麥丞程

摘要：隨著社會信息化程度的不斷加深，網絡空間安全的重要性日益突出。作為保障網絡空間安全的重要組成部分，入侵檢測技術處于不斷的發(fā)展與創(chuàng)新之中。該文對入侵檢測系統(tǒng)和相關技術的發(fā)展進行了綜述，對比分析了各種入侵檢測系統(tǒng)的特點，介紹了兩種經典的入侵檢測模型。在此基礎上，提出了一種混合型入侵檢測模型，并對入侵檢測技術與系統(tǒng)的發(fā)展進行了展望。

關鍵詞：網絡空間安全；入侵檢測；模型；分類；綜述

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）18-0029-02

1.概述

隨著“互聯(lián)網+”概念的提出，社會信息化程度逐步加深，越來越多的傳統(tǒng)行業(yè)開始與互聯(lián)網應用相結合，推出了許多更便捷、經濟、全面的優(yōu)質服務。同時，消費者的消費行為也發(fā)生著質的改變，由實體貨幣支付開始向虛擬貨幣、移動支付等電子貨幣支付的方向轉移。電子商務，電子銀行和電子支付的興起在提升消費者購物體驗的同時，其安全性也受到了嚴峻的挑戰(zhàn)和深度的關切。

近年來有關網絡空間安全的事件屢見不鮮。2013年的“棱鏡”事件開始讓眾多互聯(lián)網用戶感受到了來自網絡空間的安全威脅。自2007年起，美國國家安全局（National Security Agencv，NSA）和聯(lián)邦調查局（Federal Bureau 0fInvestigation，F(xiàn)BI）啟動了一項代號“棱鏡”（PRISM）的電子監(jiān)控項目，在長達6年的時間內，悄無聲息地對全球大量的企業(yè)、學校、政府等機構的網絡服務器進行人侵，包括可以直接進入美國互聯(lián)網中心服務器進行數(shù)據的竊取與收集，入侵其他國家的網絡服務器，甚至是終端設備，以進行情報的搜集。2014年1月，國內頂級域名服務器遭到入侵，服務出現(xiàn)異常，導致大面積的DNS解析故障。由此而引發(fā)的網頁無法打開或是瀏覽網頁異常卡頓現(xiàn)象持續(xù)了數(shù)小時，對廣大互聯(lián)網用戶造成了巨大的不便與損失。2014年3月，攜程公司被爆出存在安全支付日志漏洞事件。安全人員發(fā)現(xiàn)入侵者可以通過下載攜程公司的支付日志，從而獲取用戶的敏感信息，包括用戶姓名、銀行卡賬號等。2014年4月，Heartbleed漏洞被曝光。目前，大多數(shù)網銀，移動支付等在線支付活動都是采用SSL（Secure Sockets Layer安全套接層）技術進行加密，以保證數(shù)據安全。而這一技術則是依靠OpenSSL開發(fā)套件得以實現(xiàn)的。因此，OpenSSL上存在的Heartbleed漏洞能夠使得網絡人侵者竊取用戶內存中的敏感數(shù)據，包括用戶賬號、密碼等。

為了解決網絡入侵行為所導致的數(shù)據泄密、服務終止等問題，入侵檢測技術與配套系統(tǒng)開始應用在互聯(lián)網之中。隨著網絡攻防技術向復雜化、持續(xù)化、高威脅化等方向的轉變，人侵檢測技術也處于不斷的發(fā)展與創(chuàng)新之中。

2.起源及分類

1980年，Anderson等人首先提出了“計算機安全威脅監(jiān)控與監(jiān)視”的概念。作為“人侵檢測”概念的前身，Anderson將“安全威脅”定位為“未經授權的用戶蓄意地訪問、操縱信息，使得系統(tǒng)不可靠或不可用”；將用戶分為：合法用戶、假冒用戶和秘密用戶。在其提出的入侵檢測框架中，檢測對象包括：用戶、審計記錄、會話記錄、應用程序和文件。其目的是提升用戶計算機系統(tǒng)的安全審計與監(jiān)控能力。1985年，Denninff～等人提出了首個人侵檢測專家系統(tǒng)（Intrusion Detection Expert System，IDES）的模型和算法，采用基于樸素貝葉斯和決策樹的方法對主機上的日志文件和訪問信息進行審計和分析，發(fā)現(xiàn)其中的異常行，從而進行人侵者識別與防御。文獻提出的概念及其模型都是基于主機的入侵檢測系統(tǒng)，即人侵檢測系統(tǒng)部署在主機上，通常是針對系統(tǒng)的運行日志、文件系統(tǒng)和訪問者進行審計和監(jiān)控。隨著互聯(lián)網技術的發(fā)展，針對網絡流量分析的入侵檢測系統(tǒng)的研究開始受到關注。1990年，HeberleintSl首次提出了一個基于網絡的入侵檢測系統(tǒng)。基于網絡的入侵檢測系統(tǒng)可以利用硬件或軟件對網絡數(shù)據包進行采集、監(jiān)聽、分析和監(jiān)控，發(fā)現(xiàn)潛在入侵者。這類系統(tǒng)大多部署在服務器上或是與防火墻一起協(xié)同工作。在入侵檢測效果方面，基于主機和網絡的入侵檢測系統(tǒng)擁有各自的技術優(yōu)、缺點，如表1所示。

