基于網(wǎng)絡的入侵檢測模型和方法研究

胡莉萍

（浙江橫店影視職業(yè)學院，東陽 322118）

0 引言

信息網(wǎng)絡如今已成為全世界范圍內(nèi)的一個信息交換和資源共享的平臺，它有著開發(fā)和共享這個特性，但是這個特性也成了信息網(wǎng)絡的先天安全缺陷。另一方面，網(wǎng)絡上的黑客站點很多，黑客們的攻擊手段也很高明。而我們國家在這個方面的法律法規(guī)卻相對比較滯后。因此很多大公司都曾被黑客入侵。信息安全問題已不容我們忽視。本論文將對網(wǎng)絡安全中的入侵檢測問題進行研究，提出以入侵檢測為核心的動態(tài)的網(wǎng)絡安全解決方案。

1 入侵檢測通用模型

入侵檢測技術(shù)是從計算機網(wǎng)絡或系統(tǒng)若干關(guān)鍵點中收集分析相關(guān)信息，通過分析來得出系統(tǒng)或網(wǎng)絡是否已經(jīng)被攻擊或已存在安全隱患，同時要作出響應的一種動態(tài)安全防御技術(shù)。它有實時性、動態(tài)檢測性和主動防御性，可以彌補靜態(tài)防御工具的缺點，如可將防火墻和入侵檢測系統(tǒng)結(jié)合起來使用來共同抵擋網(wǎng)絡內(nèi)外的攻擊。

1987年Dorothy E.Denning提出了名為IDES的入侵檢測模型。該模型由六個部分組成：主體（指在目標系統(tǒng)上活動的實體）、對象即客體、審計記錄（主體對客體實施操作時系統(tǒng)產(chǎn)生的數(shù)據(jù)）、活動檔案（主體相對于客體的正常行為用度量和統(tǒng)計模型來表示）、異常記錄和活動規(guī)則（條件和動作）。

Denning模型定義了事件計數(shù)器、資源測量器、間隔定時器這3種度量。并提出了可操作模型、多變量模型、時間序列模型、均值和標準差模型和馬爾可夫過程模型這5種統(tǒng)計模型。Denning模型會對系統(tǒng)審計數(shù)據(jù)進行統(tǒng)計分析從而得出單個用戶或一組用戶的正常的行為特征，模型通過將這些正常的行為特征與系統(tǒng)中的審計數(shù)據(jù)進行比較，如果不相同的內(nèi)容超過了規(guī)定的范圍就可得出是有入侵了。這個模型成了其后的許多異常檢測方法的基礎。該模型如圖1所示。

圖1 Denning入侵檢測模型

2 層次化入侵檢測模型

現(xiàn)今比較常見和成熟的是來源于誤用檢測和異常檢測的層次化入侵檢測模型。誤用檢測往往是針對非安全行為，而異常檢測則針對安全行為，層次化入侵檢測模型則既可以通過對攻擊行為的分析檢測出已知入侵，同時又可以通過對安全策略庫和疑似入侵的行為進行模式匹配來檢測出未知入侵種類。

誤用檢測和異常檢測相結(jié)合就構(gòu)成了層次化的模型，這種模型通過對入侵行為的逐步分析和處理，可以將大多數(shù)的攻擊行為檢測出來，層次化入侵檢測模型分為入侵行為檢測和入侵結(jié)果檢測兩部分，整個過程主要分成入侵特征提取和入侵行為分析。層次化入侵檢測模型如圖2所示，攻擊特征的提取和行為分析都結(jié)合在層次化入侵檢測模型的整個體系結(jié)構(gòu)中，其中入侵特征提取代表了基于知識的入侵檢測思想和入侵行為分析則代表基于行為的檢測思想，入侵特征提取用于檢測未知入侵和入侵行為分析則用于監(jiān)控已知的入侵。層次化入侵檢測模型如圖2所示。

圖2 層次化入侵檢測體系結(jié)構(gòu)

3 CIDF通用入侵檢測框架

CIDF由美國加州大學戴維斯分校計算機安全實驗室于1997年初提出。CIDF將入侵檢測系統(tǒng)分為4個基本組件：事件產(chǎn)生器、事件分析器、響應單元、事件數(shù)據(jù)庫，以上這4個組件中的事件指系統(tǒng)需要分析的數(shù)據(jù)如網(wǎng)絡中的數(shù)據(jù)包或從系統(tǒng)日志中得到的信息。這些組件之間采用統(tǒng)一入侵檢測對象GIDO這個標準格式進行數(shù)據(jù)交換，因此這些組件在其他環(huán)境中只需要將典型的環(huán)境特征轉(zhuǎn)換為GIDO格式就可以使用。雖然CIDF標準并沒有正式確立，但各IDS廠商都在按照CIDF進行信息交換的標準化工作。

1）事件產(chǎn)生器

事件產(chǎn)生器負責從整個計算環(huán)境中收集數(shù)據(jù)也就是相關(guān)事件（Event），并將這些數(shù)據(jù)轉(zhuǎn)換成GIDO格式傳送給其他組件。

