基于集成性协同性的计算机网络入侵检测系统模块研究

摘要：入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。为了提高入侵检测系统的性能，本文将集成性和协同性从而达到优化的思想引入到入侵检测系统的实现中。

关键词：集成性；协同性；计算机网络入侵

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)15-20ppp-0c

Based on the Synergistic Integration of the Computer Network Intrusion Detection System Module Study

HU Rong1, ZHANG Yong2

(1.Guizhou Institute of Finance and Economics Network Center,Guiyang 550004,China;2.Guizhou Institute of Finance and Economics Institute of Information,Guiyang 550004,China)

Abstract:Intrusion Detection as a proactive security protection technology, provides an internal attacks, external attacks and misuse of real-time protection, the network system at risk and respond to intercept before the invasion. In order to improve the performance of intrusion detection system, the paper will be integrated and coordinated to achieve optimal thinking into the intrusion detection system in the realization.

Key words:integrated; Coordinated;Computer network invasion

1 引言

入侵检测系统(Intrusion Detection System，简称IDS)作为一种主动的信息安全保障措施，是对防火墙的必要补充，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。本文在对现有的入侵检测系统进行分析和研究的基础上，在入侵检测系统中立足于方法和机制上的集成性、协同性，从而达到优化的思想引入到入侵检测系统中，也就是基于多种检测方法的入侵检测系统，对不同的检测方法进行优化、集成和协同，从而尽可能的使入侵检测系统保持健壮性、容错性、适应性、可扩展性，使网络系统真正获得较佳的结果。

2 网络入侵检测系统分析模块

协议分析模块主要是针对特定的攻击行为所表现出来的网络特征进行分析的。协议分析利用网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有数据包。采用协议分析技术的 IDS 能够理解不同协议的原理，由此分析这些协议的流量，来寻找可疑的或不正常行为。对每一种协议，分析不仅仅基于协议标准，还基于协议的具体实现，因为很多协议的实现偏离了协议标准。协议分析技术观察并验证所有的流量，当流量不是期望值时，IDS 就发出告警。协议分析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到己知和未知攻击方法。状态协议分析就是在常规协议分析技术的基础上，加入状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为攻击行为包含在多个请求中，此时状态协议分析技术就显得十分必要。

协议分析和状态协议分析技术与模式匹配技术相比，具有如下的优点：①性能提高：协议分析利用己知结构的通信协议，与模式匹配系统中传统的穷举分析方法相比，在处理数据帧和连接时更迅速、有效。②准确性提高：与非智能化的模式匹配相比，协议分析减少了误警和漏警，命令解析和协议解码技术相结合，在命令字符串到达操作系统或应用程序之前，模拟命令字符串便执行，以确定它是否具有恶意。基于状态的分析能做到当协议分析入侵检测系统引擎评估某个数据包时，需要考虑在这之前相关的数据。特别是对于多包（包的序列）的攻击，可以做到较好的检测。下面为协议分析流程：

3 网络入侵检测系统响应模块

响应就是当入侵检测系统检测到入侵行为时所做出的反应动作。入侵检测系统的响应分为主动响应和被动响应两种类型。主动响应时，系统自动地或以用户设置的方式来阻断攻击过程或以其它方式影响攻击过程。它能够阻止正在进行的攻击，使得攻击者不能够继续访问。主动的响应是入侵检测系统在检测到攻击时会对攻击者进行反击。被动响应为用户提供入侵信息，由系统管理员采取适当措施。这种响应是根据紧急程度来向用户提交信息的，虽然实时性较主动响应差，但是它比较安全，而且数据更容易维护。系统设计结合主动响应与被动响应的优点，对于那些模式库中己经存在的较常见的攻击类型，系统根据预先设计的动作，进行主动响应处理，对于通过异常算法检测到的那些模式库中没有存在的攻击，系统将该连接数据保存起来，做进一步处理。

4 模块间的通信

在这个模块中，主要采用多线程技术和进程间的套接字通信机制。模块间的通信原理图如下所示。

日志服务程序其实是起着一个转发的功能，有点类似于“”。日志服务程序与入侵检测模块都设计在sensor上，它们之间采用域套接字进行本地通信。由于日志服务程序与入侵检测模块是本机的两个进程，所以可以不用考虑通信的加密问题。日志服务程序与数据中心之间由于是远程通信，所以采用可靠的面向连接的TCP套接字。如同服务端与管理中心之间的通信，日志服务程序与数据中心之间的通信也需要加密，保护日志、报警等敏感信息不被窃取和篡改，提高系统的安全性。从“模块间的通信原理图”中，可以看出，服务程序既要接收入侵检测模块发出的报警信息，还要将报警信息转送到远程的数据中心，这里将涉及到通信同步的问题。域套接字是本机进程间通信的一种很好的方案，具有速度快的优点。而服务程序与远程数据中心采用TCP套接字进行通信的速度要慢些。所以，必须考虑这个“快慢”的问题，也就是通信的同步问题。采用“报警队列”可解决这个问题。由于这个“报警队列”是个临界资源，接收报警信息和发送报警信息都要访问并操作队列，在设计时采用线程互斥锁解决这个问题。

总之，入侵检测系统是一种重要的安全辅助系统，是PPDR模型的重要组成部分。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测逐渐受到人们的高度重视。

参考文献：

[1] 王文奇.入侵检测与安全防御协同控制研究[D].西北工业大学,2007.

[2] 赵铁山.时间序列模型在入侵检测系统中的应用研究[J].计算机工程与设计,2005(05).

[3] 范荣真.基于信息融合入侵检测技术研究[D].浙江工业大学,2004.

[4] 党瑞,李伟华.入侵检测和蜜罐的联动技术研究[D].西北工业大学,2004.

收稿日期：2008-03-22

作者简介：胡蓉（1981-），女，硕士研究生，助教，主要研究方向：计算机网络安全、数据库技术；张永（1979-），男，硕士研究生，讲师，主要研究方向：管理信息系统、数据库技术及ERP系统。