-1-
高速网络环境下入侵检测技术的研究
摘 要:在高速网络环境下,目前的网络入侵检测系统主要存在误报、漏报率高、自身性能
难以适应迅速增长的网络流量的需要等缺点。本文首先介绍了入侵检测技术和入侵检测系
统,指出了高速网络环境下入侵检测系统面临的主要挑战,最后展望了入侵检测可能使用的
一些关键技术以及入侵检测技术的未来发展趋势。
关键词:入侵检测;入侵检测系统;模式匹配
中图分类号:TP393
1. 引 言
自网络诞生以来,信息安全的问题就如影随形,黑客入侵、网上经济犯罪、垃圾电子邮
件等都预示着全球信息安全的形势不容乐观。防火墙是抵御入侵的一种重要手段,但它采取
的是静态防御的策略,要求事先设置规则,对于实时攻击或异常行为不能实时反应,无法自
动调整策略设置以阻断正在进行的攻击。入侵检测是对防火墙极其有益的补充,是一个主动
的和重要的网络安全领域。
2. 入侵检测介绍
入侵检测
入侵检测,是对入侵行为的检测,它通过收集和分析计算机网络或计算机系统中若干关
键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检
测的软件与硬件的组合便是入侵检测系统。如果一个系统的计算机或者网络安装了入侵检测
系统,它会监视系统的某些范围,当系统受到攻击的时候,它可以检测出来并做出响应。入
侵检测是对防火墙的合理补充,可以帮助系统对付网络攻击,扩展了系统管理员的安全管理
能力,提高了信息安全结构的完整性[1]。它从计算机网络系统中的若干关键点收集信息,并
分析这些信息,审查网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测技术
入侵检测技术从技术原理的角度主要分为两大类:异常入侵检测(Anomaly Detection,
也称作基于行为的检测)和误用入侵检测(Misuse Detection,也称作基于知识的检测)。
(一)异常入侵检测
异常检测是目前 IDS 的主要研究方向,是指根据非正常行为(系统或用户) 和非正常
使用计算机资源检测出入侵行为,其主要思想是:任何一种入侵行为都会由于其偏离了正常
或者所期望的系统与用户的活动规律而被检测出来。异常入侵检测为所监测的系统建立一个
正常使用情况的数值模型,如 CPU 利用率、内存利用率、文件校验等,任何违反该模型的
事件的发生都被认为是可疑的,即系统运行时的数值与所定义的正常情况的数值有偏差。常
用的方法有:基于统计模型的异常入侵检测、基于神经网络的异常入侵检测、基于免疫系统
的异常入侵检测、基于文件检查异常入侵检测、基于协议认证的异常入侵检测等。
异常入侵检测主要根据非正常行为和计算机资源的非正常使用检测出入侵行为,这就要
求入侵活动是异常活动的子集。建立一个正常行为模型后,使用异常入侵检测技术能够准确
-2-
地检测出一些未知的攻击,但当出现具有入侵性而表现正常的行为和不具有入侵性而表现异
常的行为时,就不可避免地会造成误判或漏检,也就是说,异常入侵检测并不能完全反映出
系统复杂的动态,理论上的正常行为模型难以建立。
(二)误用入侵检测
误用入侵检测是为已知系统和应用软件的弱点建立入侵特征模式库,检测时就将观测到
的用户行为和特征模式进行匹配,如果匹配则用户行为是入侵行为,否则就不是入侵行为。
误用检测主要用来检测已知的攻击类型,判别用户行为特征是否与攻击特征库中的攻击特征
匹配。系统建立在各种已知网络入侵方法和系统缺陷知识的基础之上。常用的方法有:基于
表达式匹配的误用入侵检测、基于状态转移分析的误用入侵检测、基于专家系统的误用入侵
检测、基于击键监控的误用入侵检测、基于批模式分析的误用入侵检测等。
误用入侵检测是根据已知系统或应用程序的漏洞建立入侵特征模型,然后将用户行为与
之进行匹配检查,相同就是入侵。误用入侵检测依赖于已建立的入侵特征模式库,对已知的
攻击有较高的检测准确度,但对新型的攻击或已知攻击的变体却表现出无能为力,误用入侵
检测技术的扩展性和适应性都比较差。
入侵检测系统
一般来说,入侵检测的软件与硬件的组合叫做入侵检测系统(Intrusion Detection System,
