摘 要：本文主要介紹了基于系統(tǒng)行為的入侵檢測(cè)系統(tǒng)，首先對(duì)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)進(jìn)行了簡(jiǎn)要介紹及優(yōu)缺點(diǎn)分析，然后對(duì)系統(tǒng)行為進(jìn)行了剖析，其中重點(diǎn)對(duì)靜態(tài)行為分析技術(shù)和動(dòng)態(tài)行為分析技術(shù)的原理，研究現(xiàn)狀，應(yīng)用成效等進(jìn)行了闡明和對(duì)比，最后總結(jié)了HIDS的目前研究進(jìn)展和未來(lái)要關(guān)注的問(wèn)題。

關(guān)鍵詞：網(wǎng)絡(luò)安全 入侵檢測(cè) 靜態(tài)行為分析 動(dòng)態(tài)行為分析

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2018）06-000-01

引言

目前網(wǎng)絡(luò)環(huán)境日趨復(fù)雜和多變，來(lái)自網(wǎng)絡(luò)的攻擊會(huì)對(duì)個(gè)人及社會(huì)造成極大的破環(huán)型，傳統(tǒng)的單一防火墻和殺毒軟件已無(wú)法防范復(fù)雜多變的攻擊，網(wǎng)絡(luò)安全已成為遏制網(wǎng)絡(luò)健康發(fā)展的重要因素，入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全的一項(xiàng)重要組成部分，可以對(duì)來(lái)自系統(tǒng)外部與內(nèi)部的行為進(jìn)行監(jiān)控與報(bào)警，當(dāng)發(fā)現(xiàn)不良行為時(shí)可以馬上響應(yīng)及報(bào)警攔截。在眾多的入侵檢測(cè)技術(shù)中，基于系統(tǒng)行為的入侵檢測(cè)系統(tǒng)是應(yīng)用較普遍，檢測(cè)性能較好，費(fèi)用較低，性價(jià)比較高的一種。

一、NIDS與HIDS的優(yōu)劣分析

入侵檢測(cè)作為網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵、核心技術(shù)之一，自從20世紀(jì)80年代Anderson的報(bào)告開(kāi)始，一直是該領(lǐng)域的研究熱點(diǎn)。近些年國(guó)內(nèi)和國(guó)外關(guān)于這方面的研究不斷開(kāi)展，嘗試采用各種有效方法解決入侵檢測(cè)中的問(wèn)題，取得了一定的功效。

入侵檢測(cè)（Intrusion Detection ）就是對(duì)系統(tǒng)外部與內(nèi)部的非法入侵行為的檢測(cè)。它通過(guò)搜集和剖析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中許多關(guān)鍵點(diǎn)的文件和程序等信息，檢查網(wǎng)絡(luò)或系統(tǒng)中有無(wú)存在非法的入侵行為和被襲擊的蹤跡。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，對(duì)系統(tǒng)的內(nèi)部和外部提供了實(shí)時(shí)的保護(hù)，在被保護(hù)的對(duì)象受到侵害之前對(duì)入侵行為進(jìn)行報(bào)警和攔截，入侵檢測(cè)技術(shù)雖然也能夠?qū)W(wǎng)絡(luò)攻擊進(jìn)行識(shí)別并作出反應(yīng)，但其側(cè)重點(diǎn)還是在于發(fā)現(xiàn)，而不能代替防火墻系統(tǒng)執(zhí)行整個(gè)網(wǎng)絡(luò)的訪問(wèn)控制策略。

根據(jù)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理來(lái)分類的話可以分為兩類：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）和基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）。

NIDS是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，由分布在網(wǎng)絡(luò)中的眾多的傳感器（Sensor）組成，傳感器通常是獨(dú)立的檢測(cè)引擎，能獲得網(wǎng)絡(luò)分組、對(duì)整個(gè)網(wǎng)段中的網(wǎng)絡(luò)流量進(jìn)行監(jiān)聽(tīng)，對(duì)數(shù)據(jù)包中的內(nèi)容進(jìn)行檢查，并對(duì)系統(tǒng)中的文件和記錄進(jìn)行統(tǒng)計(jì)和追蹤，找尋誤用模式，然后監(jiān)測(cè)到異常報(bào)告后向中央控制臺(tái)告警。目前，很多比較新的技術(shù)已經(jīng)開(kāi)始在NIDS中應(yīng)用，像是數(shù)據(jù)挖掘技術(shù)和深度學(xué)習(xí)，通過(guò)這些新興技術(shù)的加持，在對(duì)搜集的信息和數(shù)據(jù)進(jìn)行相關(guān)處理時(shí)，可以大大提高檢測(cè)效果，降低誤報(bào)率。

