張 甜

天津師范大學(xué)計(jì)算機(jī)與信息工程學(xué)院，天津 300387

入侵檢測(cè)技術(shù)，可以理解為識(shí)別或檢測(cè)針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)資源以及信息的不合法意圖和行為，并且對(duì)此行為做出響應(yīng)的過(guò)程。能夠執(zhí)行并完成以上功能的獨(dú)立系統(tǒng)就是入侵檢測(cè)系統(tǒng) (Intrusion Detection System，以下簡(jiǎn)稱IDS)。IDS 可以識(shí)別技術(shù)未授權(quán)對(duì)象入侵系統(tǒng)的企圖或行為，同時(shí)檢測(cè)授權(quán)對(duì)象對(duì)計(jì)算機(jī)系統(tǒng)資源和信息的非法操作。

有效的IDS，應(yīng)做的到如下幾點(diǎn)要求。首先可以讓計(jì)算機(jī)系統(tǒng)管理員時(shí)刻掌握網(wǎng)絡(luò)系統(tǒng)的任何變更，其次應(yīng)該能夠?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全策略提供幫助指南，再次，它能夠做到管理配置方便簡(jiǎn)單，最后IDS 還可以根據(jù)安全需求、系統(tǒng)構(gòu)造以及網(wǎng)絡(luò)威脅變更而改變。

1 入侵檢測(cè)技術(shù)的類別

根據(jù)檢測(cè)技術(shù)類型可劃分為異常行為檢測(cè)技術(shù)類型和漏洞檢測(cè)技術(shù)類型。根據(jù)異?；蛘卟缓戏ㄐ袨楹褪褂糜?jì)算機(jī)資源信息的情況檢測(cè)入侵的技術(shù)類型被稱為異常入侵攻擊檢測(cè)。漏洞入侵檢測(cè)是利用已知系統(tǒng)和應(yīng)用軟件的漏洞攻擊方式檢測(cè)入侵。

根據(jù)IDS 結(jié)構(gòu)類型區(qū)分入侵檢測(cè)技術(shù)，則有以下幾種類別：基于主機(jī)的入侵檢測(cè)、基于網(wǎng)絡(luò)的入侵檢測(cè)以及這兩種技術(shù)的混合入侵檢測(cè)方式?；谥鳈C(jī)的入侵檢測(cè)技術(shù)主要是根據(jù)IDS所在主機(jī)的統(tǒng)計(jì)數(shù)據(jù)和系統(tǒng)日志識(shí)別檢測(cè)可疑事件?；诰W(wǎng)絡(luò)的入侵檢測(cè)則主要根據(jù)網(wǎng)絡(luò)管理協(xié)議、協(xié)議分析、網(wǎng)絡(luò)流量等信息檢測(cè)入侵?；旌先肭謾z測(cè)是將以上兩種入侵檢測(cè)技術(shù)結(jié)合在一起。

根據(jù)IDS 控制布局類型可分為集中式入侵檢測(cè)和分布式入侵檢測(cè)。集中式入侵檢測(cè)的定義是將局域網(wǎng)內(nèi)每個(gè)計(jì)算機(jī)收集的數(shù)據(jù)匯總到中央計(jì)算機(jī)進(jìn)行集中批量處理。與此相對(duì)應(yīng)，運(yùn)用多個(gè)節(jié)點(diǎn)或多個(gè)中央處理器共同合作檢測(cè)被監(jiān)視的計(jì)算機(jī)就是分布式IDS。

根據(jù)系統(tǒng)對(duì)入侵攻擊的響應(yīng)方式可分為主動(dòng)入侵檢測(cè)和被動(dòng)入侵檢測(cè)。主動(dòng)IDS 在檢測(cè)到入侵攻擊信息后，能夠立即實(shí)施預(yù)先定義的措施，包括自動(dòng)修補(bǔ)本機(jī)漏洞、強(qiáng)制違法用戶退出本機(jī)以及關(guān)閉受保護(hù)的相關(guān)服務(wù)等響應(yīng)措施。與主動(dòng)IDS 不同的是被動(dòng)IDS 在檢測(cè)或識(shí)別出對(duì)網(wǎng)絡(luò)資源或本機(jī)信息的入侵攻擊后只是向網(wǎng)絡(luò)系統(tǒng)安全管理員產(chǎn)生報(bào)警信息警告。

2 入侵檢測(cè)技術(shù)基本結(jié)構(gòu)

2.1 信息收集

信息收集是入侵檢測(cè)技術(shù)的第一步。一般來(lái)說(shuō)，IDS 通過(guò)以下方式獲得信息。

第一種方式是通過(guò)網(wǎng)絡(luò)檢測(cè)數(shù)據(jù)包報(bào)文收集IDS 所需信息。但是這樣做的缺點(diǎn)是只能夠檢測(cè)到本系統(tǒng)所在機(jī)器的報(bào)文，將網(wǎng)卡設(shè)置為混雜模式就可以解決這一問(wèn)題。

第二種方式是把IDS 模塊安裝在主機(jī)上，由IDS 模塊負(fù)責(zé)收集本主機(jī)上的信息，常用的信息包括系統(tǒng)調(diào)用、特定進(jìn)程信息、系統(tǒng)日志、特定程序日志等。

在具體的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中，以上兩種獲得信息的方式是合作完成入侵檢測(cè)的。

