分布式入侵檢測系統相關技術的研究

李洪波

（長春工程學院，吉林 長春 130012）

在計算機網絡技術飛速發展的當下，信息與網絡安全形勢也日趨嚴峻和復雜化。各國計算機技術人員的共同目標是從技術、管理、法律等多方面采取綜合措施保障信息與網絡安全。但是計算機網絡在協議、服務和管理等方面都存在缺陷，網絡黑客利用這些漏洞進行非法活動，因此研究高效的安全檢測技術和開發實用的安全檢測系統具有重大的理論和實踐意義。

1 Internet的本身就存在著安全性問題

Internet的不安全因素主要集中在以下幾個方面：TCP/IP協議和服務本身的弱點，網絡配置中缺乏統一策略，弱用戶認證機制，易受到冒充和探測，社會和人為因素等。計算機網絡中活躍著的黑客們尋找系統的漏洞進行攻擊，通過上述一些缺陷就可以進行攻擊，造成網絡的不安全性。

2 網絡安全技術分析

為了保護Internet上信息、服務和訪問的安全性，人們開發了多種安全協議和技術，主要有以下幾種：

（1）存取控制：存取控制規定操作權限的分配，它一般與身份驗證技術一起使用，根據不同身份的用戶給予不同的操作權限，以實現不同安全級別的信息分級管理。

（2）數據完整性：保證數據完整性至關重要，以免在傳輸過程中被篡改，因此需要驗證收到的數據和原來數據之間保持一致。

（3）加密技術：加密是一種最基本的安全技術，主要用在數據存儲、數據傳輸和口令技術中?，F在金融系統和商界普遍使用的算法是美國商界加密標準DE3。

（4）用戶身份認證：它是互聯網上信息安全的第一道屏障。用戶身份認證即校驗用戶訪問系統和使用信息的資格，它是網絡安全的關鍵技術。

（5）安全協議：目前在TCP/IP下一版本(IPv6)中就增加TAH和ESP機制及其它安全措施。

（6）防火墻技術：防火墻技術可通過與加密技術、用戶身份認證技術相結合，能夠保證對安全協議的保護，是一種比較有效的保護網絡安全的方法。

（7）入侵檢測技術：入侵檢測和漏洞檢測技術是網絡安全技術的重要組成部分，它們不但可以實現復雜的信息系統安全管理，而且還可以從目標信息系統和網絡資源中采集信息，分析來自網絡外部和內部的入侵信號和網絡系統中的漏洞，發出警告或實時對攻擊做出反應。

3 網絡入侵技術分析

IDS的研究始于20世紀80年代，安德遜于1980年引入入侵檢測概念時，將入侵企圖或威脅定義為故意非授權的企圖進行以下活動的潛在可能性，這些活動包括：訪問信息、修改信息、致使系統不可靠或不可用。因此入侵可以定義為任何企圖破壞信息或資源的機密性、完整性、以及可用性的行為。

美國IDG InfoWorld測試中心小組開發了一種可以稱之為Benchmarking類型的測試基準：IWSS16。通過收集上千種典型且可以公開得到的攻擊方法并對其進行組合，形成了IWSS16。IWSS16主要由四種主要類型的攻擊手段組成：

（1）收集信息：網絡攻擊者經常在攻擊之前，先進行試探性的攻擊，以便獲得系統有用的信息，主要手段有捕包(sniffing)，PING掃描，端口掃描，帳戶掃描，DNS轉換等操作。

（2）獲取訪問權限以各種手段獲取對網絡和系統的特權訪問，目的是獲取有價值的信息。

（3）拒絕服務（Denial of Service）DoS是最不容易捕獲的攻擊，因為它不易留下痕跡，安全管理人員不易確定攻擊來源。這種攻擊通過大量不間斷的申請使得系統處于繁忙狀態直至系統癱瘓；拒絕服務供給還可以利用操作系統的漏洞進行針對性的攻擊。

