入侵检测系统性能与鲁棒性分析

张 毅， 梅 挺

(成都医学院 人文信息管理学院 计算机教研室，四川 成都 610081)

0 引言

入侵检测技术提供了用于发现入侵攻击与合法用户权的一种方法，自1980年，Anderson首先提出了入侵检测的概念以来，入侵检测技术已被广泛应用于网络安全防御中。从获取数据的角度来说，入侵检测体统可以分为基于主机的和基于网络的两种。基于主机的入侵检测系统它主要分析主机内部的活动，从操作系统和安全审计系统的日志获取信息，同时分析主机的系统调用以及文件系统完整性，并对所得的信息进行处理[1]。如果发现入侵，它将会给以适合的响应。基于网络的入侵检测系统以网络数据包为数据源。它通常利用工作在混杂模式下的网络适配器来实时监视并分析流经网络的数据流。它可以分析一个网段中的所有数据包，进行实时分析和响应。而且，基于网络的入侵检测系统具有操作系统无关性，可以单独安装不会增加主机的负载。

一个典型的入侵检测系统(IDS)的基本构成如图1所示。

图1 通用入侵检测模型

如图1所示的通用入侵检测系统模型中，主要由以下几大部分组成。

数据收集器（又可称为探测器）：主要负责收集数据。探测器的输入数据流包括任何可能包含入侵行为线索的系统数据。比如说网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起来，然后发送到检测器进行处理。

检测器（又可称为分析器或检测引擎），负责分析和检测入侵的任务，并发出警报信号。

知识库：提供必要的数据信息支持。例如用户历史活动档案，或者检测规则集合等。

控制器：根据警报信号，人工或自动作出反应动作。

另外，绝大多数的入侵检测系统都会包含一个用户接口组件，用于观察系统的运行状态合输出信号，并对系统行为进行控制。

随着IDS广泛应用和推广后，对IDS进行测试和评估也十分必要。不论是IDS的设计者还是使用者都希望有方便的工具，合理的方法对IDS进行科学，公正并且可信地测试和评估。对于IDS的研制和开发者来说，对各种IDS进行经常性的评估，可以及时了解技术发展的现状和系统存在的不足，从而将研究重点放在关键的技术问题上，减少系统的不足，提高系统的性能；而对于IDS的使用者来说，由于他们对IDS依赖程度越来越大，所以也希望通过评估来选择适合自己需要的产品，避免各IDS产品宣传的误导。

1 入侵检测系统形式化描述

根据计算机信息安全的定义，本文对IDS系统的安全性能给出形式化的描述：[2]

定义1 IDS系统安全是指传感器向控制台发送的信息，数据文件存储的规则和记录的数据信息以及控制台向管理员发送的响应信息等的机密性、完整性和可用性。其实：它可用＜S,I,U＞三元组来进行形式化定义：

S：是指信息的机密性，即只能有授权用户访问信息以及对IDS中有用信息进行加密处理；

I：是指信息的完整性，即指防止 IDS系统中存储与传输的信息被修改、复制和破坏，以及保证信息交换的内容与顺序均证实有效且不可否认；

U：是指信息的可用性，即IDS系统资源和信息能够持续有效地工作，以及授权用户可以在需要的时间、从需要的地方、以需要的方式来访问跟踪相应资源。

如果针对三元组中的任何一个元素进行相应地操作，则会对IDS系统中信息资源的安全性产生威胁。

定义2 IDS系统安全度是指IDS系统在特定的环境或条件下，在一定的时间内，不会发生针对IDS系统信息的机密性、完整性以及可用性进行破坏活动或事件的概率。

若以E表示特定的环境，t表示给定的时间，设系统从0时刻开始运行，直到T时刻发生入侵IDS系统的事件，则：。即表示IDS系统在特定的环境E下的、正常工作到时刻t时的概率。

其中，T是从0时刻开始，系统运行到发生故障时的时间。根据定义， (,)MEt具有如下性质：

① (,0)1E = ，即在 0时刻，系统尚未遭受到任何入侵事件的攻击，系统安全度最高；

② M(E,∞ ) = 0 ，即在无限远的时刻，系统必定将受到入侵；

③ 在时间区间(0，+∞)上， (,)MEt是单调下降的，即随着时间的增加，IDS系统的安全度则相应降低。

定义3 IDS系统入侵度是指在特定的环境或条件下，在一个确定的时间内，发生针对于IDS系统安全性的破坏活动或事件的概率，记为 (,)NEt。由定义可知：，即：

因此， (,)NEt具有与 (,)MEt相似的性质：

① N(E , 0) = 0 ，即在0时刻，系统无入侵事件发生，IDS系统入侵度为0；

② N(E,∞) = 1 ，即在无限远的时刻，系统必定将受到入侵，入侵度为1；

③ 在时间区间(0，+∞)上， (,)NEt是单调上升的，即随着时间的增加。

IDS系统发生入侵活动或事件的概率相应增加，系统入侵度也相应增加。因此，如何有效地提高IDS系统的安全度，并有效地降低IDS系统的入侵度，则是保证IDS系统安全可靠的重要途径。