简称 IDS)。根据分析数据的来源可以将入侵检测系统分为基于主机的入侵检测系统(Host
based IDS,简称 HIDS)和基于网络的入侵检测系统(Network based IDS,简称 NIDS。从
对数据源的分析策略上,又可以分为基于异常发现(Anomaly based)的入侵检测系统和基
于模式匹配(Signature based)的入侵检测系统两种。近年来,入侵检测技术得到了快速发
展,有一些技术比较成熟的产品,国外主要有 ISS公司(Real Secure)、Axent 公司(ITA、
ESM)等,国内有启明星辰公司的入侵决策系统等。
3. 高速网络环境下的入侵检测技术
高速网络中入侵检测的缺点
在高速交换网络中,随着网络规模的扩大,带宽的增长,技术的进步和用户数量的急剧
增多,现有IDS的数据处理速度受到极大挑战。主要体现在下面几个方面:
(一)不断增大的网络流量使计算速度不能满足计算量的需求
用户往往要求入侵检测系统尽可能快的报警, 因此需要对获得的数据进行实时的分析,
这导致对所在系统的要求越来越高,商业产品一般都建议采用当前最好的硬件环境。尽管如
此,对百兆以上的流量,现有的入侵检测系统仍很难应付。以模式匹配方法为例,支撑这一
方法所需要的计算量是非常惊人的。对一个满负荷的 100M以太网而言,所需要的计算量将
是一个庞大的数字。同时,模式匹配算法计算所耗费的时间所占比重也相当大。根据数据统
计,在应用最广泛的入侵检测系统 snort 中处理 20 万个 web 访问数据包时,模式串匹配时
间占到 snort全部运行时间的 %。庞大的计算负荷, 使得当今市场上没有基于模式匹配
的网络入侵检测系统可以跟进到百兆以太网领域。基于模式匹配的网络入侵检测系统在一个
满负荷的 100M以太网上,将不得不丢弃 30%~75%的数据。某些系统即使在利用率只有 20%
的以太网上也会漏掉某些攻击。黑客了解这一弱点并利用它,在目标网络上产生大量数据,
使被攻击的以太网被数据所淹没,以此来使自己的攻击被遗漏,躲过 NIDS的检测。可以想
见,随着网络带宽的增加,对入侵检测系统将提出更大的挑战。
-3-
(二)误报和漏报
误报和漏报产生的原因主要有:
基于特征匹配的检测方式随着规则增多性能下降。目前实际应用的入侵检测系统通常是
基于特征逐条匹配的检测方式,即通过已知攻击方式预先设定入侵规则,已构建规则特征库。
基本流程是捕获数据包、数据包解析、入侵特征匹配,然而随着数据流量的增大、攻击方式
的复杂多样化,不得不增多入侵规则条目而使系统的处理负荷线性增加,结果是对一些攻击
行为不能及时识别做出响应,漏报问题显著。
随着网络规模的扩大以及异构平台和不同技术的采用,尤其是网络带宽的迅速增长,
IDS的分析处理速度越来越难跟得上网络流量,从而造成数据包丢失。
网络攻击方法越来越多,攻击技术及其技巧性日趋复杂,也加重了 IDS 的误报、漏报
现象。
高速网络环境下入侵检测使用的关键技术
为满足高速网络环境的要求,现有的入侵检测系统需要在数据接收和检测方面采用更高
效的技术来提高自己的性能。如今,现有入侵检测系统主要采用的技术主要有:
(一)零拷贝技术
零拷贝基本思想是数据报从网络设备到用户程序空间传递的过程中,减少数据拷贝次
数,减少系统调用,实现CPU零参与,彻底消除CPU在这方面的负载。实现零拷贝用到的最
主要技术是DMA数据传输技术和内存区域映射技术[2]。
传统数据处理与零拷贝技术之比较传统的网络数据报处理,需要经过网络设备到操作系
统内存空间,系统内存空间到用户应用程序空间这两次拷贝,同时还需要经历用户向系统发
出的系统调用。而零拷贝技术则首先利用DMA技术将网络数据报直接传递到系统内核预先
分配的地址空间中,避免CPU的参与;同时,将系统内核中存储数据报的内存区域映射到检
测程序的应用程序空间(还有一种方式是在用户空间建立缓存,并将其映射到内核空间,类
似于Linux系统下的kiobuf技术),检测程序直接对这块内存进行访问,从而减少了系统内核
