网络入侵检测技术综述

1 入侵检测的概念、 原理和模型
“入侵”是个广义的概念，不仅包括发起攻击的人取得超出 合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务 访问（DoS）等对计算机造成危害的行为 。 早在上世纪 80 年代 初期，Anderson 将入侵定义为：未经授权蓄意尝试访问信息、篡 改信息、使系统不可靠或不能使用。 美国国际计算机安全协会 对入侵检测的定义是：入侵检测是通过从计算机网络或计算机
作 者 简 介 ：姚 丽 娟 （1983－），女 ，湖 北 武 汉 人 ，长 江 水 利 委 员 会 网 络 与 信 息 中 心 助 理 工 程 师 ，研 究 方 向 为 网 络 通 讯 。
第6期
主机系统审计记录数据，生成有关系统的若干轮廓，并监测 轮廓的变化差异发现系统的入侵行为，如图 1 所示。
侵 检 测 技 术的 发 展 历 史 及 其 通 用 模型 ，对 入 侵 检 测 系 统 的 分 类 和 入 侵 检 测 的 方 法 进 行 了 分 析 ，讨 论 了 该 领 域 尚 存 在
的问题。
关键词：网络攻击；入侵检测；网络安全
中 图 分 类 号 ：TP393.08
文 献 标 识 码 ：A
文 章 编 号 ：1672-7800 （2010 ）06－0160－03
第9卷%第6期 2010年 6 月
软件导刊 Software Guide
Vol.9 No.6 Jun. 2010
网络入侵检测技术综述
姚丽娟
（长江水利委员会 网络与信息中心，湖北 武汉 430010）
摘 要：随着网络技术飞速发展和网络规模的不断扩大，网络安全已经成为全球性的重要问题之一。 概述了网络入
图 1 通用入侵检测模型
为了解决 IDS 内部、IDS 之间以及与其它安全系统间的互 操作性，UC Davis 制定的 CIDF （common intrusiondetection fra－ mework）模型将 IDS 分为 4 个组 件 ：事 件 产生 器 、事 件 分 析 器 、 响应单元和事件数据库，如图 2 所示。 CIDF 模型具有很强的扩 展性，目前已经得到广泛认同。
在政务网的基础上建立 VPN，第二种方案比较合适 ，即政 府部门自身建设，对 ISP 透明。 因为政务网是地理范围在政务 网内的计算机网络 ，它 有 运 行 于 Internet 的 公网 IP 地 址 ，有 自 己的路由设备，有自己的网络管理和维护机构，对政务网络有 很强的自主管理权和技术支持。 所以， 在政务网基础上建立 VPN，完全可以不依赖于 ISP，政府部门自身进行建设。 这样可 以有更大的自主性，也可以节省经费。
根据使用者的行为或资源使用状况的正常程度来判断是 否入侵，而不依赖于具体行为是否出现来检测。 异常检测的优 点在于通用性较强，但由于不可能对整个系统内的所有用户行 为进行全面的描述，而且每个用户的行为是经常改变的，所以 它的缺陷是误报率高。 3.2.2 误用检测
根据已定义好的入侵模式，通过判断在实际的安全审计数 据中是否出现这些入侵模式来完成检测功能，这种方法由于基 于特征库的判断所以检测准确度很高，缺点在于检测范围受已 有知识的局限，无法检测未知的入侵行为，此外对系统依赖性 大，通用性不强。
4.4 其它新技术 这几年随着网络及其安全技术的飞速发展，一些新的入侵
检测技术相继出现，主要包括：软计算方法、移动代理、计算机 免疫学、数据挖掘、协议分析加命令解析技术等。