2 影响入侵检测系统性能主要因素

入侵检测系统的性能分析主要考虑检测系统的有效性、效率和可用性。有效性研究检测机制的检测精确度和系统检测结果的可信度，它是开发设计和应用IDS的前提和目的，是检测评估IDS的主要指标，效率则从检测机制的处理数据的速度以及经济性的角度来考虑，也就是侧重检测机制性能价格的改进。[3]可用性主要包括系统的可扩展性、用户界面的可用性，部署配置程度等方面。有效性是开发设计和应用IDS的前提和目的，因此也是测试评估IDS的主要指标，但效率和可用性对IDS的性能也起很重要的作用。效率和可用性的要求也体现与IDS设计的各个环节中。

IDS的检测率、虚警率和检测可信度是其性能的重要指标。检测率是指被监控系统在收到入侵攻击时，检测系统能够正确报警的概率。虚警率是指检测系统在检测时出现虚惊的概率。检测可信度也就是检测系统检测结果的可信程度，这是测试评估IDS的最重要的指标。

在测试评估IDS的具体实施过程中，除了要IDS的检测率和虚警率之外，往往还会单独考虑与这两个指标密切相关的一些因素，比如能检测的入侵特征数量、IP碎片重组能力、TCP流重组能力。显然，能检测的入侵特征数量越多，检测率也就越高。此外，由于攻击者为了加大检测的难度甚至绕过IDS的检测，常常会发送一些特别设计的分组。为了提高IDS检测率降低IDS的虚警率，IDS常常需要采取一些相应的措施，比如对于各种逃避方式增加一些预处理器等。因为分析单个的数据分组会导致许多误报和漏报，所以增强IDS对数据流的重组能力可以提高检测的精确度。IP碎片重组的评测标准有三个性能：能重组的最大IP分片数；能同时重组的IP分组数；能进行重组的最大IP数据分组的长度，TCP流重组是为了对完整的网络对话进行分析，它是网络IDS对应用层进行分析的基础。如：检查邮件内容、检查FTP传输的数据，禁止访问有害网站，判断非法HTTP请求等。这两个能力都会直接影响IDS的检测可信度。

除此之外，影响IDS性能的还有延迟时间、资源占有率、负荷能力和报警响应能力等。延迟时间指的是在攻击发生至IDS检测到入侵之间的延迟时间，延迟时间的长短直接关系着入侵攻击破坏的程度。资源的占有率即系统在达到某种检测有效性时对资源的要求情况。通常，在同等检测有效性的前提下，对资源的要求越低，IDS的性能越好，检测入侵的能力也就越强。负荷能力是其设计的负荷能力，在超出负荷能力的情况下，性能会出现不同程度的下降。比如，在正常情况下IDS可检测到某攻击但在负荷大的情况下可能就检测不出该攻击，考察检测系统的负荷能力就是观察不同大小的网络流量、不同强度的 CPU内存等系统资源的使用对 IDS的关键指标（比如检测率、虚警率）的影响。日志、报警、报告以及响应能力。日志能力是指检测系统保存日志的能力、按照特定要求选取日志内容的能力。报警能力是指在检测到入侵后，向其它部件、人员发送报警信号的能力以及在报警中附加信息的能力。报告能力是指产生入侵行为报告、提供查询报告、创建和保存报告的能力。响应能力是指在检测到入侵后进一步处理的能力，这包括阻断入侵、跟踪入侵者、记录入侵证据等。

3 IDS鲁棒性分析

鲁棒性是指系统中存在的可以被入侵者利用的弱点和缺陷，以及系统对某一个特定的威胁、攻击或危险事件的敏感性和受其威胁或攻击的可能性。IDS系统作为一种对入侵活动进行检测的软件和硬件的集合，其自身也必然存在着漏洞和弱点。[4]为了衡量IDS系统鲁棒性以及抗攻击能力的强弱，下面对IDS系统鲁棒度进行分析。

