2023年7月8日发(作者：)

入侵检测面临的挑战及对策

吴礼发

摘 要 近几年来，入侵检测作为一种重要的网络安全技术，发展非常迅速。但是，网络技术和网络攻击技术的发展也给入侵检测带来了诸多挑战。本文首先简要介绍了入侵检测的基本原理和技术，然后从多个角度重点分析了目前入侵检测所面临的挑战，以及相应的应对策略。

关键字 入侵检测，入侵检测系统，网络安全

1 概述

近几年来，随着Internet的高速发展和日益普及，网络入侵事件迅速增长，网络安全越来越受到人们的重视。作为一种重要的网络安全手段，入侵检测(ID: Intrusion Detection)得到了快速的发展。

入侵检测是指通过从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统(IDS: Intrusion

Detection System)被认为是防火墙之后的第二道安全闸门，从而提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

尽管入侵检测技术发展很快，但面临着一些问题。本文首先简要介绍了入侵检测的基本原理和技术，然后从多个角度重点分析了入侵检测所面临的这些问题，并探讨了相应的对策。

2 入侵检测

目前，主要有两类IDS：基于主机的和基于网络的。基于主机的IDS主要从受保护主机上收集信息，从而发现入侵证据。此类系统一般主要使用操作系统的审计、跟踪日志作为输入，某些系统也会主动与主机系统进行交互以获得不存在于系统日志中的信息。其所收集的信息集中在系统调用和应用层审计上，试图从日志判断滥用和入侵事件的线索。基于网络的IDS主要是从网络中的关键网段收集网络分组信息，并对流量进行分析以提取其特征模式，再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。它能在不影响网络性能的情况下对网络进行监测，发现入侵事件并作出响应。由于每一种IDS均有其局限性，因此，综合两者优点的综合入侵检测系统得到快速发展。混合分布式入侵检测系统可以从不同的主机系统、网络部件和通过网络监听方式收集数据，这些系统综合利用网络数据和来自主机系统中的审计信息来发现入侵行为。

入侵检测方法主要分为两大类：基于异常(anomaly-based)的入侵检测与基于特征(signature-based)的入侵检测两类。异常入侵检测系统记录用户在系统上的活动，并且根据这些记录创建活动的统计报告。如果报告表明它与正常用户的行为有明显的不同，那么检测系统就会将这种活动视为入侵。显而易见，当入侵集合与异常活动集合存在相交情况时，一定会存在“漏报(false-negative)”和“误报(false positive)”问题。为了使“漏报”和“误报”的概率较为符合实际需要，这类系统的主要问题是选择一个区分异常事件的“阈值”。而调整和更新某些系统特征度量值的方法非常复杂，开销巨大。

特征入侵检测(也称为误用入侵检测)是事先对已知的入侵方式进行定义(即定义入侵方式的特征)，并且将这些方式写进系统中。然后，将网络上检测到的攻击与系统定义的已知入侵特征进行对比，如果两者相同，则认为发生了入侵。基于特征的入侵检测系统是建立在使用某种模式或者特征描述方法能够对任何已知攻击进行表达这一理论基础上的。并且，它不适合检测一些未知特征的攻击。

一般来说，入侵检测系统由三部分构成：传感器(sensor)，分析器(analyzer)和用户接口(user interface)。传感器，也称为探测引擎(engine)，它的作用是收集数据。它所收集的数据中包含入侵的信息或证据。分析器接收一个或多个传感器送来的数据，并根据这些信息判断是否有入侵事件发生。用户接口的主要功能是使得用户查看系统的输出或控制系统的行为。在某些系统中，用户接口相当于“管理者”(manager 或 director)、“控制台”(console)。

3 入侵检测面临的挑战和对策

3.1网络攻击带来的挑战

近几年来，网络安全技术发展迅速。但是，网络攻击事件却呈快速增长趋势。一个很重要的原因是网络攻击技术在以更快的速度发展。攻击者在不断地提高他们攻击网络系统的能力，变换攻击模式和攻击工具。攻击工具提供的攻击方式也越来越复杂，向高度的自动化、复杂化和分布式方向发展。而入侵检测技术的发展跟不上攻击能力提高的步伐。

