网络入侵监测系统的设想与实现

王威

【摘要】计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性和可使用性受到保护。网络入侵监测系统的设想与实现，就是保证用户在网络环境下所有信息的安全。

【关键词】网络入侵检测；入侵检测系统

文章编号:ISSN1006—656X(2013)06 -00092-01

随着计算机的普及和计算机网络的快速发展，越来越多的政府、企业和个人通过INTENERT 网，实现了全社会的信息共享已经成为现实。网络应用的不断扩大，对网络的各种攻击与日俱增。尤其是相当数量的政府、银行、企事业单位都有自己的内联网，内联网的安全十分重要，内部系统被入侵、破坏与泄密都是严重的问题 。因此，对入侵攻击的监测防范等网络安全问题，已成为当今计算机安全方向的重要课题。

一、入侵检测技术

入侵检测技术是为保证计算机系统的安全而设计与配置的，一种能够及时发现并报告系统中未授权或异常现象的技术，利用审计纪录，入侵监测系统识别非法活动并限制和制止它，利用报警和防护系统，在入侵攻击发生危害前驱逐入侵攻击。或在被入侵后收集相应信息，添入知识库，增强防范能力。入侵检测系统实质是试图发现闯入你系统中的入侵者，或误用你资源的合法用户，对入侵者起到了震慑作用。随着黑客入侵手段的提高，尤其是巧借他人之手，实施联合攻击的方法出现，传统单一的、缺乏协作的入侵检测技术已经不能满足需求，分布协同的入侵检测技术，成为当今入侵检测技术领域的研究热点。

网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。一个网络入侵检测系统，不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。

由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。布署一个网络入侵检测系统的风险，比主机入侵检测系统的风险少得多。但是，入侵监测系统仍存在很多缺点。一是网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。而在使用交换以太网的环境中，安装多台网络入侵检测系统的传感器，会使布署整个系统的成本大大增加；二是网络入侵检测系统，为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测；三是网络入侵检测系统，可能会将大量的数据传回分析系统中。对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样系统中的传感器协同工作能力较弱。

二、入侵检测系统的主要形式

入侵监测系统主要有两种方式：实时入侵检测系统和非实时入侵检测系统。

实时入侵检测系统实时监测目标系统或网络上各种情况，及时捕捉到非法入侵者或滥用资源的合法用户。方法通常有统计异常事务检查和模式匹配检查。单独使用异常检查和模式匹配都不够充分，目前大多数研究实时入侵检测系统的项目，使用这两种技术来捕获入侵。

非实时入侵检测系统是定期查看目标系统或网络的安全情况，对系统威胁进行定期评估。它寻找可能对系统造成威胁的潜在问题，和实时入侵检测系统相比，其优点是对资源的平均占用时间少。通常实时入侵检测和非实时入侵检测需要结合起来使用。对于威胁大、影响严重的破坏事件，使用实时入侵检测来监视入侵；对于风险小的事件，采用非实时入侵检测。当然，实际使用时，需要用户来判断什么事件应实时监测，什么事件应间断扫描。

扫描器属于非实时入侵检测系统。它一般通过检查对象的属性，如文件属主和允许权限，或是通过仿效黑客的行为。如运行大量各种脚本试图，发现目标节点上的弱点，来扫描缺陷。扫描器定期性地运行，所以不可能在破坏事件一出现时就能立刻发现。它的目的是通过提前警告用户系统缺陷的存在，从而实现防止攻击。它定期运行是系统和网络情况经常变化所致，新软件的使用、节点的增减、服务要求的变化等都可能引进新的安全隐患，定期运行扫描器，可以发现新环境中的安全问题。

扫描器又分远程扫描器和本地扫描器两类。远程扫描器，又称为互联网扫描器，运行在整个网络上，主要查询TCP/IP端口并记录目标的响应，通过对目标节点的检查找出薄弱之处。本地扫描器，也称为系统扫描器，运行于节点之上，主要针对本地漏洞，执行自我检查。这些漏洞大多是远程扫描器难以察觉的，它可以被内部的不法人员所利用。远程扫描器和本地扫描器是相辅相成的。远程扫描器侧重于网络协议检查，主要通过发送网络数据包来检测系统，发现特定弱点；本地扫描器研究文件的内容，查找配置问题，找出误用。由于本地扫描器实际上是运行于目标节点的进程，所以可检查出远程扫描器查不出的问题。在系统环境中，应综合运用这两种扫描器。有时它们是以不同的方式检测出同一问题，这正实现了安全的层次性。

三、自适应网络入侵检测系统

自适应网络入侵检测系统是利用扫描器确定网络状况，用户化定制入侵检测系统，实质是将非实时入侵检测和实时入侵检测有机结合，提高IDS的工作效率。

由于网络状况的不可知性，一般的IDS的知识库，在初始化设置时会考虑不同的网络环境，进行检测漏洞。如在一个IDS知识库中，既有对MIRCOSOFT的网络环境的检测，又有对 UNIX的网络环境的检测，但在实际状况中单一网络结构中是常见的，这时IDS的工作效率会减小一半。如何根据已知网络环境进行用户化的定制IDS ，是自适应网络入侵检测系统设计的关键。

网络系统管理员可能对它的网络整体状况有一定了解，如在网络中有多少服务器、工作站，使用哪些操作系统等，但对于网络内部结构，如网络服务的漏洞、操作系统有那些补丁就不一定十分了解。而且网络状况是不断变化，实时动态更新的，所以一个好的IDS必须适应网络变化。这些变化有网络状况的不同和同一网络不断变化。自适应网络入侵检测系统，就是利用扫描器的动态扫描来优化IDS。通过扫描器可以对服务器的版本、漏洞进行扫描，在打补丁前，用IDS相关规则去掉不出现的情况，提高效率；并通过定期扫描，审视网络当前状况，IDS根据网络变化适应改变规则，实现实时检测。

自适应入侵监测系统的关键在于以下几个方面：第一，检测速度：由于网络主机众多，就要求探查系统可在较短的时间内完成大规模的网络扫描；第二，判断精确度：把一个安全系统误认为有安全隐患将带来不必要的麻烦，而将一个不安全的系统看成安全系统而信赖更是危险的。第三，漏报率：由于IDS规则不全或由于网络流量大，有丢包现象的出现而没有检测到的漏洞。

在自适应网络入侵检测系统中，由于在IDS中规则使用减少，不仅检测时间缩短，且检测网络流量减小。因此漏报率降低，轻量检测也可提高IDS的执行速度，进行精确模式匹配方式使检测准确性提高。

参考文献：

[1]张俊安.网络入侵检测系统研究与实现[D].成都:西南交通大学,2003.

[2]谢怡宁.基于CVE入侵检测系统研究与实现[D].哈尔滨理工大学，2005.

[3]魏士靖.计算机网络取证分析系统[D].江南大学，2006.

[4]张杰，戴英侠.入侵检测系统技术现状及其发展趋势[J].邮电设计技术，2002，（6）.