譚靜儀

摘要：入侵檢測(cè)技術(shù)是一種對(duì)入侵行為主動(dòng)發(fā)掘的技術(shù)，其工作原理是通過(guò)從計(jì)算機(jī)的關(guān)鍵節(jié)點(diǎn)或計(jì)算機(jī)網(wǎng)絡(luò)中收集數(shù)據(jù)鏈路層的數(shù)據(jù)包進(jìn)行分析，根據(jù)既定的規(guī)則，從中檢測(cè)是否存在違反安全策略的訪問(wèn)和攻擊網(wǎng)絡(luò)或系統(tǒng)的行為。目前的入侵檢測(cè)技術(shù)盡管起到了很大的作用但也存在很多的不足，基于此，筆者提出了一種為了彌補(bǔ)不足，增加檢測(cè)能力，提高了檢測(cè)的速度為宗旨的改進(jìn)的Web入侵檢測(cè)模型，該入侵檢測(cè)模型通過(guò)數(shù)據(jù)流與日志分析相融合的方式，極大地提高了入侵檢測(cè)系統(tǒng)的有效性和實(shí)用性。

關(guān)鍵詞：入侵檢測(cè)技術(shù)；算法；模型

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）09-0072-02

隨著Internet不斷發(fā)展的同時(shí)，網(wǎng)站上出現(xiàn)入侵攻擊的現(xiàn)象也愈發(fā)常見(jiàn)。跟據(jù)統(tǒng)計(jì)顯示，大約每20秒就有一次入侵事件發(fā)生，網(wǎng)站犯罪每年以20%-30%速度增加，全球每年因網(wǎng)站非法入侵等情況而遭受的各種損失已至百億級(jí)別。

在中國(guó)絕大多數(shù)的網(wǎng)站都有安全缺陷，不少網(wǎng)站都遭受到過(guò)入侵攻擊，這一情況對(duì)我國(guó)網(wǎng)站信息安全產(chǎn)生極壞的影響。與此同時(shí)，隨著網(wǎng)站安全防范技術(shù)的增強(qiáng)，網(wǎng)站入侵攻擊的手段方法也愈發(fā)多變、隱蔽、難以發(fā)覺(jué)。非法入侵者使用的入侵手段已不只是木馬、感染、網(wǎng)頁(yè)腳本和黑客后門(mén)等，比方說(shuō)超級(jí)蠕蟲(chóng)、隱蔽攻擊等更高級(jí)攻擊技術(shù)也開(kāi)始出現(xiàn)。因此，研究入侵檢測(cè)技術(shù)算法的改進(jìn)與應(yīng)用已經(jīng)成為必要的問(wèn)題。

1 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）是一種主動(dòng)保護(hù)自己免受傷害的網(wǎng)絡(luò)安全設(shè)備，主要負(fù)責(zé)采集系統(tǒng)中關(guān)鍵節(jié)點(diǎn)的數(shù)據(jù)，通過(guò)對(duì)數(shù)據(jù)的分析處理，發(fā)現(xiàn)危害系統(tǒng)的行為，同時(shí)對(duì)該種行為做出相應(yīng)的防御，網(wǎng)絡(luò)管理者可以通過(guò)它實(shí)時(shí)地了解網(wǎng)絡(luò)的實(shí)際情況。

目前，入侵檢測(cè)技術(shù)多種多樣，涵蓋了各個(gè)領(lǐng)域，每種技術(shù)都有各自的優(yōu)勢(shì)與長(zhǎng)處，也有各自的特點(diǎn)，人們采用不同的劃分標(biāo)準(zhǔn)區(qū)別各種各樣的入侵檢測(cè)技術(shù)，其中比較被大多數(shù)人認(rèn)可的五種劃分方式是反應(yīng)機(jī)制、檢測(cè)所采取的技術(shù)、數(shù)據(jù)的來(lái)源、體系結(jié)構(gòu)以及反應(yīng)快慢，在這五種方式中，每種都含有不同的檢測(cè)技術(shù)

1）基于主機(jī)的入侵檢測(cè)

