入侵检测技术探析

(1.河南省驻马店市委党校；2.驻马店市网通公司，河南 驻马店 463000) 
摘 要： 文章回顾了入侵检测技术的历史进程，重点探讨了入侵检测技术的工作原理、分类方法及其 标准化工作，并展望了入侵检测技术未来的发展动向。
关键词：网络安全；入侵检测技术；CIDF
中图分类号：TP393.08  文献标识码：A  文章编号： 1007—6921(2008)21—0040—03 

随着Internet迅猛发展，计算机网络已经成为国家重要的经济基础和命脉。然而，计算机网 络的共享性、开放性在为社会带来便利与高效的同时，也带来了各种各样的问题，其中安全 问题尤为突出。

传统的网络安全防御策略是防火墙、数据加密、身份认证以及访问控制、操作系统加固等静 态安全防御策略。然而随着入侵技术的不断发展、攻击手段日趋复杂化和多样化，这些被动 的、静态的安全防御体系已经无法满足当前安全状况的需要。由于入侵检测技术所需要分析 的数据源仅是记录系统活动轨迹的审计数据，其几乎适用于所有的计算机系统，很好地弥补 了传统保护机制的不足，从而成为目前动态安全工具的主要研究方向。
1 入侵检测技术历史进程

1980年4月，James P.Anderson为美国空军做了一份题为《Computer Security Threat Moni toring and Surveillance》的技术报告，第一次详细阐述了入侵检测的概念，被公认为是 入侵检测的开山之作。
1987年Denning在IEEE上发表了题为《An Intrusion-detection Model》的学术报告，再次 引起了人们对入侵检测的强烈关注。在这篇文献中，提出了一个重要的入侵检测系统的抽象 模型，首次将入侵检测的概念作为一种全新的、与传统加密认证和访问控制完全不同的计算 机系统安全防御措施而提出，被认为是对入侵检测研究具有推动性的工作。

由于Internet的发展及通信和计算机带宽的增加，人们对网络安全的关注也显著地增加。在 美国空军、国家安全局和能源部的资助下，由美国空军密码支持中心、Lawrence Livermor 国家实验室、加州大学Davis分校和Haystack实验室共同参与研究，将基于主机的入侵检测 系统同基于网络的入侵检测系统集成到一块，采用分层结构，形成了

分布式的入侵检测系统，大大增强了对入侵攻击检测的能力。
从20世纪90年代到现在，入侵检测技术的研究呈现出百家争鸣的繁荣局面，并在智能化和分 布式两个方面取得了巨大的进步。数据挖掘、人工免疫、信息检索、容错技术、代理技术也 渗透或融合到了入侵检测系统中，从而将入侵检测技术的发展推向了一个新的高度。
2 入侵检测系统工作原理

入侵是指试图破坏资源的完整性、机密性及可用性的活动集合。入侵检测，顾名思义，是对 入侵行为的发觉，它对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或 者攻击结果，以保证系统资源的机密性、完整性和可用性。进行入侵检测的软件与硬件的组 合便是入侵检测系统(Intrusion Detection System，IDS)。入侵检测系统作为网络安全防 护体系的重要组成部分，提供了对内部攻击、外部攻击和误操作的实时保护，在计算机系统 受到危害之前拦截和响应入侵。

一般的，入侵检测系统由数据提取、数据分析和结果处理三个功能模块组成，图1给出了一 个通用的入侵检测系统结构。


其中：①数据提取模块的作用在于为系统提供数据。数据的来源可以是主机上的日志信息、变动 信息，也可以是网络上的数据信息，甚至是流量变化等。数据提取模块在获得数据之后，需 要对数据进行简单的处理，如简单的过滤、数据格式的标准化等，然后将经过处理的数据提 交给数据分析模块。②数据分析模块的作用在于对数据进行分析，发现攻击并根据分析的结果产生事件，传递 给结果处理模块。数据分析的方式多种多样，可以简单到对某种行为的计数（如一定时间内 某个特定用户登录失败的次数，或者某种特定类型报文的出现次数），也可以是一个复杂的专家系统。该模块是整个入侵检测系统的核心。③结果处理模块的作用在于入侵检测系统发现入侵后根据预定的策略及时地做出响应，包 括切断网络连接、记录事件和报警等。响应一般分为主动响应和被动响应两种类型。主动响 应由用户驱动或系统本身自动执行，可对入侵者采取行动，如断开连接、修正系统环境或收 集有用信息；被动响应则包括告警、设置SNMP（简单网络管理协议）陷阱等。

