摘要：入侵檢測系統(tǒng)相對于傳統(tǒng)的安全技術(shù)比如防火墻、信息加密等，是計算機(jī)系統(tǒng)的一種新型防護(hù)技術(shù)。傳統(tǒng)的入侵檢測系統(tǒng)由于大量的計算以及較高的漏報率和誤報率已經(jīng)不能夠適應(yīng)當(dāng)前的網(wǎng)絡(luò)系統(tǒng)，因此為了提高入侵檢測系統(tǒng)的效率，需要選擇更好的檢測方法。協(xié)議分析是網(wǎng)絡(luò)入侵檢測的一個重要技術(shù)。該文在這個基礎(chǔ)上提出了一種基于協(xié)議分析的分布式入侵檢測系統(tǒng)的模型。與其他的模型相比，這個模型具有非常明顯的優(yōu)點，并且可以降低漏報率和誤報率以及提高系統(tǒng)的能力。

關(guān)鍵詞：協(xié)議分析；分布式；入侵檢測系統(tǒng)；網(wǎng)絡(luò)安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）04-0743-03

隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，以保護(hù)網(wǎng)絡(luò)信息免受各種攻擊為目的的網(wǎng)絡(luò)安全變的越來越重要。為了提高網(wǎng)絡(luò)應(yīng)對各種攻擊的能力，不但需要防火墻等傳統(tǒng)技術(shù)的保護(hù)，而且需要一種實時的檢測技術(shù)，使得潛在的攻擊入侵之前就可以被檢測到。

入侵檢測系統(tǒng)就是在這種背景下發(fā)展起來的。作為一種新型的主動防御機(jī)制，入侵檢測系統(tǒng)能夠為主機(jī)和網(wǎng)絡(luò)提供一種動態(tài)的保護(hù)[1]。它不但能夠監(jiān)測來自網(wǎng)絡(luò)內(nèi)部、外部的各種攻擊，而且可以最大程度的與其他的網(wǎng)絡(luò)安全產(chǎn)品相結(jié)合。它的實時性和主動性的特點彌補(bǔ)了防火墻的不足?，F(xiàn)今在所有的網(wǎng)絡(luò)安全的解決方案里，入侵檢測已經(jīng)是一個不可或缺的部分。盡管如此，由于網(wǎng)絡(luò)規(guī)模的持續(xù)擴(kuò)大和攻擊手段的復(fù)雜性，分布式的入侵檢測系統(tǒng)開始發(fā)展起來。這種結(jié)構(gòu)通過分散的集合分布處理和集中管理來迎合大規(guī)模和高速網(wǎng)絡(luò)的安全需求。

1 協(xié)議分析技術(shù)

入侵檢測系統(tǒng)早期一般使用誤用檢測和異常檢測的檢測技術(shù)[2]。誤用檢測技術(shù)是基于已經(jīng)知道入侵攻擊的特征去匹配和識別攻擊，模式匹配技術(shù)是最通用的誤用檢測技術(shù)。它的特點是簡單、有較好的擴(kuò)展性好以及檢測效率高（相對于異常檢測），但是它只能用來檢測一些相對比較簡單的攻擊，因此它誤報率很高[3]。盡管如此，這種技術(shù)的便利的維護(hù)性仍然使它被廣泛的應(yīng)用。異常入侵檢測是預(yù)先存儲用戶正常的行為模式，但是那些不確定的用戶的正常行為在檢測的時候會被當(dāng)成入侵行為。由于它可以發(fā)現(xiàn)異常行為和未知的攻擊模式，因此異常入侵系統(tǒng)是最主要的研究趨勢。異常檢測系統(tǒng)的關(guān)鍵問題是建立正常的行為模式，以及如何用該模式與當(dāng)前系統(tǒng)或用戶的行為的模型進(jìn)行比較，從而判斷出行為的異常度。這兩種入侵檢測系統(tǒng)的方法都不具有智能限定行為模式的意圖，但是利用協(xié)議分析的優(yōu)點就可以彌補(bǔ)這一點。

協(xié)議分析是一種新型的入侵檢測系統(tǒng)的技術(shù)手段。它可以高效的分析協(xié)議，并利用網(wǎng)絡(luò)協(xié)議高度的規(guī)則性快速檢測攻擊，從而避免了傳統(tǒng)入侵檢測技術(shù)在檢測過程中的大量的無用過程，極大的提高了檢測效率[4][5]。協(xié)議分析技術(shù)只搜尋數(shù)據(jù)包的特定部分而不是完整的數(shù)據(jù)，因此縮小了檢測空間，從而提高了入侵檢測的效率[6]。

2 協(xié)議的基本結(jié)構(gòu)

以太網(wǎng)幀格式有兩種標(biāo)準(zhǔn)，一種是DIX標(biāo)準(zhǔn)的EthernetII，另一種是IEEE標(biāo)準(zhǔn)802.3[7]。EthernetII幀格式通常被用于現(xiàn)行的幀格式。協(xié)議的頭部包括了IP、IPX、ARP、SNMP、NetBUI，格式如表1。