定义4 IDS系统的鲁棒度是指在一定的时间和条件范围内，IDS系统对某种特定漏洞的敏感度，以及针对该漏洞对IDS系统产生入侵的可能性，即：

其中，敏感度 S v(E)是指IDS系统能够被检测或察觉出系统所存在的漏洞及遭到相关的入侵和破坏行为，以及IDS系统被破坏到什么程度才会造成系统失效或死机的一种衡量指标；而可能性也就是指针对这种漏洞V的入侵度 N v(E,t)。因此，IDS系统的鲁棒度 D (V , 5,E,t)表示在一定的时间与环境下，IDS系统对漏洞或入侵的敏感度与利用该漏洞所进行入侵度的乘积。由于 S v(E)是一个与时间无关且只与系统自身环境有关的量，所以 S v(E)在任何时刻均为一个不为0的量，即鲁棒度的性质与入侵度的性质相似：

实践表明，针对IDS系统的入侵活动是不可避免的，但是为了有效地降低系统入侵率以及鲁棒度，提高系统的感知度是首要的解决方案，即增强IDS系统对漏洞的检测能力，以及针对这些漏洞进行入侵的活动和事件的响应能力。[5]另外，增强系统的自身修复能力、容错能力与抗攻击能力，以及减少系统的开销也是IDS设计的重要内容。

IDS体系结构的鲁棒性主要包括三个方面：平台结构漏洞、通信协议的漏洞以及IDS系统自身的鲁棒性。其中平台结构漏洞以及通信协议的漏洞主要是指支持IDS的操作系统平台以及IDS进行数据通信过程中所使用的协议所存在的安全漏洞，大量的文献对此已做出了深入的研究；而IDS系统体系结构自身的安全性已成为业界关注的核心，尽管 CIDF体系结构已经被大多数企业所接受，但IDS体系结构的标准仍未制定，CIDF中的四个模块间在通信过程中传输的数据也会受到监听或更改。[6]因此，为了保证IDS在数据与传输过程的安全性，一方面需要在传输过程中对数据加密；另一方面需要对IDS的不同主机间的通信进行安全认证、完整性检验和数字签名，并监视网络流量，使IDS系统达到负载平衡。另外，基于主机的入侵检测系统采用服务器操作系统的检测序列作为主要输入源来检测侵入行为，而大多数基于网络的入侵检测系统则以监控网络故障作为检测机制，但有些则用基于服务器的检测模式和典型的入侵检测系统静态异常算法。早期的入侵检测系统模型设计用来监控单一服务器，是基于主机的入侵检测系统；近期的更多模型则集中用于监控通过网络互连的多服务器，是基于网络的入侵检测系统。[7]由于 NIDS的传感器只对本网段的通信进行过滤，而不能检测其它网段的数据包，所以在使用交换以太网的环境中就会出现检测范围的局限，从而设计一个新的IDS体系结构模型并有效地部署整个系统将面临着新的挑战。

4 结语

虽然 IDS及其相关技术已获得了很大的进展，但关于IDS性能检测及其相关评测工具、标准以及测试环境等方面的研究工作还很缺乏。但是，对IDS进行定性和定量的分析，实践意义重大。有助于更好的刻画IDS的特征。通过测试评估，可更好地认识理解IDS的处理方法、所需资源及环境；领会各检测方法之间的关系；可以对IDS的各项性能进行评估，确定IDS的性能级别及对运行环境的影响；最后还能利用测试和评估结果，可推断IDS发展的趋势，对IDS进行改善，发现系统中存在的问题并进行改进，提高系统的各项性能指标。

[1] 汪洋,龚俭.入侵检测系统评估方法综述[J].计算机工程与应用,2003(32):171-173.

[2] 诸葛建伟,王大为,陈昱,等.基于 D-S证据理论的网络异常检测方法[J].软件学报,2006(03):463-471.

[3] 孙美凤,龚俭,杨望.基于特征的入侵检测系统的评估新方法[J].通信学报,2007,28(11):6-14.

[4] 陈友,沈华伟,李洋,等.一种高效的面向轻量级入侵检测系统的特征选择算法[J].计算机学报,2007,30(08):1398-1408.

[5] 姚君兰.入侵检测技术及其发展趋势[J].信息技术,2006,30(04):172-175.

[6] 田俊峰,刘涛, 陈小祥.入侵检测系统的评估方法与研究[J].计算机工程与应用,2008,44(09):113-117.

[7] 王永全.入侵检测系统（IDS）的研究现状和展望[J].通信技术,2008,41(11):39-146.