入侵检测技术的发展与趋势

安振亚

（山东省科学技术协会学会服务中心，山东 济南250001）

1 入侵技术发展的体现

（1）入侵的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

（2）入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

（3）入侵的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

（4）入侵技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

（5）攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

2 入侵检测系统存在的问题

入侵检测系统还存在相当多的问题，这些问题大多是目前入侵检测系统的结构所难以克服的。

（1）攻击者不断增加的知识，日趋成熟多样自动化工具，以及越来越复杂细致的攻击手法。入侵检测系统必须不断跟踪最新的安全技术，才能不致被攻击者远远超越。

（2）恶意信息采用加密的方法传输。网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是通过明文传输的，因此对信息的稍加改变便可能骗过入侵检测系统的检测。

（3）不能知道安全策略的内容。必须协调、适应多样性的环境中的不同的安全策略。网络及其中的设备越来越多样化，入侵检测系统要能有所定制以更适应多样的环境要求。

（4）不断增大的网络流量。用户往往要求入侵检测系统尽可能快的报警，因此需要对获得的数据进行实时的分析，这导致对所在系统的要求越来越高，商业产品一般都建议采用当前最好的硬件环境。尽管如此，对日益增大的网络流量，单一的入侵检测系统系统仍很难应付。

（5）不恰当的自动反应存在风险。一般的IDS都有入侵响应的功能，如记录日志，发送告警信息给console、发送警告邮件，防火墙互动等，敌手可以利用IDS的响应进行间接攻击，使入侵日志迅速增加，塞满硬盘；发送大量的警告信息，使管理员无法发现真正的攻击者，并占用大量的cpu资源；发送大量的告警邮件，并占用接收警告邮件服务器的系统资源；发送虚假的警告信息，使防火墙错误配置，如攻击者假冒大量不同的IP进行模拟攻击，而入侵检测系统系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，造成一些正常的IP无法访问等。

（6）自身的安全问题。入侵检测系统本身也往往存在安全漏洞。因为IDS是安装在一定的操作系统之上，操作系统本身存在漏洞或IDS自身防御力差，就可能受到smurf、synflood等攻击。此类攻击很有可能造成IDS的探测器丢包、失效或不能正常工作。

（7）存在大量的误报和漏报。采用当前的技术及模型，完美的入侵检测系统无法实现。这种现象存在的主要原因是：入侵检测系统必须清楚的了解所有操作系统网络协议的运作情况，甚至细节，才能准确的进行分析。而不同操作系统之间，甚至同一操作系统的不同版本之间对协议处理的细节均有所不同。而力求全面则必然违背入侵检测系统高效工作的原则。

3 入侵检测技术的发展方向

今后的入侵检测技术大致可朝下述几个方向发展：

（1）分布式入侵检测：传统的IDS局限于单一的主机或网络架构，对异构系统及大规模的网络检测明显不足，不同的IDS系统之间不能协同工作。为解决这一问题，需要发展分布式入侵检测技术与通用入侵检测架构。第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

（2）应用层入侵检测：许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测如Web之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。

（3）高速网络的入侵检测：在IDS中，截获网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源，因此大部分现有的IDS只有几十兆的检测速度，随着百兆、甚至千兆网络的大量应用，需要研究高速网络的入侵检测。

（4）增加信誉服务：很多基于网络和基于主机的IDS产品最近都增加了信誉服务。这些服务已经在其他类型的安全控制中使用多年。信誉服务能收集域名，IP地址，应用协议，物理位置和计算活动的其他方面信息。然后，IPS系统利用这些信息来确定新的活动是否是是恶意的。此信息对提高确定IPS警报的优先级特别有价值。例如，IPS传感器可以对各类不寻常的活动发出警报，但是这些IP地址之一的其他恶意操作历史记录可能会提升它的分析优先级，因为它可能是有恶意的。

（5）无线IPS的改进：无线IPS技术比其他形式IPS技术都要先进。随着无线技术的发展，无线IPS技术正不断扩大自己的能力。例如，自从IEEE 802.11n传输标准确定后，大多数无线IPS技术已经增加了对此标准的支持。

（6）虚拟环境中IPS的应用：云计算的兴起带来了对云安全技术的特性需求。值得庆幸的是，hypervisor（虚拟机管理器）是监控一个虚拟实例和不同虚拟实例间网络行为的好地方，更知名的叫法师内部检测。一些hypervisor主动提供自己的入侵检测技术，另外一些hypervisor可以把内部检测收集而来的信息传递到外部安全的控件，例如，标准的基于主机的IPS来检测和发出警报。企业要确保当一个虚拟实例从一个云服务器移到另一个时，其安全策略也一并被转移。

［1］郑敬华.NIDS模型中检测引擎模块的设计与实现[J].信息通信,2011（05）.

［2］李志东.基于融合决策的网络安全态势感知技术研究[D].哈尔滨工程大学,2012.

［3］左澄真,方敏.进化模糊分类识别在IDS中的应用[J].计算机工程,2005（23）.

［4］孔靓,贾美娟,李梓.网络安全关键技术研究[J].信息技术，2012（04）.