上述攻击检测方法和技术单独使用并不能保证准确地检 测出变化无穷的入侵行为。 在网络安全防护中应该充分权衡各 种方法的利弊，综合运用这些方法，才能更为有效地检测出入 侵者的非法行为。
图 2 CIDF 模型
2 入侵检测的重要性
面对日益加剧的网络安全威胁，传统的静态安全技术如认 证机制、加密和防火墙等已经难以胜任。 入侵检测作为一种重 要的动态安全技术， 能够提供对计算机系统和网络的外部攻 击、内部攻击及误操作的全面检测，其主要功能是监视并分析 用户和系统的行为、审计系统构造和弱点、评估重要系统和数 据文件的完整性、识别已知攻击的行为模式、异常行为模式的 统计分析、操作系统的审计跟踪管理和识别用户违反安全策略 的行为。 作为防火墙之后的第 2 道安全防线，入侵检测已成为 网络安全领域重要而迫切的课题。
4 入侵检测方法和技术
目前，在入侵检测系统中有多种检测入侵的方法，常见的 主要有以下几种： 4.1 统计方法
统计方法是产品化的入侵检测系统中常用的方法，它通常 用于异常检测。 基于特征选择的异常检测方法，系指从一组度 量中选择能够检测出入侵的度量、构成子集，从而预测或分类 入侵行为。 统计方法是一种较成熟的入侵检测方法，它使得入 侵检测系统能够学习主体的日常行为，将那些与正常活动之间 存在较大统计偏差的活动标识为异常活动。 4.2 专家系统
最早的入侵检测模型是由 Denning 给出的，该模型主要根
止管理主机被攻击者攻破后用来作为发起攻击的“跳板”；对所 有出入系统的连接进行日志记录。 3.3 系统 VPN 的合理设计
使用 VPN， 可以在电子政务系统所连接不同的政府部 门 之间建虚拟隧道，使得两个政务网之间的相互访问就像在一个 专用网络中一样。 使用 VPN，可以使政务网用户在外网就象在 内网一样地访问政务专用网的资源。 使用 VPN，也可以实现政 务 网 内 特 殊 管 理 的 需 要 。 VPN 的 建 立 有 3 种 方 式 ： 一 种 是 Internet 服 务 商 （ISP）建 设 ，对 企 业 透 明 ；第 二 种 是 政 府 部 门 自 身建设，对 ISP 透明；第三种是 ISP 和政府部门共同建设。
计算机联网导致大量审计记录，而且审计记录大多数以文 件形式存放（如 UNIX 系统中的 Sulog）。 因此，单纯依靠人工方 法发现记录中的异常现象是困难的，难以发现审计记录之间的 相互关系。 Lee 和 Stolfo 将数据挖掘技术引入入侵检测领域，从 审计数据或数据流中提取感兴趣的知识。 这些知识是隐含的、 事先未知的潜在有用信息。 提取的知识表示为概念、 规则、规 律、模式等形式，并用这些知识检测异常入侵和已知的入侵。基 于内核的检测方法，目前已有 KDD 算法可以应用。 这种方法的 优点是，适于处理大量数据。 但是，对于实时入侵检测，这种方 法还需要加以改进，需要开发出有效的数据挖掘算法和相应的 体系。数据挖掘的优点在于处理大量数据的能力与进行数据关 联分析的能力。 因此，基于内核的检测算法将会在入侵预警方 面发挥优势。 3.1.4 基于应用的入侵检测系统
息 和 通 信 安 全 学 术 会 议 论 文 集 ［C］.北 京 ：科 学 出 版 社 ，2005. ［3］ 唐正军.网络入侵 检 测系 统 的设 计与 实 现 ［M］.北 京 ：电子 工 业出
参考文献：
［1］ 陈昊潭.试论黄委基层电子政务建设中存在的问题及对策 ［J］.办 公 自 动 化 ，2009（10）.
［2］ 张艳.电子 政 务系 统 中 的 数 据 安 全 技 术 研 究 ［J］.现 代 计 算 机 （专 业 版 ），2009（8）.