入侵檢測(cè)技術(shù)的初期階段，入侵檢測(cè)技術(shù)的應(yīng)用是不盡如人意的，也因此出現(xiàn)了非常嚴(yán)重的入侵問(wèn)題，例如，根據(jù)計(jì)算機(jī)密碼配置文件的入侵程序，間接或直接的非法訪問(wèn)，使用SUID等入侵程序獲取訪問(wèn)權(quán)限等。通常，當(dāng)主機(jī)遭到入侵之后，入侵者的操作會(huì)留在系統(tǒng)的日志中。這樣，利用日志分析技術(shù)可以來(lái)檢測(cè)入侵主機(jī)之后到底發(fā)生了什么。基于日志分析的檢測(cè)技術(shù)十分依賴于主機(jī)日志記錄的準(zhǔn)確性和嚴(yán)謹(jǐn)性。如果日志遭到破壞或篡改，將沒(méi)有本法很好的分析入侵行為。

2）基于網(wǎng)絡(luò)的入侵檢測(cè)

基于網(wǎng)絡(luò)的入侵檢測(cè)和以往的入侵檢測(cè)技術(shù)存在的區(qū)別，主要就是不再是被動(dòng)地檢測(cè)主機(jī)系統(tǒng)日志，主動(dòng)在網(wǎng)絡(luò)分組數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)，以檢測(cè)可疑的活動(dòng)。使用旁路時(shí)，偵聽(tīng)器的工作機(jī)制，以相應(yīng)的收集數(shù)據(jù)，對(duì)可疑行為分析檢驗(yàn)?；诰W(wǎng)絡(luò)的入侵檢測(cè)技術(shù)，在利用實(shí)時(shí)監(jiān)控的同時(shí)可以不改變系統(tǒng)配置進(jìn)行入侵檢測(cè)，絲毫不用影響正常的網(wǎng)絡(luò)服務(wù)。

2 規(guī)則匹配算法

基于規(guī)則匹配算法的入侵檢測(cè)系統(tǒng)是在1995年由外國(guó)學(xué)者Sandeep Kumar提出的，其主要思想是將規(guī)則規(guī)則與網(wǎng)絡(luò)中捕獲并解碼分析的數(shù)據(jù)包進(jìn)行匹配，通過(guò)檢測(cè)引擎模塊檢測(cè)網(wǎng)絡(luò)中是否含有非法入侵行為。

Sandeep Kumar首次引出入侵信號(hào)的層次性概念，將入侵信號(hào)區(qū)分為不同的抽象層次，具體來(lái)說(shuō)，主要有四個(gè)層次，分別是存在、序列、規(guī)則表示及其他。

1）存在（Existence）

存在規(guī)則又稱(chēng)匹配規(guī)則，在對(duì)系統(tǒng)進(jìn)行定期檢查的過(guò)程中，發(fā)現(xiàn)含有入侵信號(hào)的審計(jì)事件，表明有入侵企圖。

2）序列（Sequence）

序列規(guī)則可以理解為入侵行為是按照一定次序發(fā)生的，在系統(tǒng)的審計(jì)事件中用連續(xù)峰值體現(xiàn)出來(lái)。

3）規(guī)則表示（Regular Expressions）

該規(guī)則用規(guī)則表示式構(gòu)成，一般情況下，都是一些沒(méi)有順序關(guān)系的活動(dòng)，用邏輯表達(dá)式將這些活動(dòng)事件連接起來(lái)。

4）其他（Others Pattern）

這種規(guī)則的入侵信號(hào)用以上三種規(guī)則都不能表示，內(nèi)部否定是其中一種比較重要的表現(xiàn)形式。

入侵檢測(cè)系統(tǒng)可以檢測(cè)出的入侵信號(hào)用存在規(guī)則表示，系統(tǒng)內(nèi)部的規(guī)則文件在檢測(cè)過(guò)程中發(fā)揮了重要作用，規(guī)則匹配系統(tǒng)事件來(lái)源獨(dú)立，只考慮事件中的數(shù)據(jù)，描述和匹配過(guò)程分離，只定義匹配的內(nèi)容，不考慮匹配過(guò)程，根據(jù)不同入侵信號(hào)的特點(diǎn)動(dòng)態(tài)形成相應(yīng)的規(guī)則，多個(gè)事件可以在同一時(shí)間進(jìn)行匹配，在實(shí)際應(yīng)用中，要提取高質(zhì)量的規(guī)則，根據(jù)入侵手段的變化，動(dòng)態(tài)改變匹配規(guī)則，設(shè)立不同優(yōu)先級(jí)，及時(shí)處理優(yōu)先級(jí)比較高的事件，完成對(duì)所有規(guī)則的匹配工作。