2）事件分析器

事件分析器的任務是分析從其他組件收到的CIDF的GIDO，并將得到的分析結(jié)果傳送給其他組件。

3）事件數(shù)據(jù)庫

事件數(shù)據(jù)庫負責存儲系統(tǒng)需要的時候使用的各種中間和最終事件的數(shù)據(jù)。

4）響應單元

響應單元是對分析結(jié)果做出諸如威脅報警、殺死相關(guān)進程等反應的功能單元。

CIDF的體系結(jié)構(gòu)如圖3所示。

圖3 CIDF的體系結(jié)構(gòu)

4 入侵檢測方法

1）誤用檢測 (Misuse Detection)。

誤用檢測將所有觀測到的和目標對象有關(guān)的用戶行為同通過分析各種已知的攻擊方法、手段和漏洞組建起來的入侵模式庫進行比較，如果發(fā)現(xiàn)其行為與入侵模式庫的某種入侵模式匹配，就可判定是入侵行為。這種方法準確度較高，因此目前幾種商用的IDS如Snort、Bro基本都使用它。當然它也存在一定的缺陷，那就是對入侵特征模式庫太過依賴，如果模式庫本身并不完整或不能得到及時更新，那么就很容易發(fā)生漏報事件，另外隨著入侵行為的添加，模式庫的容量也會不繼擴大，這也必然會加重系統(tǒng)的負擔和降低發(fā)現(xiàn)入侵行的效率。目前常用的誤用檢測技術(shù)有專家系統(tǒng)（Expert Systems）、模式匹配（Pattern Matching）和基于Petri網(wǎng)分析的濫用入侵檢測方法等。一種比較典型的誤用入侵檢測系統(tǒng)模型如圖4所示。

2）異常檢測（Anomaly Detection）

異常檢測技術(shù)首先將不符合對象正常、合法的所有活動判定為入侵行為，為了判定這種不正?，F(xiàn)象，異常檢測技術(shù)得對正常狀態(tài)下的系統(tǒng)行為建立起行為模型，但建立模型的過程是復雜且動態(tài)變化的，在已建立起行為模型的基礎上，將從系統(tǒng)中觀測到的與目標對象相關(guān)的活動與之進行比較就可得出哪些是可疑的入侵行為。異常檢測技術(shù)存在著許多不確定性和誤警率也較高，這種技術(shù)目前還主要停留在研究階段，但這一思想的本質(zhì)對我們研究和設計NIDS有著十分重要的作用。比較成熟的異常檢測技術(shù)有統(tǒng)計分析（Statistioal Measures）和神經(jīng)網(wǎng)絡技術(shù)（Neural Networks）。當然還有其它的一些異常檢測方法，如基于數(shù)據(jù)挖掘（DataMining）的、基于計算機免疫學的異常檢測方法等。一種比較典型的異常入侵檢測系統(tǒng)模型如圖5所示。

圖5 一種比較典型的異常入侵檢測系統(tǒng)模型

圖6 基于Agent的入侵檢測模型

3) 智能入侵檢測模型

誤用檢測的智能性要求較低，它主要用于對已知行為進行檢測，而異常檢測對智能的要求則較高，它主要針對未知入侵。入侵檢測系統(tǒng)通過單個主機和監(jiān)視模塊收集數(shù)據(jù)，收集后再由一個中心處理器來完成檢測。智能化入侵檢測模型一般是使用神經(jīng)網(wǎng)絡、遺傳算法等智能化手段來進行入侵特征的辨識與泛化?；贏gent的入侵檢測模型如圖6所示。

5 結(jié)束語

入侵檢測是對網(wǎng)絡靜態(tài)防御技術(shù)的一種有效彌補工具，它能提供對網(wǎng)絡內(nèi)外部攻擊的實時保護。設計和實現(xiàn)有效的入侵檢測模型是建立IDS的關(guān)鍵。入侵檢測技術(shù)也正與其它學科如數(shù)據(jù)挖掘、人工智能等交融匯合形成了新的入侵檢測技術(shù)，并對網(wǎng)絡安全起著新的更強的保護作用。入侵檢測模型的發(fā)展必將會逐步走向豐富化、智能化和多元化。

[1] 張鵬, 趙輝.關(guān)于入侵檢測模型的研究與分析[J].網(wǎng)絡安全技術(shù)與應用.2009, 03.

[2] 王麗薔.基于黑客行為特征的入侵檢測研究[D].解放軍信息工程大學.2009, 10.

[3] 羅騰.基于協(xié)議分析的入侵檢測系統(tǒng)研究與設計[J].中國新技術(shù)新產(chǎn)品.2010, 07.

[4] 武明.Agent技術(shù)在入侵檢測中的應用研究[D].電子科技大學.2004, 02.

[5] 張家超, 王全善.網(wǎng)絡入侵檢測技術(shù)的研究[J].連云港職業(yè)技術(shù)學院學報(綜合版).2004, 03.

[6] 馬星亮.基于CORBA的分布式入侵檢測系統(tǒng)的研究與實現(xiàn)[D].武漢科技大學.2008, 04.

[7] 滿紅芳, 宿超, 馬春清.基于Agent的分布式入侵檢測系統(tǒng)模型的研究與設計[J].山東電大學報.2006, 02.

[8] 李勇, 李建, 曾銀.數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應用[J].山西電子技術(shù).2006, 12.

[9] 劉秀麗.基于網(wǎng)絡的智能化入侵檢測系統(tǒng)模型研究[D].南京航空航天大學.2007, 12.

[10] 郝文江.黑客入侵檢測模型研究[J].吉林公安高等?？茖W校學報.2009, 12.