孙泽宇， 陈朝辉

(洛阳理工学院 a. 计算机与信息工程系；b.电气工程与自动化系，河南 洛阳 471023)

0 引言

入侵检测系统(Intrusion Detection System, IDS)是用于识别针对计算机系统和网络系统或是更为广泛意义上的信息系统的非法攻击，它是网络信息系统安全的第二道防线，是安全基础设施的补充。它通过收集和分析计算机网络或计算机系统中基于关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击迹象的一种安全技术。IDS的构建基本上有两种方法：基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)。两者的主要区别是数据来源不同[1]。基于主机入侵检测系统从单个主机上提取数据作为入侵分析的数据源，而基于网络入侵检测系统从网络上提取数据作为入侵分析的数据源。由于数据源不同，所以采用的检测方法也不同。

1 入侵检测系统框架模型

入侵检测交换格式(IDEF)是由互联网工作小组(IETF)的入侵检测工作组(IDWG)，在1999年6月开发的安全事件报警的标准格式。该格式最主要的一点是规范了部分术语的使用，为适应入侵检测系统所输出的安全事件信息的多样性，IDEF数据模型采用了面向对象的设计思想，并以统一的建模语言(UML)来加以描述。其安全检测框架模型如图 1所示。

图1 IETF/IDWG安全检测框架模型

这个框架模型反映了入侵检测系统的功能要求和逻辑结构，而在实现上的形式可以各有不同，依赖于系统所负担的任务和所处的工作环境，所以传感器、分析器和管理器可以是独立的设备，也可以是一个设备中的不同功能[2]。入侵检测过程在宏观上一般分为三个过程，依次是信息收集、数据分析和事件响应。信息收集包括系统、网络、传输的数据及用户活动的状态和行为。数据分析的任务是将收集到的有关系统、网络、数据及用户活动的状态和行为等信息送到检测引擎，而检测引擎一般通过三种手段进行分析：模式匹配、统计分析和完整性分析。当检测到事件时产生一个报警并发送管理器。管理器根据安全政策的定义，针对报警的内容进行响应，提出相应的处理措施建议[3]。

2 入侵检测系统结构

2.1 基于主机入侵检测系统

基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名以发现它是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可以对入侵事件做出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。由于审计数据是收集系统用户行为信息的主要方法，因而必须保证系统的审计数据不被修改。但是，当系统遭到攻击时，这些数据很可能被修改。这就要求基于主机的入侵检测系统必须满足一个重要的实时性条件：检测系统必须在攻击者完全控制系统并更改审计数据之前完成对审计数据的分析、产生报警并采取相应的措施。

基于主机入侵检测系统其优点在于：主机入侵检测系统对分析“可能的攻击行为”非常有用，它能够分辨出入侵者干了什么事、他们运行什么程序、打开了哪些文件等等。其缺点在于：主机入侵检测系统安装在我们需要保护的设备上。当一个数据库服务器需要保护时，就要在服务器本身上安装入侵检测系统，这会降低应用系统的效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，扩大了本不允许管理员访问的服务器权限。

2.2 基于网络入侵检测系统

基于网络的入侵检测系统(HIDS)放置在被保护的网络上，使用原始网络报文作为数据源进行攻击分析。通常利用一个网络适配器来实时监视和分析所有通过网络进行传输的数据。一旦检测到攻击，入侵检测系统相应模块通过告知、报警以及中断连接等方式来对攻击做出反应。系统中数据采集模块是由过滤器、网络接口引擎和探测器组成。它的功能是，按一定规则从网络上获取与安全事件相关的数据包，然后传递给入侵检测系统分析引擎模块进行安全分析；入侵分析引擎模块将根据从采集模块传来的数据包并结合网络安全数据库进行分析，把分析结果传送给管理与配置模块；而管理与配置模块的主要功能是管理其他功能模块的配置工作，并将入侵分析引擎模块的输出结果以有效的方式通知网络管理员。

基于网络的入侵检测系统其优点在于：网络入侵检测系统能够检测到哪些是来自网络的攻击、哪些是来自超过权限的非法访问等等。由于HIDS不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O设备与磁盘等资源的使用，不会影响业务系统的性能，HIDS发生故障不会影响正常业务的运行。其缺点在于：网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的数据包，在使用交换以太网的环境中就会出现监测范围的局限，而安装多台网络入侵检测系统的传感器会使整个系统的成本大大增加。

2.3 基于主机检测的分布式入侵检测系统

基于主机检测的分布式入侵检测系统(HDIDS)，其结构分为两个部分：主机探测器和入侵管理控制器。HDIDS用于保护网络的关键服务器或其他具有敏感信息的系统，利用主机的系统资源、系统调用、审计日志等信息，判断主机系统的运行是否遵循安全规则[4]。在实际工作过程中，主机探测器多以安全代理(Agent)形式直接安装在每个被保护的主机系统上，并通过网络中防火墙和网络边界安全开孔的方法(DMZ)对系统管理控制台进行远程控制。这种集中式的控制方式，便于对系统进行状态监控、管理以及对检测模块的软件进行更新。大大加强了基于主机检测的分布式入侵检测系统的安全化、结构化和可扩展化。其HDIDS配置图如图2所示。