3.1.1 攻击工具的自动化

网络攻击从最初的手工发起和实施已发展到高度的自动化攻击。一般来说，攻击者实施自动化攻击主要包括四个步骤：扫描攻击目标；攻陷目标；利用攻陷的目标发起新一轮的攻击；协调管理所发起的所有攻击。自动化、分布式攻击工具的出现使得上述每一个步骤均可自动完成。例如，大量的分布式拒绝服务(DDOS：Distributed Denial Of Service)攻击工具，著名的红色代码和Nimda病毒等均是自动化程度很高的攻击工具。

3.1.2 攻击工具的复杂化

为了防止攻击被发现和跟踪，攻击工具在下列三个方面作了大量的工作[1]：

(1) 反跟踪。攻击者使用反跟踪技术隐藏攻击工具的特性，使得安全专家更难以发现和防范新的攻击工具。

(2) 动态行为。早期的攻击工具一般总是以一个固定的动作序列发起攻击。但是，现在的自动化攻击工具却能不断地变换攻击模式和行为。例如，它们可以采用随机选择、预定义的攻击路径或通过入侵者直接控制等方式来实施攻击。

(3) 攻击工具的模块化。早期的攻击工具一般只能进行某一类攻击。而现在，攻击工具的模块化使得只需更换工具的某一部分即可产生一个新的攻击工具，从而使得新的攻击工具层出不穷，甚至以指数速率增长。另外，同一个攻击工具，如使用Java语言编写的攻击工具，可以在多种操作系统平台上运行，这与加快了攻击工具的传播速度和攻击能力。

上述三点对入侵检测系统提出了极大的挑战。例如，很多攻击工具使用IRC或HTTP协议发送数据或命令到被攻击的系统，要区别攻击特征(签名)和正常的网络流量就变得非常困难。

3.1.3 全网攻击

有些攻击行为，从一台主机上的信息看不出什么，但如果从全网范围来看则会发现是严重的网络攻击。例如，一个攻击涉及到多个步骤。假定每个步骤在不同的主机上实现，且被攻击的系统有一个共享的文件系统。当分析其中的一台主机上的信息时不会认为有攻击发生，但是对网络活动的一个更全面的分析就会发现攻击存在。 为了检测上述攻击行为，必须在网络中的若干关键位置放置探测引擎。并且，检测系统必须分析从不同的探测引擎发来的告警，并进行告警关联，从而发现真正的攻击事件。这项技术是入侵检测目前所面临的最具挑战性的技术之一。它使得管理人员对于全网的安全状态有一个更全面的了解。

3.2 系统漏洞的快速发现

根据美国计算机紧急情况反应组(CERT)的统计，软件系统漏洞的数量每年以两倍以上的速度增长[1]。攻击者通过一些自动化的漏洞发现工具可以很快地发现一个软件产品中存在的漏洞。系统管理人员很难及时地下载补丁来弥补，从而给入侵者带来入侵的机会。同时，入侵检测系统的攻击签名的更新速度也难以跟上，导致入侵检测系统不能发现此类攻击事件。

3.3 大规模高速网络所带来的挑战

高速网络和高性能网络结点产生的高速数据流对于入侵检测系统来说是一个极大的挑战。一方面，网络带宽增长很快，100M、1000M以太网已很普遍。在这样的网络速度下，基于网络的入侵检测系统的探测引擎的实时处理变得非常困难，往往是高速网络的分组到达速率超过了探测引擎处理数据包的速度。另一方面，网络结点的运行速度也越来越快，从而能处理更多的数据，产生大量的日志。这对于基于主机的入侵检测系统的实时检测是一个极大的挑战。因此，需要研究更快的入侵检测技术来适应这种情况。

主要有两种办法来实现实时的事件流处理[2]。其一，将输入事件流分成更小的事件流，用不同的入侵探测引擎对其进行实时处理。在这种方式下，如何分解事件流是非常重要的。如果分得不好，则会将入侵证据分割要不同的子事件流中，导致无法检测出存在的攻击行为。第二种方式是在靠近被操作的主机边配置多个探测引擎。但是，如何分布和管理这些探测引擎变得非常困难。例如，对于一些与网络拓扑有关的网络攻击的检测，如基于路由的网络攻击，要求将探测引擎放置在网络中的特殊位置。