2.1 IP數(shù)據(jù)報（IP datagram）

在傳輸協(xié)議TCP、UDP、ICMP、IGMP中，數(shù)據(jù)是基于IP數(shù)據(jù)傳輸格式，IP數(shù)據(jù)報被分為IP頭和IP數(shù)據(jù)段[8]。IP頭包含了版本、首部長度、服務(wù)類型、長度、認(rèn)證、標(biāo)志、段偏移量、TTL、校驗和、源IP地址、目的IP地址，如圖2。

2.2 TCP報文

TCP（傳輸控制協(xié)議）是一種面向連接的傳輸服務(wù)[9]。它在傳輸過程中把數(shù)據(jù)分段傳輸，它用比特流進(jìn)行通信。為保證傳輸數(shù)據(jù)的可靠性，每個TCP傳輸序列號都是特定的。TCP數(shù)據(jù)報被分為TCP頭和TCP數(shù)據(jù)段，其中TCP頭包含了源端口、目的端口、序列號等等。

3 基于協(xié)議分析的分布式入侵檢測系統(tǒng)的模型

3.1 檢測器模型

設(shè)計和建立基于協(xié)議分析原理的檢測模塊是系統(tǒng)最重要的地方，它包含了兩部分內(nèi)容：數(shù)據(jù)抓取模塊和協(xié)議分析模塊，結(jié)構(gòu)如圖2所示。

數(shù)據(jù)抓取模塊最主要的作用是獲得網(wǎng)絡(luò)中的數(shù)據(jù)，并把用于協(xié)議分析的數(shù)據(jù)部分發(fā)送出去。

這個模塊的焦點是協(xié)議分析，它描述分析抓取的數(shù)據(jù)。它的工作原理是：從以太網(wǎng)幀中得到以太網(wǎng)數(shù)據(jù)報首部，數(shù)據(jù)報首部的長度是14個字節(jié)，其中6個字節(jié)代表了目的以太網(wǎng)地址，另外6個字節(jié)代表了源以太網(wǎng)地址，最后2個字節(jié)代表了幀的服務(wù)類型，如ARP、RARP、IP、IPX等等，我們只需要對IP協(xié)議做進(jìn)一步的分析。IP頭的長度是20字節(jié)，它主要包括了源IP地址、目的IP地址、斷標(biāo)識和斷偏移量以及IP裝載的協(xié)議類型，如TCP、UDP或者ICMP（分別對應(yīng)協(xié)議號碼為6，17，1）。TCP頭的長度是20個字節(jié)，它主要包括了源端口、目的端口、標(biāo)識、序列號和ACK等等。TCP頭包括了6個標(biāo)識：URG、SYN、ACK、FIN、RST、PSH，這兩個標(biāo)識反應(yīng)了TCP連接的狀態(tài)。數(shù)據(jù)包的類型可以通過TCP包的源端口和目的端口得知，例如TELNET的端口是23，EMAIL的端口是25等等。在應(yīng)用層，包含了大量的協(xié)議，我們只需要分析一些日常的應(yīng)用，比如FTP、EMAIL、TELNET、WWW等。

通過協(xié)議分析，分析模塊可以抽取數(shù)據(jù)包中的關(guān)鍵詞，與檢測器模塊中的關(guān)鍵詞進(jìn)行比較，我們就可以知道是否有網(wǎng)絡(luò)入侵發(fā)生。

3.2 分布式入侵檢測系統(tǒng)的模型

盡管入侵檢測系統(tǒng)能夠識別非授權(quán)的使用或者計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的誤用，而入侵也變得越來越復(fù)雜，獨立的入侵檢測系統(tǒng)不能夠處理復(fù)雜的安全問題。因此在網(wǎng)絡(luò)中放置多個入侵檢測系統(tǒng)代理，并在其中設(shè)置一個處理關(guān)鍵詞數(shù)據(jù)載體的模塊，利用綜合分析來確定攻擊是否發(fā)生，這種機(jī)制就是分布式入侵檢測系統(tǒng)。這個系統(tǒng)被分為檢測模塊、處理模塊和響應(yīng)模塊。具體模型如圖2。

在這個模型中，在檢測模塊和處理模塊中的網(wǎng)絡(luò)數(shù)據(jù)可以再檢測后進(jìn)入用戶的計算機(jī)。每一個檢測模塊就是一個微數(shù)據(jù)分析系統(tǒng)，它們通過數(shù)據(jù)報告的分析高速的發(fā)送到處理模塊，在響應(yīng)模塊中確定是否屬于攻擊行為。檢測模塊和處理模塊組成了一套完整的入侵檢測系統(tǒng)。