2.2 信息分析

信息分析是入侵檢測(cè)技術(shù)的第二步。IDS 中的知識(shí)庫(kù)負(fù)責(zé)記錄事先定義的特定安全策略。IDS 在完成第一步即收集到所需的相關(guān)信息后，將這些信息與知識(shí)庫(kù)中所有的安全策略逐一對(duì)比，IDS 就是通過(guò)這種方法檢測(cè)出收集到的信息中是否包含違反安全策略的行為。

關(guān)于IDS 定義知識(shí)庫(kù)的方法，通常做法是查看第一步網(wǎng)絡(luò)或主機(jī)收集到的信息中是否含有特定的入侵攻擊特征。IDS 知識(shí)庫(kù)能夠定義了哪些種類的報(bào)文包含入侵攻擊信息。

IDS 的核心技術(shù)是構(gòu)建知識(shí)庫(kù)，其目的是準(zhǔn)確定義入侵行為，這是IDS 與其他行為管理軟件的不同之處。雖然它們都可以監(jiān)視網(wǎng)絡(luò)信息和行為，但是IDS 包含記錄入侵攻擊特征信息的知識(shí)庫(kù)。攻擊特征的準(zhǔn)確性直接決定了IDS 檢測(cè)技術(shù)的準(zhǔn)確率。

IDS 一般應(yīng)用統(tǒng)計(jì)分析或者模式匹配進(jìn)行實(shí)施入侵檢測(cè)，應(yīng)用完整性分析進(jìn)行事后分析。這三種方法都可以對(duì)收集到的系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、及用戶活動(dòng)狀態(tài)和行為數(shù)據(jù)等信息進(jìn)行深度挖掘分析。

2.3 結(jié)果響應(yīng)

在完成收集信息和信息分析之后，入侵檢測(cè)的第三個(gè)步驟是結(jié)果響應(yīng)。IDS 檢測(cè)到入侵攻擊信息后命令控制臺(tái)按照系統(tǒng)中定義的相應(yīng)的結(jié)果響應(yīng)采取對(duì)應(yīng)的防護(hù)安全措施，可以是IDS 主動(dòng)響應(yīng)安全防護(hù)，包括：防止或阻止攻擊、更新路由器和防火墻配置、中斷相應(yīng)進(jìn)程、終止或中斷網(wǎng)絡(luò)連接以及更新重要文件屬性等措施，也可以是IDS 被動(dòng)響應(yīng)安全防護(hù)，如：記錄入侵攻擊事件或只是發(fā)出警告。

3 入侵檢測(cè)技術(shù)現(xiàn)有的缺點(diǎn)

3.1 阻斷入侵的能力低

雖然IDS 可以識(shí)別入侵進(jìn)而阻斷連接，并支持對(duì)內(nèi)外攻擊和誤操作的實(shí)時(shí)保護(hù)，但只是側(cè)重于發(fā)現(xiàn)和識(shí)別入侵攻擊行為。未來(lái)可將IDS 與防火墻結(jié)合使用，配置 IDS 的相應(yīng)安全策略，并指定對(duì)象防火墻的密鑰及地址。由 IDS 與防火墻發(fā)起并建立正常連接，IDS 產(chǎn)生新的安全事件后隨即通知防火墻，防火墻隨之做出相應(yīng)的安全措施響應(yīng)，使安全機(jī)制從源頭上識(shí)別并阻斷入侵攻擊行為。這樣不僅提高防火墻的實(shí)時(shí)反應(yīng)能力，還能提升 IDS 的阻斷能力。

3.2 高誤報(bào)率和高漏報(bào)率

IDS 不能有效地檢測(cè)高速交換網(wǎng)絡(luò)中的所有的數(shù)據(jù)包，并且分析信息的準(zhǔn)確率不高，就會(huì)產(chǎn)生誤報(bào)。IDS 檢測(cè)入侵攻擊規(guī)則的更新落后于入侵攻擊手段的更新，就容易導(dǎo)致漏報(bào)。未來(lái)可將數(shù)據(jù)包報(bào)文信息直接存儲(chǔ)到系統(tǒng)內(nèi)核事先指定的地址空間中，并且將系統(tǒng)內(nèi)核中存儲(chǔ)數(shù)據(jù)包報(bào)文信息的內(nèi)存直接映射到入侵檢測(cè)模塊的應(yīng)用程序空間當(dāng)中。入侵檢測(cè)模塊可以直接對(duì)訪問(wèn)這部分內(nèi)存，因此減少了系統(tǒng)內(nèi)核向用戶應(yīng)用程序空間的內(nèi)存復(fù)制以及系統(tǒng)調(diào)用的開(kāi)銷(xiāo)。IDS 可以自動(dòng)獲取當(dāng)前網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)信息，并且根據(jù)網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)變化隨時(shí)更新防護(hù)配置，使得IDS 中入侵檢測(cè)規(guī)則只和當(dāng)前網(wǎng)絡(luò)狀態(tài)相關(guān)。通過(guò)此種方式達(dá)到預(yù)防攻擊，以及保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息的目的。

[1]戴連英，連一峰，王航.系統(tǒng)安全與入侵檢測(cè)技術(shù)[M].北京：清華大學(xué)出版社，2002，3.

[2]壬強(qiáng).計(jì)算機(jī)安全入侵檢測(cè)方案的實(shí)現(xiàn)[J].計(jì)算機(jī)與信息技術(shù)，2007，14：288，320.

[3]張志剛，吳建設(shè).入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].黃石理工學(xué)院學(xué)報(bào)，2008，24(5)：l3-15.

[4]夏炎，尹慧文.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J].沈陽(yáng)工程學(xué)院學(xué)報(bào)：自然科學(xué)版，2008，4(4)：362-363.