还有一些方法，如用并行系统来处理事件流，瘦探测引擎方式或使用基于硬件的探测引擎等。在瘦探测引擎方式中，入侵探测引擎除收集数据之外，只作少量的分析工作，而将大量的分析工作交给高层的分析器来做，以此来提高处理速度。一些基于网络的入侵检测系统将探测引擎放在网卡中实现，以此来实现高速网络环境下的入侵检测。

3.4 入侵检测系统的效率

目前的入侵检测系统存在的一个非常严重的问题是比较高的漏报率(false negative rate)和误报率(false positive rate)。迫切需要研究在误报和漏报之间找到一个平衡点，以减少误报和漏报的概率。

目前，大多数入侵检测系统主要依赖于误用检测技术，这种技术产生较少的误报，但不能检测新的未知攻击。免费软件Snort和商业软件RealSecure是两个比较著名的使用攻击签名来检测入侵的入侵检测系统。由于它们只模型化已知的攻击，开发者必须不断地更新攻击签名集。因此，只有这种途径是远远不够的。我们需要异常检测技术来检测新的攻击，但是这种方式会带来比较高的误报率。综合利用误用检测和异常检测技术是解决这一问题的一个很重要的解决方向。

综合主要体现在两个方面。第一，入侵检测系统既包括基于主机的探测引警，又包括基于网络的探测引警。第二，入侵检测系统的分析系统能够综合分析从多个同类或不同种类的探测引擎接收告警信息，并进行过滤和关联。这是降低误报率和漏报率的一种重要手段。这项技术要求对告警格式和攻击行为的标准化描述。IETF的入侵检测工作组(IDWG)正在进行这方面的标准化工作，标准名称为IDMEF(Intrusion Detection Message Exchange Format)[4]。

3.5 入侵检测系统的防护问题

入侵检测系统本身会受到攻击。一些攻击工具能够侦测到入侵检测系统的存在，然后对其发动攻击。因此，需要研究入侵检测系统的防护技术。例如，某些入侵检测系统中包括一种称为“蜜罐(honeypot)”的组件，其目的是诱使攻击者上当，然后对其跟踪、阻击。

3.6 入侵检测系统的可适应性问题

入侵检测系统的可适应性是指入侵检测系统可根据被保护目标的特点、入侵检测结果等来动态调整检测策略，它是提高入侵检测系统的可配置性、检测效率的一种重要手段。这项技术需要深入研究入侵检测系统策略与目标环境的确定性关系，入侵检测系统策略的动态调整机制和算法以及系统的自学习能力研究，系统日志、安全审计与入侵检测策略的关系等。

4 结束语

除了上述问题外，对恶意的移动代码（如，email附件，Java, ActiveX等）的检测也是一个很具挑战性的问题。入侵检测系统未来的发展主要体现在：将探测引擎嵌入操作系统和网络软件中，将入侵探测引擎作为一个基本配置，以构成一个全网范围内的安全监测基础结构；基于软件的入侵检测系统向软硬结合的入侵检测方向发展，以提高入侵检测系统的处理速度；混合型的入侵检测系统将成为主流。

参考文献

[1] A. Householder, K. Houle, and C. Dougherty. Computer Attack Trends Challenge Intrnet Security. IEEE

Security & Privacy (Supplement to Computer), Apr. 2002, pp. 5-7.

[2] R. A. Kemmerer and G. Vigna. Intrusion Detection: A Brief History and Overview. IEEE Security & Privacy

(Supplement to Computer), Apr. 2002, pp. 27-29.

[3] 吴礼发。网络入侵检测系统的研究。中国电子学会第七届学术年会，北京，Dec.6-8， 2001。

[4] D. Curry and H. Debar. Intrusion Detection Message Exchange Format: Extensible Markup Language (XML)

Document Type Definition. /internet-draft/, Dec. 2001.

作者简介：

吴礼发。男。博士。解放军理工大学指挥自动化学院计算机教研室，副教授。1998年10月在南京大学获计算机软件专业博士学位。主要研究方向为网络管理、网络安全和软件工程。在《中国科学》、《计算机学报》、《软件学报》、《通信学报》、《计算机研究与发展》等核心刊物上发表论文10余篇。

通信地址：南京市标营2号23信箱，邮编：210007。电话：0501-84984(办)。电子邮件：wulifa@