向用户空间的内存拷贝,同时减少了系统调用的开销,实现了真正的“零拷贝”。
(二)高速模式匹配技术
入侵检测根据采用的分析技术可分为误用检测和异常检测。误用检测根据已知的攻击方
法,预先定义入侵模式,通过判断这些模式是否出现来完成检测任务。异常检测是根据用户
的行为或资源的使用状况的正常程度来判断是否属于入侵。由于异常检测的误检率和漏检率
高,因此目前大多数入侵检测系统产品均属误用检测。误用检测中使用的检测技术主要有:
模式匹配[3]、专家系统、状态转移等,而因为模式匹配原理简单、可扩展性好而最为常用,
例如著名开放源码的入侵检测系统 Snort就是基于模式匹配,模式匹配算法的性能直接影响
入侵检测系统的检测效率。
在入侵检测的处理关键点采用高速模式匹配技术,目的是提高模式匹配效率,进而提高
整个系统的处理效率,它主要包括多模式匹配技术和多模式规则构建技术。
传统入侵检测技术中常用的模式匹配算法是单模式匹配算法,它针对某一条字符的匹配
效率是非常高的,但是入侵检测系统对一个数据报需要匹配几十条甚至几百条的特征,而单
模式匹配算法一次只能比较一条字符串,因此,如果能找到一种算法能同时匹配多条特征,
那么将大大提高模式匹配的效率。在当前的规则集中,很多模式串具有共同的字符前缀,单
模式匹配算法是高效的,但它没有充分利用到许多模式串之间的这一相似性。多模式匹配算
-4-
法通过把多条规则按最大相同前缀方式组织成一棵树,这使得可以同时匹配多条规则。这样,
它可以高效地同时在多个模式串中查找是否包含某一字符串,并且能够做到匹配效率和规则
数量的无关性,甚至规则越多,效率越高。
4. 入侵检测技术的发展趋势
为了应付不断发展的入侵手段, 人们在完善原有技术的基础上, 又在研究新的检测方法,
如数据融合技术, 主动的自主代理方法, 智能技术以及免疫学原理的应用等, 主要发展方向
可概括为:
高速网络的实时入侵检测技术
大量高速网络技术如 ATM、千兆以太网、G 比特光纤网等在近几年不断出现,在此背
景下的各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测已经成为一个现实
的问题。目前,国外市场已经推出了几款基于千兆以太网环境的入侵检测系统产品,但是其
性能指标还远未成熟。这需要考虑 2个方面的问题。首先,入侵检测系统的软件结构和算法
需要重新设计,以适应高速网络的新环境,重点是提高运行速度和效率。开发与设计相适应
的专用硬件结构,加上配合设计的专用软件是解决这方面问题的途径。另一个问题是,随着
高速网络技术的不断进步和成熟,新的高速网络协议的设计也将成为未来的一个发展趋势,
如对 TCP/IP协议的重新设计等。所以,现有的入侵检测系统如何适应和利用未来新的网络
协议结构是一个全新的问题。
大规模分布式入侵检测技术
传统的集中式入侵检测技术的基本模型是在不同网段中放置多个传感器或探测器用来
收集当前网络状态信息,然后这些信息被送到中央控制台进行处理和分析。这种集中式模型
具有几个明显的缺陷。首先,面对大规模的、异构网络基础上发起的复杂攻击行为,中央控
制台的业务负荷将会达到不可承受的地步。这种情况会造成对许多重大消息事件的遗漏,大
大增加漏警概率。其次,由于网络传输的延时问题,这将使基于过时信息做出的判断的可信
度大大降低,同时也使得返回去确认。面对诸多难题,出现一种攻击策略分析(Attack Strategy
Analysis)方法。它采用了分布式智能代理的结构方式,由几个中央智能代理和大量分布的
本地代理组成,其中本地代理负责处理本地事件,而中央代理负责整理分析工作。它强调的
是通过全体智能代理协同工作来分析入侵者的攻击策略,中央代理扮演的是协调者和全局分
析员的角色,但绝不是惟一的事件处理者,这种方法有其明显的优点,但同时又带来了其他
的一些问题,如大量代理的组织和协作问题、相互之间的通讯、处理能力和分析任务的分配
等等。
智能化入侵检测技术
即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法, 常用的有神经网络、