HIDS是基于主機(jī)的入侵檢測(cè)系統(tǒng)，他主要擔(dān)任保護(hù)網(wǎng)絡(luò)中某臺(tái)特定的主機(jī)，并在這臺(tái)主機(jī)上進(jìn)行運(yùn)行，基于主機(jī)的入侵檢測(cè)是入侵檢測(cè)的最初期形式，這種入侵檢測(cè)系統(tǒng)通常運(yùn)行在被檢測(cè)的主機(jī)或者服務(wù)器上，實(shí)時(shí)檢測(cè)檢測(cè)系統(tǒng)的運(yùn)行，通常從主機(jī)的審計(jì)記錄和日志文件中獲得所需的主要數(shù)據(jù)源，并輔之以主機(jī)上的其他信息，在此基礎(chǔ)上完成檢測(cè)攻擊行為的任務(wù)。特別的，從主機(jī)入侵檢測(cè)技術(shù)中還可以單獨(dú)分離出基于應(yīng)用的入侵檢測(cè)模型，這是特別針對(duì)于某個(gè)特定任務(wù)的應(yīng)用程序而設(shè)計(jì)的入侵檢測(cè)技術(shù)，采用的輸入數(shù)據(jù)源是應(yīng)用程序的日志信息。

在實(shí)際的應(yīng)用中，NIDS雖然可以在多種設(shè)備上移植，也很容易配置和實(shí)現(xiàn)但在實(shí)際檢測(cè)時(shí)，NIDS在處理加密的數(shù)據(jù)時(shí)，像是對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單替換還有采用SSH、HTTPS、和帶密碼的壓縮文件這種技術(shù)手段，NIDS就比較難對(duì)其進(jìn)行識(shí)別，在重放攻擊，中間人攻擊，網(wǎng)絡(luò)監(jiān)聽(tīng)， DDos以及異常檢測(cè)方面，NIDS也有較大的局限性。而HIDS雖然依賴主機(jī)，較難跨平臺(tái)，但其成本低，檢測(cè)襲擊種類多，在應(yīng)用范圍上要比NIDS廣泛得多。

二、系統(tǒng)行為分析

在分析系統(tǒng)行為時(shí)，我們主要是對(duì)（1）系統(tǒng)信息，幾乎所有的操作系統(tǒng)都提供一組命令，獲得本機(jī)當(dāng)前激活的進(jìn)程的狀態(tài)信息，他們直接檢查內(nèi)核程序的內(nèi)存信息。（2）計(jì)算機(jī)資源的使用情況的記賬，例如CPU占用時(shí)間，內(nèi)存，硬盤(pán)，網(wǎng)絡(luò)使用情況。（3）系統(tǒng)日志，可分為操作系統(tǒng)日志和應(yīng)用程序日志兩部分。操作系統(tǒng)日志從不同方面記錄了系統(tǒng)中發(fā)生的事情，對(duì)于入侵檢測(cè)而言，具備重要的價(jià)值，當(dāng)一個(gè)進(jìn)程終止時(shí)，系統(tǒng)內(nèi)核為每個(gè)進(jìn)程在進(jìn)程日志文件中寫(xiě)入一條記錄。（4）C2安全審計(jì)，記錄所有可能與安全性有關(guān)的發(fā)生在系統(tǒng)上的事情。由此，我們一般將系統(tǒng)行為分為，靜態(tài)系統(tǒng)行為和動(dòng)態(tài)系統(tǒng)行為。