處理模塊包含了一個規(guī)則庫，它是現(xiàn)今常見的入侵模式的關(guān)鍵詞集合，并隨著新入侵行為的出現(xiàn)，從而擴(kuò)充或者修改規(guī)則庫。如果我們發(fā)現(xiàn)到達(dá)的字串被匹配，那么就表示攻擊發(fā)生了，此時檢測模塊會發(fā)送經(jīng)過比對的關(guān)鍵詞和規(guī)則到處理模塊。響應(yīng)模塊用于反應(yīng)入侵行為，也會提示用戶攻擊的手段以及攻擊的目標(biāo)，使得用戶及時的做出防御性措施以避免造成損失。

4 分布式入侵檢測系統(tǒng)的特點

基于協(xié)議分析的分布式入侵檢測系統(tǒng)模型具有以下優(yōu)點：

4.1 系統(tǒng)結(jié)構(gòu)簡單

這個系統(tǒng)由三個模塊組成：檢測模塊、處理模塊和響應(yīng)模塊。這就使得數(shù)據(jù)在幾個模塊之間進(jìn)行傳遞時不需要經(jīng)過過多的中間層，從而提高了各模塊之間的數(shù)據(jù)傳輸率。在大數(shù)據(jù)流量的網(wǎng)絡(luò)中，這種系統(tǒng)具有巨大的優(yōu)勢。當(dāng)有更多的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時，傳統(tǒng)入侵檢測系統(tǒng)的漏報率將急速增加。這就給那些黑客制造了機(jī)會，他們利用一些方法向網(wǎng)絡(luò)中發(fā)送大量的垃圾數(shù)據(jù)搞亂網(wǎng)絡(luò)。這時如果一些檢測部分和處理部分有一點點延遲，或者在于規(guī)則庫進(jìn)行匹配的時間過長的話，就會造成大量的數(shù)據(jù)沒有被檢測就直接進(jìn)入了用戶計算機(jī)。

4.2 檢測速度快

在檢測模塊中，我們只抽取重要的特征包傳遞給處理模塊進(jìn)行處理，它的長度相對于整個數(shù)據(jù)包來說通常是很小的一個比例，不但節(jié)省了檢測的系統(tǒng)資源，而且提高了單位時間內(nèi)的數(shù)據(jù)傳輸速度。特征庫中特征字符串很短，因此在匹配速度上也會有較大的提高，甚至可以同時處理大量的數(shù)據(jù)。這個系統(tǒng)可以實現(xiàn)系統(tǒng)工作，及時的檢測入侵，從而極大的提高了檢測速度。

5 結(jié)論

基于協(xié)議分析的入侵檢測已經(jīng)是新一代的入侵檢測系統(tǒng)的技術(shù)。該文提出了一個簡單結(jié)構(gòu)的基于協(xié)議分析的入侵檢測系統(tǒng)，具有較快的檢測速度、較高的檢測效率等等，并且系統(tǒng)實現(xiàn)的費用不高。盡管如此，網(wǎng)絡(luò)入侵的多樣化使得檢測系統(tǒng)越來越難，尤其是規(guī)則庫只能夠識別被入侵行為，以至于仍然會有未被檢測到的入侵行為。不過分布式入侵檢測系統(tǒng)的研究仍然處于初期階段，隨著技術(shù)的發(fā)展，這個系統(tǒng)可以隨著網(wǎng)絡(luò)趨勢的改變而改變，也就是使系統(tǒng)具有自學(xué)習(xí)性和適應(yīng)性的功能。

參考文獻(xiàn)：

[1] 陳一驕.網(wǎng)絡(luò)入侵檢測系統(tǒng)高速處理技術(shù)研究[D]. 長沙：國防科學(xué)技術(shù)大學(xué)， 2007.

[2] 李秀婷.基于Snort的網(wǎng)絡(luò)入侵檢測系統(tǒng)實現(xiàn)及其改進(jìn)研究[D]. 西安：西安電子科技大學(xué)，2008.

[3] 沈超，薛勝軍.分布式協(xié)同入侵檢測系統(tǒng)設(shè)計與實現(xiàn)[J]. 武漢理工大學(xué)學(xué)報，2010（16）.

[4] 黃莉.一種基于協(xié)議分析和聚類的入侵檢測方法[J].科技信息，2009（30）.

[5] 張紹輝，陳晨，韓憲忠.基于MAC幀分類匹配的WLAN入侵檢測[J].微型機(jī)與應(yīng)用， 2011（1）.

[6] 蘇砫，李化.分布式入侵檢測系統(tǒng)[J]. 數(shù)據(jù)通信， 2003（6）.

[7] 楊文蓮，王穎.網(wǎng)絡(luò)入侵檢測的研究與實踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006（5）.

[8] 司鳳山.一種分布式入侵檢測系統(tǒng)模型研究[J].菏澤學(xué)院學(xué)報，2011（2）.

[9] 李路.分布式入侵檢測系統(tǒng)中的數(shù)據(jù)分析[J].沈陽大學(xué)學(xué)報，2005（4）.