（4）逃避檢測：入侵者往往在攻擊之后，使用各種逃避檢測的手段，使其攻擊的行為不留痕跡。典型的特點是修改系統的安全審計記錄。

4 安全檢測技術

入侵檢測已經被視為防火墻的合理補充，它從安全審計，安全監控，攻擊識別，以及對攻擊的反應這幾方面加強了系統管理員的安全管理能力。通過入侵檢測系統可以使計算機系統對攻擊有所準備并能及時做出反應。入侵檢測系統從計算機系統的大量數據中搜集信息并分析這些信息以查找出有安全問題的癥狀。入侵檢測系統通過收集和分析信息能夠完成諸多功能，如檢測和分析用戶的活動、審核系統配置和漏洞、對系統和數據文件的完整性進行評估、識別反映己知攻擊模式的行為、統計分析異常行為模式、操作系統日志管理，并支持對違反策略的用戶行為的識別。

漏洞評估工具對系統執行嚴格的檢查以定位可導致安全侵害的弱點。漏洞評估工具使用兩種策略來執行這些檢查。

第一種是被動的，從主機本身出發進行檢查，通過系統配置文件的設置問題到系統口令的復雜和保密程度，并從中找出一些違反安全策略的內容。第二種是主動的，它通過模擬已知的入侵腳本來對系統進行“攻擊”，然后根據系統做出的反映來進行漏洞評估分析。

盡管這些系統不能可靠地檢測正在進行的攻擊，但是它們可以確定攻擊是否可能發生，此外，有時它們也能確定攻擊是否已經發生。由于它們提供的功能與入侵檢測系統相似，我們也將它們包括到入侵檢測技術與工具范圍內來.漏洞評估技術發展的比較成熟，己有不少成形的工具包。

5 現存入侵檢測的問題和展望

入侵檢測在網絡安全方面的作用是不可小覷的，它已經成為網絡安全體系結構和完整的安全解決方案的重要組成部分?？梢哉f它也是網絡安全的最后一道防線，同時它還保護著其他安全子系統。國外很多機構和研究人員對網絡安全的研究起步較早，有一些入侵檢測的產品，一開始主要是檢測一些漏洞的工具包還有掃描端口的工具，逐漸發展成現在的一些成型的入侵檢測產品，而且應用效果也很突出。國內在這方面的研究起步比較晚，還沒有什么具體的成果出現。對于入侵檢測系統的研究瓶頸在于數據的處理方面，通過分布式計算能夠很大程度的解決該問題，目前研究的主要方向都在分布式計算的上。在處理網絡中的入侵檢測系統中大量的數據時發現，如果處理的數據不夠快，不能夠有效的進行處理出現丟包或者檢測系統中出現單點失效，那么入侵檢測系統就是去了意義。隨著網絡的飛速發展，中間件技術的成熟，推動了分布式系統的發展，處理數據不再使用大型機而是逐步被分布式系統漸漸取代。因此研究分布式計算在入侵檢測領域的應用是非常有價值的。

同時為了彌補入侵檢測系統的智能方面的不足，研究人員引入了基于專家系統的、基于模型推理的和基于神經網絡的分析方法，這樣入侵檢測系統在檢測已知系統攻擊的同時還能夠檢測到未知的入侵和更為復雜的入侵，例如通過系統的自學習系統能夠實現檢測，能夠根據實際檢測到的信息有效的加以處理并做出入侵可能性的判斷。但該方法還不成熟，時常會出現誤報、漏報的現象，對于用戶正常行為突發改變會不適應，而且還沒有出現較為完善的產品。目前的入侵檢測主要根據網絡中主要的節點進行檢測，根據端口的流量監聽，并將數據進行統計和分析，從主要容易被攻擊的目標主機上進行日志和系統參數的提取和分析，從中找出入侵特征并對其進行預警，或自動處理。但是目前的入侵檢測系統受到多方面的制約，如檢測的速度、設備的可擴展性以及被攻擊后失效等因素。當網絡中的主要節點被攻擊，有沒能及時的采取措施造成了節點主機癱瘓，那么整個系統將陷入困境。那么如何處理以上問題成為目前的主要研究方向，提高系統的可擴展性，提高計算速度和分析能力而采取分布式計算系統的入侵檢測系統正在摸索階段。如能將分布式計算和多種入侵檢測技術完美的結合將很好地解決現有入侵檢測系統的瓶頸問題。

［1］耿麥香.網絡入侵檢測技術研究綜述[J].網絡安全技術與應用，2004（06）.

［2］趙振輝.基于Agent和聚類的網分析絡入侵檢測研究[J].微電子學與計算機.2013（03）.