兩種行為分析方法都是通過(guò)對(duì)正常的系統(tǒng)行為進(jìn)行的闡明和搜集，總結(jié)出正常行為普遍模式，對(duì)正常行為進(jìn)行模型建立，當(dāng)出現(xiàn)與系統(tǒng)中不匹配的行為時(shí)，系統(tǒng)會(huì)認(rèn)為這是異常行為，就會(huì)對(duì)此行為進(jìn)行報(bào)警和攔截。但兩種行為分析方法也有不同點(diǎn)，靜態(tài)行為分析方法是在系統(tǒng)不運(yùn)行的情況下對(duì)系統(tǒng)行為進(jìn)行搜集分析和建模，而動(dòng)態(tài)行為分析方法是在系統(tǒng)運(yùn)行的情況下對(duì)系統(tǒng)行為進(jìn)行搜集分析和建模。但這兩種檢測(cè)系統(tǒng)都會(huì)有如下缺陷：一是如果是正常行為，但在行為庫(kù)中并未收集，這時(shí)系統(tǒng)在檢測(cè)這種行為時(shí)會(huì)誤認(rèn)為是異常行為而進(jìn)行攔截，二是對(duì)正常行為的記錄及建模是需要大量時(shí)間來(lái)訓(xùn)練的，而且在監(jiān)聽(tīng)時(shí)需要與行為庫(kù)中的正常行為進(jìn)行比對(duì)，這些都會(huì)對(duì)主機(jī)的性能造成影響。由此我們可以看出，在系統(tǒng)異常行為檢測(cè)技術(shù)中其核心其實(shí)就是是對(duì)系統(tǒng)非法行為的識(shí)別。在未來(lái)的發(fā)展中，系統(tǒng)異常行為檢測(cè)技術(shù)不僅要提高甄別能力并且要盡量避免上文所述的缺陷。

三、系統(tǒng)行為分析技術(shù)的分析

系統(tǒng)行為分析技術(shù)主要就是靜態(tài)系統(tǒng)行為分析方法和動(dòng)態(tài)系統(tǒng)行為分析方法。

對(duì)于靜態(tài)系統(tǒng)行為分析方法，主要是對(duì)是程序源代碼和二進(jìn)制文件進(jìn)行分析，在系統(tǒng)靜止的情況下對(duì)系統(tǒng)中需要保護(hù)的程序文件用數(shù)據(jù)流、約束條件、基于抽象解釋、基于類型和結(jié)果、符號(hào)執(zhí)行建模等技術(shù)手段來(lái)進(jìn)行分析和處理等，對(duì)系統(tǒng)中需要保護(hù)的系統(tǒng)文件用注注冊(cè)表、關(guān)鍵系統(tǒng)文件、系統(tǒng)設(shè)置等系統(tǒng)屬性來(lái)進(jìn)行分析和處理，通過(guò)上述技術(shù)手段對(duì)系統(tǒng)中需要保護(hù)的程序文件以及系統(tǒng)文件進(jìn)行分析處理后，進(jìn)行模型建立，當(dāng)系統(tǒng)開(kāi)始運(yùn)行時(shí)，當(dāng)監(jiān)測(cè)到模型庫(kù)中沒(méi)有的行為時(shí)，就會(huì)將這種行為標(biāo)記為異常行為，系統(tǒng)就會(huì)對(duì)此行為進(jìn)行攔截。

像現(xiàn)在比較主流的靜態(tài)分析方法主要有（1）基于數(shù)據(jù)流的分析（2）基于約束條件的分析（3）基于抽象解釋的分析，以及（4）符號(hào)執(zhí)行分析。

這些靜態(tài)分析方法既可以分析系統(tǒng)中的程序文件.也可對(duì)系統(tǒng)設(shè)置進(jìn)行，將正常系統(tǒng)建模，監(jiān)聽(tīng)系統(tǒng)中的關(guān)鍵行為，當(dāng)發(fā)現(xiàn)一些關(guān)鍵點(diǎn)的狀態(tài)改變或是一些設(shè)置被更改，這表示有有異常行為破環(huán)系統(tǒng)。