因此，入侵检测作为一种积极主动的安全防护技术，具有以下几个基本功能：

从系统的不同环节收集信息；分析该信息，试图寻找入侵活动的特征；对检测到的行为做出 响应；纪录并报告检测过程结果。
3 入侵检测技术分类

根据着眼点的不同，对入侵检测技术的分类方法很多，下面分别讨论依据不同的标准对入侵 检测技术进行的分类。
3.1 根据数据来源分类

按照原始数据的来源，可以将入侵检测技术分为基于主机的入侵检测、基于网络的入侵检测 和混合型的入侵检测。
3.1.1 基于主机的入侵检测

基于主机的入侵检测通常采用系统日志、应用程序日志等审计数据作为检测的数据源，从所 在的主机收集这些信息进行分析来发现入侵活动。这种检测方法要求系统根据配置信息设定 需要审计的事件，这些事件一旦发生，系统就将具体参数记录在日志文件中。检测系统则根 据一定的算法对日志文件中的审计数据进行分析，最后得出结果报告。能否及时采集到审计 数据是这种系统的关键。

这种方法的优点是可以提供更好的应用层安全，在网络传输被加密的情况下仍能工作。但也 存在一些重大缺陷，如对整个网络的拓扑结构认识有限、过度依赖主机与入侵分析员的通信 等。
3.1.2 基于网络的入侵检测

基于网络的入侵检测数据来源于网络上传输的数据包，保护的目标是网络的运行，它能够检 测该网段上发生的网络入侵。通常基于网络的入侵检测系统通过将网卡设置为混杂模式来监 视并分析网络上传输的所有数据包，判断是否有入侵行为。一旦检测到了攻击行为，入侵检 测系统的报警部件就会发出通知并对攻击采取相应的防御手段，包括通知管理员、中断连接 或为法庭分析和证据收集而做会话记录。

与基于主机的入侵检测相比，基于网络的入侵检测没有依赖于受监控主机的完整性和可用性 的缺点，因此它的监控更为安全也不易中断。然而，由于设计上的因素，其也存在一些固有 的缺点。比如，当网络流量随时间以指数规律增长时，基于网络的入侵检测系统为保证效率 就必须能够抓取所有这些流量并及时地进行分析；同时其对于加密数据无法进行判断。
3.1.3 混合型的入侵检测

混合型的入侵检测既是基于主机的又是基于网络的，因此混合型入侵检测系统一般是分布式 的。目前许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测技 术，因为这两种技术在很大程度上是互补的。
3.2 根据检测方法分类

根据检测方法的不同，可以将入侵检测技术分为误用检测模型和异常检测模型。概括起来说 ，两者的区别在于前者是为入侵行为建立能够代表入侵特征的规则或模式，而后者则是将目 标的正常和合法活动构造成相应的行为模型。
3.2.1 误用检测模型

误用检测模型又叫基于知识的检测模型，或基于特征的检测模型，是对已知的入侵方法或利 用已知的系统漏洞进行入侵活动的检测模型。这种方法假定所有的入侵行为都能够表达为一 种模式或具备一定的特征，利用这种模式来建立入侵行为特征库，通过特征匹配的方法来发 现入侵行为。目前，比较有代表性的误用检测技术主要有专家系统、状态转移分析和模式匹 配等，其中在商用系统中较多被应用的是模式匹配技术。
基于误用的入侵检测具有检测准确度高、虚警率低、方便管理员做出响应等优点，但同时也 存在着漏报率高、系统依赖性强、移植性不好等缺点。
3.2.2 异常检测模型

异常检测模型又叫基于行为的检测模型。是通过建立目标系统及用户的正常行为模型，监测 系统和用户的活动是否偏离该正常行为模型，从而做出决策判断。这种方法是假定所有的入 侵活动是异常于正常主体行为的，如果能检测到所有的异常活动，就能检测出所有的入侵活 动。其中，行为模型的对象可以是用户、主机或其他一些能够反映系统变化并且需要被监测 的目标，而对象正常和合法行为的确定以及将其描述成行为模型则是这类技术的核心所在。 目前，比较有代表性的异常检测技术主要有统计分析、神经网络和数据挖掘等，其中最为典 型的是统计分析方法。

基于异常的入侵检测具有通用性强、漏警率低、操作方便等优点，但同时也存在着误检率高 、阈值难以确定等缺点。
3.3 根据分布方式分类

按照系统各个模块运行的分布方式不同，入侵检测技术可以分为集中式入侵检测和分布式入 侵检测。
3.3.1 集中式入侵检测

这种结构的入侵检测技术可能有分布于不同主机上的多个审计程序，但只有一个中央入侵检 测服务器，审计程序将当地收集到的数据发送给中央服务器进行分析处理。显然，这种结构 的入侵检测系统在可伸缩性、鲁棒性和可配置性方面存在致命的缺陷，同时也存在单点失效 、数据传输负荷过大等问题。
3.3.2 分布式入侵检测

分布式入侵检测系统的各个模块分布在网络中不同的计算机、设备上，各个模块协同工作。 一般来说，分布性主要体现在数据源上，并且数据源可以是异构的；同时对数据的处理组件 也应是分布式的。