图2 基于主机检测的分布式入侵检测系统配置

2.4 基于网络检测的分布式入侵检测系统

HDIDS只能保护主机的安全。如果当网络中需要保护的主机系统比较多时，其安装配置的工作非常复杂。此外，对于一些复杂攻击，主机探测器无能为力。因此，需要使用基于网络的分布式入侵检测系统(NDIDS)。NDIDS结构分为两个部分[4]：网络探测器和管理控制器。网络探测器部署在重要的网络区域，如服务器在收集网络通信数据和业务数据流时，通过采用异常和误用两种方法对收集到信息进行分析，若出现攻击或异常网络行为，就向管理控制器发送报警信息。其NDIDS配置图如下页图3所示。

3 网络检测方法

从入侵的过程可以看出，数据分析是入侵检测系统的核心，它是关系到能否检测出入侵行为的关键。检测率是人们关注的焦点，不同的分析技术所体现的分析机制也是不一样的，从而对数据分析得到的结果当然也大不相同，而且不同的分析技术对不同的数据环境的适用性也不一样。根据入侵检测系统所采用的分析技术来看，它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。基于上述分析可知，入侵行为能够按某种方式进行编码，而入侵检测过程实际上就是模式匹配的过程。

图3 基于网络检测的分布式入侵检测系统配置

3.1 BM算法

BM算法在一个文本中匹配某一特定字符串时，采用了启发规则来跳过不必要的比较，减少数据比较次数[1]。BM算法使用的第一个启发规则一般叫做“坏字符启发式”。如果一个字符在所搜索的模式字符中并没有出现，那么模式字符串可以向前移N个字符，其中N是给定的模式字符串的长度。第二个启发式规则使用了模式字符串中“重复子字符串”的知识。这样如果发生了不匹配，并且模式字符串中存在重复字符串模式，那么就可以使模式字符串移动到子字符串下一次出现的地方。BM算法如下：

3.2 基于贝叶斯推理异常检测方法

3.3 基于神经网络异常检测方法

基于神经网络入侵检测方法是训练神经网络连续的信息单元，信息单元指的是命令[6]。网络的输入层是用户当前输入的命令和已执行过的N个命令；用户执行的命令被神经网络使用来预测用户输入的下一个命令。若神经网络被训练成预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架。当用这个神经网络预测不出某用户正确的后继命令，即在某种程序上表明了用户行为与其轮廓框架的偏离，这时有异常事件发生，以此就能进行异常入侵检测。

3.4 基于模型误用入侵检测方法

该方法要点是建立攻击剧本数据库预警器和规划者[3]。每个攻击剧本表示成一个攻击行为序列，在任意的给定时刻，攻击剧本的子集都被用来推断系统遭受入侵。入侵检测系统根据当前的活动模型，预警器产生下一步行为，用来在审计跟踪时作验证使用。规划者负责判断假设的行为是如何反映在审计跟踪数据上，以及将假设的行为变成与系统相关的审计跟踪进行匹配。由于某些攻击剧本的证据的累积，造成其他的证据的下降，活动模型组就被更新。同时系统中嵌入证据推理分析功能，这样就可以得到更新活动的攻击剧本出现的概率，根据攻击剧本概率的大小进行推断检测入侵。

3.5 基于状态迁移的误用检测方法

状态迁移方法利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态，危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移，使系统从初始状态迁移到危害状态。基于状态迁移的误用检测方法通过检查系统的状态变化来发现系统中的入侵行为。

4 结语

因为网络入侵者通常是一些尖端技术的掌握者，至少有能力使用多级连接和代理等手段身份的掩护，所以入侵检测系统是网络界共同难题。本文从实际出发，提出了基于主机检测的分布式入侵检测系统和基于网络检测的分布式入侵检测系统更有效地防御外来者的入侵，同时对BM算法和检测方法做了详细的描述。网络入侵检测系统是网络安全的扩充，是网络安全技术中的一个新型研究领域，具有广阔的应用前景。

[1] 牛少影.信息安全概论[M].北京:北京邮电大学出版社,2004:190-201.

[2] 龚俭,吴桦,杨望.计算机网络安全导论[M].南京:东南大学出版社,2007:253-271.

[3] 刘艳云.基于改进关联规则的网络入侵检测方法的研究[J].通信技术,2008,41(12):316-318.

[4] 蒋建春.网络信息安全理论与实践[M].西安:西安电子科技大学出版社,2005:128-139.

[5] 夏炎,殷慧文.网络入侵检测技术研究[J].沈阳工程学院学报,2008(10):362-364.

[6] 胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社,2006:233-241.