遗传算法、模糊技术、免疫原理[4]等方法, 这些方法常用于入侵特征的辨识与泛化。利用专
家系统来构建入侵检测系统也是常用的方法, 应用智能体的概念来进行入侵检测的尝试也
已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的
检测软件或模块的结合使用。
-5-
数据融合入侵检测技术
目前的 IDS 还存在着很多缺陷。目前实时检测系统在技术上还不具备检测到由受到良
好训练的黑客发起的复杂隐蔽攻击行为的能力。其次,检测的虚假警报问题也是一个令许多
管理员头疼的事情。同时,来自各个渠道的大量泛滥数据、系统消息等常常没有得到很好和
及时的处理,浪费和降低了 IDS 系统的处理能力和检测性能。为解决上述问题,多传感器
数据融合技术提供了一条重要的技术途径。它能够把多个异质分布式传感器处得到的各种数
据和信息综合成为一个统一的处理进程,来评估整个网络环境的安全性能。入侵检测数据融
合技术同样面临着若干挑战,例如开发一种通用的结构化“元语言”,用来描述入侵检测和网
络管理的对象以及对动态网络攻击行为的检测技术,还有将具有强烈数学背景的多传感器数
据融合理论应用到实际 IDS 系统所面临的若干复杂问题等。
5. 总结
本文介绍了入侵检测技术,并给出了高速网络环境下入侵检测技术的缺点和不足,以及
可以采用的关键技术,并在最后展望了入侵检测技术的发展趋势。直到如今,入侵检测技术
的研究依然没有成熟,仍然是一个具有巨大潜力的研究领域。
参考文献
[1] 戴英侠.系统安全与入侵检测[M].背景:清华大学出版社,2002。
[2] 徐林,张德运,孙钦东,张晓彤.基于 NAPI的数据包捕获技术研究[J] .计算机工程与应用,2004
[3] 邓庆锋.模式匹配在入侵检测系统中的应用[D].杭州:浙江大学,2006。
[4] 程海蓉.入侵检测系统的研究与展望[J].计算机辅助工程,2001,(4):30-38
The Research of Intrusion Detection Technology In The
Environment of High-speed Network
Wang Ziqiang
College of Information and Telecommunication Engineering, Beijing University of Posts and
Telecommunications, Beijing (100876)
Abstract
In the environment of high-speed networks, the current network intrusion detection system tends to
have a high rate of false or miss report and its own performance is difficult to adapt to the rapid growth
of network traffic. This paper introduce the intrusion detection technology and intrusion detection
system and point out main challenges of intrusion detection system off the high-speed network
environment and finally look forward to the key technologies of intrusion detection system, as well as
the future of intrusion detection technology.
Keywords: Intrusion Detection; Intrusion Detection System; Pattern Matching
CLC number: TP393