现有的分布式入侵检测系统的处理思想是分布采集数据与集中处理，能够克服上述集中式的 缺点，但是同时也带来了其他问题，比如组件间的通信负载过重，检测信息的协同处理要求 高、入侵的全局信息提取困难等。
4 入侵检测技术标准化

入侵检测也正在经历一个逐步地技术标准确立的过程。在多种入侵检测系统标准化体系中， CIDF（Common Intrusion Detection Framework）逐渐成为了主流。CIDF阐述了一个入侵检 测系统的通用模型，将一个入侵检测系统分为以下组件：①事件产生器（Event generators）；②事件分析器（Event analyzers）；③响应单元（Response units）；④事件数据库（Event databases）。

所有四个组件所交换数据的形式都是通用入侵检测对象Gidos（Generalized intrusion det ection objects），并使用CISL（Common Intrusion Specification Language）来表示。C IDF架构如图2所示。

CIDF将入侵检测系统需要分析的数据统称为事件(Event)，它可以是基于网络入侵检测系统 中的网络数据包，也可以是基于主机入侵检测系统从系统日志等其他途径得到的信息。同时 ，它也对各部件之间的信息传递格式、通信方法和API进行了标准化。

事件产生器从整个计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器分析 得到的数据，并产生分析结果；响应单元则是对分析结果做出反应的功能单元，它可以作出 切断连接、改变文件属性等强烈反应，甚至可以发动对攻击者的反击，也可以只是简单地报 警。事件数据库是存放各种中间和最终数据的地方的统称，可以是复杂的数据库，也可以是 简单的文本文件。

在现有的入侵检测系统中，经常用数据采集部分、分析部分和响应部分来分别代替事件产生 器、事件分析器和响应单元这些术语，且常用日志来简单地指代事件数据库。
当前CIDF包含以下四个主要方面的内容：

Architecture：提出IDS的通用体系结构，用以说明IDS各组件间通信的环境。

Communication：说明IDS各种不同组件间如何通过网络进行通信。主要描述各组件间如何 安全地建立连接以及安全地通信，包括组件间的鉴别和认证。

Language：IDS各组件间通过CISL来进行入侵和警告等信息内容的通信。为了符合CIDF标 准，一个IDS必须完全符合CISL的表示规范。

API：允许IDS各组件重用，在CISL的表示说明中隐含API。

CIDF标准还没有正式确立，也没有一个入侵检测商业产品完全使用该标准，但因为各种入侵 检测系统各自为政，系统之间的互操作性很差，各厂商都在按照CIDF进行信息交换的标准化 工作。
5 结语

随着入侵方式和规模的不断变化，入侵检测技术也要适应网络技术发展的需要。总的来看， 入侵检测技术未来的发展方向主要集中在以下几个方面：
5.1 大规模分布式的入侵检测系统以及异构系统之间的协作和数据共享

网络交换技术的 发展以及通过加密信道的数据通信使通过共享网段侦听的网络数据采集方法难以应付自如， 巨大的通信量对数据分析也提出了新的要求，基于分布式的多层次入侵检测系统可以很好地 解决这个问题。因此，融合了分布式技术和网络技术的分布式网络入侵检测将成为未来研究 的热点。
5.2 面向应用层的入侵检测技术的研究

由于应用程序解释各种不同类型的数据（如加密 过的数据），它们的语义只有在应用层才能理解，若想能够分析并理解这些数据，入侵检测 技术必须面向应用层。可以预见，面向应用层的入侵检测将成为新一代入侵检测技术的特色 。
5.3 多种检测技术的综合应用也成为未来入侵检测的发展方向

由于各种检测技术都有着 各自的优越性和先天的缺陷，如果能把两种或更多的检测技术融合，取长补短，就能从根本 上改变入侵检测技术当前遭遇的各种难题，极大地提高入侵检测效率。

随着互联网的飞速发展，网络安全问题将会变得更加复杂，网络安全技术也随之快速发展， 入侵检测技术的发展与成熟，将会使网络安全问题得到进一步的改善。
［参考文献］
［1］ Dorothy E.Denning,D.L.Edwards,R.Jagannathan,etc.“A Prototype IDES:A  Real-Time Intrusion.
［2］ 王胜和．基于数据挖掘的入侵检测系统设计［J］．计算机工程与设计，2004 ，2(2).
［3］ 周建国，曹庆国，赵庆军．计算机网络入侵检侧系统的研究［J］．计算机工 程，2003．29(2).
［4］ 薛静峰，宁宇鹏，阎慧.入侵检测技术［M］．北京：机械工业出版社，2004.
［5］ 唐正军．入侵检测技术导论［M］．北京：机械工业出版社，2004.
［6］ 尹淑欣．分布式入侵检测系统的设计与实现［D］［硕士学位论文］．大庆： 大庆石油学院，2005.