1、入侵檢測(cè)系統(tǒng)綜述

1.1入侵檢測(cè)系統(tǒng)

隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)成為社會(huì)活動(dòng)中的必不可少的工具，大量重要的信息存儲(chǔ)在系統(tǒng)中，同時(shí)，連入網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量也在成倍增加，這些都使得信息安全問(wèn)題日益嚴(yán)重。入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全的一個(gè)重要的研究領(lǐng)域。

入侵(Intrusion)是指系統(tǒng)的未經(jīng)授權(quán)用戶試圖或已經(jīng)竊取了系統(tǒng)的訪問(wèn)權(quán)限，以及系統(tǒng)的被授權(quán)用戶超越或?yàn)E用了系統(tǒng)所授予的訪問(wèn)權(quán)限，而威脅或危害了網(wǎng)絡(luò)系統(tǒng)資源的完整性、機(jī)密性或有效性的行為集合[1]。其中，完整性是指防止網(wǎng)絡(luò)系統(tǒng)資源被非法刪改或破壞；機(jī)密性是指防止網(wǎng)絡(luò)系統(tǒng)內(nèi)部信息的非法泄露；有效性是指網(wǎng)絡(luò)資源可以被授權(quán)用戶隨時(shí)正常訪問(wèn)和程序資源能夠按期望的方式正常地運(yùn)行。入侵檢測(cè)就是檢測(cè)入侵活動(dòng)，并采取對(duì)抗措施。入侵檢測(cè)主要有兩種：濫用檢測(cè)和異常檢測(cè)。

濫用檢測(cè)（MisuseDetection）是假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。濫用檢測(cè)的關(guān)鍵是如何表達(dá)入侵的模式，把真正的入侵和正常行為區(qū)分開(kāi)來(lái)。濫用檢測(cè)的優(yōu)點(diǎn)是可以有針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng)，其主要缺陷是不能檢測(cè)未知的入侵，也不能檢測(cè)已知入侵的變種，因此可能發(fā)生漏報(bào)。

異常檢測(cè)(AnomalyDetection)[2]是假定所有入侵行為都是與正常行為不同的。異常檢測(cè)需要建立目標(biāo)系統(tǒng)及其用戶的正常活動(dòng)模型，然后基于這個(gè)模型對(duì)系統(tǒng)和用戶的實(shí)際活動(dòng)進(jìn)行審計(jì)，以判定用戶的行為是否對(duì)系統(tǒng)構(gòu)成威脅。常用的異常檢測(cè)方法有：專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、機(jī)器學(xué)習(xí)、和人工免疫等。異常檢測(cè)的關(guān)鍵問(wèn)題是：①特征量的選擇。異常檢測(cè)首先是要建立系統(tǒng)或用戶的“正常”行為特征輪廓，這就要求在建立正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。②參考閾值的選定。因?yàn)樵趯?shí)際的網(wǎng)絡(luò)環(huán)境下，入侵行為和異常行為往往不是一對(duì)一的等價(jià)關(guān)系，這樣的情況是經(jīng)常會(huì)有的：某一行為是異常行為，而它并不是入侵行為。同樣存在某一行為是入侵行為，而它卻并不是異常行為的情況。這樣就會(huì)導(dǎo)致檢測(cè)結(jié)果的虛警和漏警的產(chǎn)生。由于異常檢測(cè)是先建立正常的特征輪廓作為比較的參考基準(zhǔn)，這個(gè)參考基準(zhǔn)即參考閾值的選定是非常關(guān)鍵的，閾值定的過(guò)大，那漏警率會(huì)很高；閾值定的過(guò)小，則虛警率就會(huì)提高。合適的參考閾值的選定是影響這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。

入侵檢測(cè)系統(tǒng)（IntusionDetectionSystem，IDS）可以定義為識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為并對(duì)此做出反映的系統(tǒng)。

1.2當(dāng)前分布式入侵檢測(cè)系統(tǒng)特點(diǎn)及存在的問(wèn)題
當(dāng)前分布式系統(tǒng)的整體結(jié)構(gòu)多為分級(jí)的多層次結(jié)構(gòu)，見(jiàn)圖1。

這是一種自頂向下的樹(shù)狀結(jié)構(gòu)，由控制節(jié)點(diǎn)、數(shù)據(jù)聚合節(jié)點(diǎn)和數(shù)據(jù)搜集節(jié)點(diǎn)組成。位于樹(shù)頂層的是控制節(jié)點(diǎn)，負(fù)責(zé)控制整個(gè)系統(tǒng)以及提供接口與外界通信；處在中間層的是數(shù)據(jù)聚合節(jié)點(diǎn)，它接受來(lái)自上層的命令后對(duì)下層進(jìn)行控制，分析來(lái)自下層的數(shù)據(jù)流并進(jìn)行縮減后遞交到上層；而底層的葉節(jié)點(diǎn)負(fù)責(zé)數(shù)據(jù)搜集功能，它既可以是網(wǎng)絡(luò)中的某臺(tái)主機(jī)，也可以是網(wǎng)絡(luò)中的某個(gè)數(shù)據(jù)采集器。

這種系統(tǒng)架構(gòu)的優(yōu)點(diǎn)是顯而易見(jiàn)的：它能很好的處理基于濫用和基于異常的入侵檢測(cè)模型，從而保護(hù)網(wǎng)絡(luò)的安全；并且能適應(yīng)網(wǎng)絡(luò)通信大小的需要，很方便地隨時(shí)進(jìn)行擴(kuò)充和縮減從而達(dá)到它所監(jiān)控的網(wǎng)絡(luò)環(huán)境的最優(yōu)化。

但是正因?yàn)樗姆謱咏Y(jié)構(gòu)也導(dǎo)致了它自身的不安全性。表現(xiàn)在兩個(gè)方面：

（1）在這種系統(tǒng)中，網(wǎng)絡(luò)中有大量的數(shù)據(jù)傳送將造成網(wǎng)絡(luò)擁塞。

（2）由于分層結(jié)構(gòu)使得IDS極易受到攻擊。攻擊者通過(guò)攻擊內(nèi)部節(jié)點(diǎn)有可能切斷某一控制分支，甚至破壞整個(gè)IDS。

圖1層次架構(gòu)的分布式入侵檢測(cè)系統(tǒng)模型