靜態(tài)行為分析方法態(tài)在技術(shù)上已經(jīng)比較成熟了，其優(yōu)點(diǎn)與缺點(diǎn)都是比較突出的，雖然靜態(tài)行為分析方法在訓(xùn)練數(shù)據(jù)庫(kù)方面的成本比較低，分析方法和分析層次也比較多樣；也不需進(jìn)行后期學(xué)習(xí)練習(xí)；誤報(bào)率還比較低。但是.靜態(tài)行為分析方法的缺點(diǎn)也是非常顯著的，比如：分析對(duì)象不易獲得；編譯時(shí)和鏈接時(shí)的數(shù)據(jù)分析容易受到較多約束等等。

而動(dòng)態(tài)行為分析則可以很好地彌補(bǔ)靜態(tài)行為分析方法的缺點(diǎn)，動(dòng)態(tài)行為分析是在系統(tǒng)運(yùn)行的情況下對(duì)系統(tǒng)的行為進(jìn)行記錄，將系統(tǒng)中出現(xiàn)的實(shí)際情況進(jìn)行收集和記錄，不需要得倒程序的源代碼或二進(jìn)制文件就可以獲得很多靜態(tài)行為分析時(shí)較難得倒的信息（比如頻率、堆棧信息等）。由此可得出在異常入侵檢測(cè)方法中，動(dòng)態(tài)行為分析方法較之于靜態(tài)行為分析方法會(huì)有更大的優(yōu)勢(shì)。不過(guò)動(dòng)態(tài)行為分析方法也存在缺陷：一是在總結(jié)和記錄系統(tǒng)的正常行為時(shí)可能會(huì)不夠全面，而導(dǎo)致將一些系統(tǒng)的正常行為標(biāo)記為異常行為，而產(chǎn)生誤報(bào)，二是動(dòng)態(tài)行為分析方法是在系統(tǒng)運(yùn)行時(shí)來(lái)對(duì)系統(tǒng)行為進(jìn)行記錄和建模，這就會(huì)導(dǎo)致訓(xùn)練數(shù)據(jù)庫(kù)所需的成本較高。

四、結(jié)語(yǔ)

在目前復(fù)雜的網(wǎng)絡(luò)環(huán)境下，入侵檢測(cè)已是計(jì)算機(jī)安全領(lǐng)域必不可少的一項(xiàng)關(guān)鍵部分，在眾多的入侵檢測(cè)技術(shù)中，基于系統(tǒng)行為的入侵檢測(cè)技術(shù)已是非常成熟，應(yīng)用也是非常廣泛。不過(guò)，綜合分析，不管是靜態(tài)行為分析方法還是動(dòng)態(tài)行為分析方法，都有各自的專長(zhǎng)和缺陷，如果單一使用，總是不能對(duì)系統(tǒng)進(jìn)行全方面的監(jiān)聽(tīng)，最好的就是可以將二者結(jié)合來(lái)使用，揚(yáng)長(zhǎng)避短，利用動(dòng)態(tài)分析技術(shù)模擬靜態(tài)分析的效果，將二者各自優(yōu)點(diǎn)發(fā)揮最大，以求達(dá)到最佳監(jiān)測(cè)效果，才是未來(lái)基于系統(tǒng)行為入侵檢測(cè)研究的方向。

參考文獻(xiàn)

[1]周彬彬.于程序行為靜態(tài)分析的入侵檢測(cè)系統(tǒng)研究與設(shè)計(jì)[D].北京郵電大學(xué)，2010.

[2]葛賢銀，韋素媛，楊百龍，蒲玄及.于行為分析技術(shù)的混合入侵檢測(cè)系統(tǒng)的研究[A].國(guó)電子學(xué)會(huì)信息論分會(huì).中國(guó)電子學(xué)會(huì)第十六屆信息論學(xué)術(shù)年會(huì)論文集[C].中國(guó)電子學(xué)會(huì)信息論分會(huì)：中國(guó)電子學(xué)會(huì)信息論分會(huì)，2009：4.

[3]余曉永.于網(wǎng)絡(luò)行為分析的入侵檢測(cè)系統(tǒng)研究[D].合肥工業(yè)大學(xué)，2009.

[4]黃盧記.于網(wǎng)絡(luò)行為分析的入侵檢測(cè)系統(tǒng)研究[D].鄭州大學(xué)，2007.

作者簡(jiǎn)介：段悅，（1986-），女，初級(jí)/計(jì)算機(jī)，研究方向：網(wǎng)絡(luò)安全。