采用加密的形式來傳輸

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過檢測數(shù)據(jù)包來發(fā)現(xiàn)入侵行為，入侵信息通常是通過明文方式傳輸?shù)?，因此，?duì)傳輸數(shù)據(jù)信息的簡單修改就可能繞過入侵檢測系統(tǒng)的檢測.

——網(wǎng)絡(luò)流量的不斷增大

系統(tǒng)中的用戶通常要求入侵檢測系統(tǒng)可以最快的報(bào)警，所以我們要實(shí)時(shí)分析所采集的信息，這樣就要對(duì)系統(tǒng)的要求更高，市場最好的硬件平臺(tái)都被采用到很多平臺(tái)上.但對(duì)于百兆以上的網(wǎng)絡(luò)流量，獨(dú)立的入侵檢測系統(tǒng)很難完全起到作用.可想而知，隨著目前網(wǎng)絡(luò)流量越來越大，對(duì)入侵檢測上的硬件系統(tǒng)將會(huì)有更大的壓力.

——交換機(jī)的使用導(dǎo)致網(wǎng)絡(luò)環(huán)境的變化

傳統(tǒng)的入侵檢測技術(shù)是通過把主機(jī)網(wǎng)卡設(shè)置為“混雜”模式，從而，讀取傳統(tǒng)集線器上局域網(wǎng)絡(luò)內(nèi)傳輸?shù)臄?shù)據(jù)包，交換式局域網(wǎng)絡(luò)降低了其中數(shù)據(jù)流的可見性.

4.2 入侵檢測系統(tǒng)的發(fā)展趨勢

從以上的分析總結(jié)來看，目前除了傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)以外，入侵檢測技術(shù)更應(yīng)多關(guān)注與統(tǒng)計(jì)分析技術(shù)相關(guān)的研究方法.大部分研究人員在研究全新的入侵檢測方法，例如采用自動(dòng)AGENT的網(wǎng)絡(luò)安全防御技術(shù)，將人體免疫理論應(yīng)用到入侵檢測匹配的方法等等.入侵檢測系統(tǒng)的主要發(fā)展方向可以總結(jié)為：

——分布式的入侵檢測系統(tǒng)

先前的入侵檢測系統(tǒng)主要用于對(duì)主機(jī)的獨(dú)立保護(hù)，而對(duì)于大多數(shù)異構(gòu)的系統(tǒng)或者流量非常大的網(wǎng)絡(luò)檢測很顯然是不夠，兩個(gè)不一樣的入侵檢測系統(tǒng)它們相互之間不能協(xié)同工作.所以，就要用分布式入侵的檢測技術(shù)來解決這些問題.

——網(wǎng)絡(luò)中應(yīng)用層級(jí)的入侵檢測

許多入侵的語義只有在應(yīng)用層才能被理解，而市場上的入侵檢測系統(tǒng)只能檢測一些常見的協(xié)議，不能處理其他類似的應(yīng)用系統(tǒng).許多基于中間件技術(shù)、C／S結(jié)構(gòu)的大型應(yīng)用，需要達(dá)到應(yīng)用層的入侵防御效果.

——智能化入侵檢測

目前越來越多的入侵方法出現(xiàn)綜合化，雖然已經(jīng)有神經(jīng)網(wǎng)絡(luò)、人工智能算法在入侵檢測技術(shù)領(lǐng)域的應(yīng)用，但這些只不過是一些嘗試而已，需要進(jìn)一步研究智能化的入侵檢測系統(tǒng)才可以.

——結(jié)合其它網(wǎng)絡(luò)安全技術(shù)

它可以和遠(yuǎn)程訪問控制技術(shù)以及防火墻技術(shù)等與網(wǎng)絡(luò)安全相關(guān)的技術(shù)相結(jié)合，來構(gòu)建成一整套的網(wǎng)絡(luò)安全體系結(jié)構(gòu).

從以上分析可以看出，入侵檢測作為一種主動(dòng)的網(wǎng)安技術(shù)，可以實(shí)時(shí)保護(hù)來自網(wǎng)絡(luò)內(nèi)部、外部攻擊，在系統(tǒng)還沒有受到威脅之前響應(yīng)和攔截入侵行為.由于目前的網(wǎng)絡(luò)技術(shù)安全性的要求越來越高，也可以給相關(guān)的網(wǎng)絡(luò)技術(shù)應(yīng)用的需要提供更可靠的服務(wù)，但是，做為入侵檢測技術(shù)目前能夠從網(wǎng)絡(luò)安全的多層次、立體縱深防御的角度考慮來提供相關(guān)的安全服務(wù)，因此，它必然會(huì)受到人們更高的關(guān)注.

［1］Desai，NeiL.Intrusion Prevention Systems：the Next Step in the Evolution of IDS［EB／OL］.http：／／securityfocus.com／printable／infocus／1670.

［2］談文蓉，談 進(jìn)，劉明志.聯(lián)動(dòng)防御機(jī)制的設(shè)計(jì)與實(shí)施［J］.西南民族大學(xué)學(xué)報(bào)，2004，30（6）.

［3］Ted H.Understanding IPS and IDS：Using IPS and IDS Together for Defense in Depth［EB／OL］.http：／／www.sans.org，2003.

［4］Tom Rowan.Intrusion prevention systems：superior security［J］.Network Security，2007.

［5］Raven Alder.Snort 2.1Intrusion Detection［M］.Syngress Publishing，2004.

［6］William Stallings.Network Security Essentials Application and Standard［M］.北京：清華大學(xué)出版社，2007.

［7］蔣衛(wèi)華，智能網(wǎng)絡(luò)入侵檢測與安全防護(hù)技術(shù)研究［D］.西安：西北工業(yè)大學(xué)，2003.