規(guī)則匹配的原理就是在文本串T中按字符順序依次查找是否含有規(guī)則串P，一般情況下，規(guī)則串P的長(zhǎng)度要遠(yuǎn)遠(yuǎn)小于文本串T的長(zhǎng)度，如果在文本串T中的某些字段找到了與規(guī)則串P完全吻合的字段，表示規(guī)則匹配成功，如果找不到表示規(guī)則匹配失敗。

入侵檢測(cè)系統(tǒng)把網(wǎng)絡(luò)中的數(shù)據(jù)包信息按照五元組的格式進(jìn)行分類(lèi)，禁止一些含有入侵企圖的訪問(wèn)端口，其次要對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行檢測(cè)，字符串匹配技術(shù)將發(fā)揮重要作用，通過(guò)系統(tǒng)特定的規(guī)則與內(nèi)容信息的比對(duì)，進(jìn)而查出入侵行為。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)的快速發(fā)展，在給廣大用戶帶來(lái)眾多便利的同時(shí)，也給網(wǎng)絡(luò)環(huán)境帶來(lái)了巨大的安全隱患，入侵檢測(cè)系統(tǒng)作為重要的主動(dòng)防御系統(tǒng)能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中有攻擊行為時(shí)，及時(shí)產(chǎn)生報(bào)警信息提示用戶并將該信息記錄到日志當(dāng)中。

文章對(duì)入侵檢測(cè)系統(tǒng)與相關(guān)規(guī)則算法進(jìn)行了研究。首先介紹了規(guī)則匹配的定義，又分別介紹了幾種規(guī)則匹配算法的算法思想，進(jìn)而對(duì)幾種多模式規(guī)則算法做出了對(duì)比分析，通過(guò)對(duì)幾種算法性能分析，介紹了各種算法的能力，并對(duì)幾種算法的基本原理記性了詳細(xì)闡述。在此基礎(chǔ)上，提出了改進(jìn)的算法可以更好的執(zhí)行入侵檢測(cè)的異常情況，并快速的響應(yīng)發(fā)出警報(bào)。

本文提出的改進(jìn)規(guī)則匹配算法，雖然提高了匹配效率，但 在實(shí)際應(yīng)用中還應(yīng)該多方面考慮算法的實(shí)際效果，來(lái)彌補(bǔ)可能仍然存在的不足之處，例如基于規(guī)則匹配的入侵檢測(cè)一般只能檢測(cè)到已知類(lèi)型的入侵攻擊，而遇到未知類(lèi)型的入侵攻擊，此類(lèi)的入侵檢測(cè)系統(tǒng)就很難準(zhǔn)確的檢測(cè)到了，如何在以后的工作中，將多規(guī)則匹配算法應(yīng)用到預(yù)防未知類(lèi)型的入侵檢測(cè)，將是今后入侵檢測(cè)系統(tǒng)未來(lái)發(fā)展的重點(diǎn)方向。

參考文獻(xiàn)：

[1] 那琳.SQL注入式攻擊及其防范措施研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2011（19）：73-74.

[2] 岳燕，趙才武.淺議政府機(jī)關(guān)WEB服務(wù)器的安全策略[J].云南科技管理，2012（1）：71-73.

[3] 馮谷，高鵬.新型SQL注入技術(shù)研究與分析[J].計(jì)算機(jī)科學(xué)，2012，23：415-417，423.

[4] 陳劍，龔發(fā)根.一種優(yōu)化分布式文件系統(tǒng)的文件合并策略[J].計(jì)算機(jī)應(yīng)用，2011（22）：161-163.

[5] 王紅艷.一種基于Hadoop架構(gòu)的網(wǎng)絡(luò)安全事件分析方法[J].信息網(wǎng)絡(luò)安全，2013（1）：55-57.

[6] 肖競(jìng)?cè)A，胡華.入侵檢測(cè)技術(shù)的分析與研究[J].計(jì)算機(jī)安全，2009（8）：30-32.

[7] 丁輝.網(wǎng)站被黑中毒W(wǎng)ebShell木馬的解決方案[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2014（3）：68-68.