為了充分利用這上述兩種類型的入侵檢測系統(tǒng)的優(yōu)勢，分布式入侵檢測系統(tǒng)隨后也被許多研究者提出。采用分布式結構的人侵檢測系統(tǒng)可以同時收集來自本地主機和網絡中的日志記錄、訪問記錄等數(shù)據，并將這些數(shù)據進行統(tǒng)一的存儲、分析和處理。該結構具有平臺獨立性、可擴展性和靈活性等特點，對于被保護的系統(tǒng)能夠提供更全面的保護。因此，這種類型的人侵檢測系統(tǒng)得到了廣泛的應用。

3.入侵檢測模型

文獻提出了一個基于主機的通用型入侵檢測系統(tǒng)模型。該系統(tǒng)由用戶、資源、審計記錄、行為特征、異常記錄、行為規(guī)則這六部分組成。該模型的系統(tǒng)框架如圖1所示。文獻針對網絡流量分析提出了一個基于網絡的入侵檢測系統(tǒng)，彌補了基于主機的人侵檢測系統(tǒng)在分析網絡訪問者行為方面的不足。其模型架構如圖2所示。

為了充分發(fā)揮上述兩種入侵檢測系統(tǒng)的優(yōu)勢，本文提出了一種混合型入侵檢測系統(tǒng)模型。該模型能夠分別對主機和網絡中的數(shù)據進行分析，擴大了傳統(tǒng)人侵檢測系統(tǒng)的覆蓋范圍，提升了系統(tǒng)的可擴展性與部署的靈活性。該系統(tǒng)的模型架構如下圖3所示。

該系統(tǒng)模型由三部分組成，分別為網絡部分、本地目標主機部分和入侵檢測分析引擎部分。在網絡部分，通過傳感器采集網絡數(shù)據包，并將采集到的數(shù)據上傳到入侵檢測分析引擎部分。在本地目標主機部分，利用本地代理Agent作為采集數(shù)據的傳感器將本地主機的行為與系統(tǒng)數(shù)據上傳到人侵檢測分析引擎部分。在分析引擎模塊，將來自網絡和本地主機的數(shù)據統(tǒng)一格式化后存儲在審計記錄庫中，將這些數(shù)據特征化之后提取其中的行為模式存人到行為模式庫中，再從行為模式庫中提起這些行為向量與入侵模式庫中的入侵行為進行匹配；如果匹配結果為異常行為，則記錄該異常，并更新人侵模式庫；如果匹配結果為合法行為，則記錄該行為，更新行為模式庫。

4.今后方向與展望

綜合上述的分析，本文試對人侵檢測系統(tǒng)的發(fā)展方向進行如下展望：

1）在大數(shù)據時代背景下，入侵檢測技術與系統(tǒng)需要具備能夠實時采集、處理、分析和展示來自終端設備與網絡的海量、多種類型的異構數(shù)據。為了提升入侵檢測系統(tǒng)實時處理大數(shù)據的能力，基于云計算的分布式入侵檢測系統(tǒng)的研發(fā)顯得尤為必要。此外，為了直觀、高效的展示當前的安全態(tài)勢，數(shù)據可視化技術也應該被應用于人侵檢測系統(tǒng)中，進一步擴展安全情報的理解、交流與分享能力，及時地向大眾預警新型的安全威脅案例。

2）入侵檢測技術與系統(tǒng)的部署平臺還存在局限性。在移動互聯(lián)網時代，諸如智能手機、智能手表、平板電腦等智能移動終端得到了普及，尤其是電子商務的興起增加了大眾對于基于移動終端的入侵檢測與防御系統(tǒng)的迫切需求。但是，當前大多數(shù)的人侵檢測系統(tǒng)都是部署在PC機或是網絡服務器之上，而且其運行時需要占用大量的系統(tǒng)資源。如何能夠提高人侵檢測算法的效率，小型化入侵檢測系統(tǒng)，使之能夠適合部署于移動智能終端是今后入侵檢測技術和系統(tǒng)發(fā)展的方向之一。

3）隨著社交網絡的蓬勃發(fā)展，來自社交媒體的網絡入侵威脅正在加劇。由于這種入侵行為利用合法用戶的好友身份作為掩護，具有極強的隱蔽性與欺騙性，導致傳統(tǒng)的基于異常檢測與誤用檢測的入侵檢測算法與模型顯得無能為力。因此，設計并實現(xiàn)適用于社交網絡的人侵檢測技術與系統(tǒng)也是未來的發(fā)展方向之一。

5.結束語

入侵檢測技術作為互聯(lián)網時代維護網絡空間安全的一種重要工具與方法，是防范敏感數(shù)據泄露、拒止惡意人侵與攻擊行為、保障企業(yè)、學校、政府和個人信息安全的有效手段。隨著網絡空間安全的重要性與嚴峻陛的日益突出，越來越多的人開始意識到了安全、可信的網絡環(huán)境的必要性。各大安全公司正在不斷推出新一代的入侵檢測設備，其功能越來越強大，檢測和防御的范圍逐漸擴展，協(xié)作性也日益增強。作為一個具有實用價值的研究領域，入侵檢測技術及其系統(tǒng)具有重要的研究意義和廣闊的應用前景。