［3］ 江琴.浅谈电子政务信息的安全管理［J］.科技资讯，2009（25）. （责任编辑：卓 光）
3.1.2 基于网络的入侵检测系统 基 于 网 络 的 IDS（N IDS）：通 过 在 共 享 网 段 上 对 通 信 数 据
进行侦听，分析可疑现象。这类系统不需要主机通过严格审计， 主机资源消耗少，可提供对网络通用的保护而无需顾及异构主 机的不同架构。 但它只能监视经过本网段的活动，且精确度较 差，在交换网络环境下难于配置，防欺骗能力也较差。典型的系 统有： 为 LosA lamos 国家实验室的集成计算机网络设计 的 网 络异常检测和入侵检测报告 NAD IR （是一个自动专家系统）； 加利福尼亚大学的 NSM 系统（它通过广播 LAN 上的信息流量 来检测入侵行为）；分布式入侵检测系统 D IDS 等。 3.1.3 基于内核入侵检测系统
两种检测技术的方法及所得出的结论有非常大的差异，基 于特征的检测技术的核心是维护一个知识库， 对于已知的攻 击，它可以详细、准确地报告出攻击类型。 但是，对未知攻击却 效果有限，而且知识库必须不断更新，基于异常的检测技术则
·162·
软件导刊
2010 年
无法准确判别出攻击的手法，但它可以判别更广泛、甚至未发 觉的攻击，如果条件允许，两者结合的检测会达到更好的效果。
3 入侵检测系统分类
入侵检测系统可以从不同的角度进行分类，主要有以下几 种分类方法： 3.1 基于数据源的分类
此种分类方法可以将入侵检测系统分为基于主机的入侵 检测系统、基于网络的入侵检测系统、分布式入侵检测系统和 基于应用的入侵检测系统。 3.1.1 基于主机的入侵检测系统
基 于 主 机 的 IDS（H IDS）：通 过 监 视 和 分 析 主 机 的 审 计 记 录检测入侵。优点是可精确判断入侵事件，并及时进行反应。缺 点是会占用宝贵的主机资源。 另外，能否及时采集到审计也是 这种系统的弱点之一，因为入侵者会将主机审计子系统作为攻 击目标以避开 IDS。 典 型的 系 统 主 要 有 ：ComputerW atch，Discovery，Haystack，IDES，ISOA，M IDAS 以 及 Los A lamos 国 家 实 验室开发的异常检测系统 W＆S。
5 结束语
入侵检测作为一种积极主动的安全防护技术，提供了对内 部攻击、外部攻击和误操作的实时保护，在网络系统受到危害 之前拦截和响应入侵。 入侵检测技术的发展将对网络应用具有 重要意义并产生深远影响，研究和开发自主知识产权的 IDS 系 统将成为我国信息安全领域的重要课题。
参考文献：
［1］ 戴英侠.系统安全与人侵检测［M］.北京：清华大学出版社，2002. ［2］ 刘美兰，姚京松.入侵检测预警系统及其性能设计.第一届中国信
基于应用的监控技术主要特征是使用监控传感器在应用 层 收 集 信 息 ，如 Web 服 务 程 序 、FTP 服 务 程 序 ，由 于 这 种 技 术 可以更准确地监控用户某一应用的行为，所以，这种技术在日 益流行的电子商务中越来越受到注意，其缺点在于有可能降低 技术本身的安全。 3.2 基于检测方法的分类 3.2.1 异常检测
3.4 其他信息安全技术的使用 此外，电子政务系统的安全性可以采用如下的措施加以保
证：控制对网络设备的 SNMP 和 telnet，在所有的骨干路由器上 建立 access－list 只对网管中心的地址段做 permit， 即通过网管 中心的主机才能远程维护各骨干路由设备；路由协议在不安全 的端口上进行 Passive 防止不必要的路由泄露； 将所有重要事 件进行纪录通过日志输出；采用防火墙设备对政务局域网进行 保护。
用专家系统对入侵进行检测， 经常是针对有特征的入侵 行为。 所谓的规则，即是知识，专家系统的建立依赖于知识库 的完备性， 知识库的完备性又取决于审计记录的完备性与实 时性。 4.3 基于模型的入侵检测方法
入侵者在攻击一个系统时往往采用一定的行为序列，如猜 测口令的行为序列，这种行为序列构成了具有一定行为特征的 模型 ，根 据 这 种 模 型 所代 表 的 攻 击 意 图的 行 为 特 征 ，可 以 实 时 地检测出恶意的攻击企图。 与专家系统通常放弃处理那些不确 定的中间结论的缺点相比，这一方法的优点在于它基于完善的 不确定性推理数学理论。 基于模型的入侵检测方法可以仅监测 一些主要的审计事件，当这些事件发生后，再开始记录详细的 审计，从而减少审计事件处理负荷。
系统中的若干关键点收集信息并对其进行分析，从中发现网络 或系统中是否有违反安全策略的行为和遭到袭击迹象的一种 安全技术。
从系统构成上看，人侵检测系统至少包括数据提取、人侵 分析、响应处理 3 部分。 数据提取是入侵检测系统的数据采集 器 ，负 责 提取 反 映 受 保 护 系 统运 行 状 态 的 运 行 数 据 ，并 完 成 数 据的过滤和预处理。 人侵分析是核心模块，负责对原始数据进 行同步、整理、组织、分类、特征提取以及各种细致分析。