基于动态网络安全模型的入侵检测系统的研究

第２６卷　２００６年６月　文章编号：１００１—９０８１（２００６）０６Ｚ一０１６０—０２　计算机应用　Ｃｏｍｐｕｔｅｒ　Ａｐｐｌｉｃａｔｉｏｎｓ　Ｖｏ１．２６　Ｊｕｎｅ　２００６　基于动态网络安全模型的入侵检测系统的研究　郑关胜，李含光　（南京信息工程大学计算机科学与技术系，江苏南京２１００４４）　（ｚｇｓ＠ｎｕｉｓｔ．ｅｄｕ．ｃｎ）　摘要：介绍了一种基于主动防御的动态网络安全模型中入侵检测系统的设计模型，它兼有了主　机型和网络型的入侵检测系统的设计思想，具有相应的灵活性。　关键词：动态网络安全模型；入侵检测；系统模型　中图分类号：ＴＰ３９３．０８　文献标识码：Ａ　在动态网络安全模型中，网络系统安全策略是网络安全　的基础，综合地运用安全操作系统、防火墙、认证、加密技术等　安全防护措施和手段来保证网络系统的安全性，利用人侵检　测系统、弱点漏洞分析和评估工具对网络的安全状况进行评　０　引言　入侵检测系统（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ，ＩＤＳ）是对攻击　者人侵行为的发觉，它从计算机网络或计算机系统的关键点　收集数据并进行分析，从中发现网络或系统中是否有违反安　全策略的行为和被攻击的对象，主要有基于主机型的和基于　估和分析，实时监控网络事件，尽力保持网络处于相对安全状　态。对网络入侵行为和动态网络弱点漏洞、不正确的系统配　置和使用进行及时响应与更正，并定期对系统重要资源进行　网络型的两种入侵检测系统。主动式动态防御就是指在人侵　检测系统检测到攻击后，根据攻击类型自动选择预定义的响　备份，一旦被攻破立刻就能得到恢复，从而最大限度地减少安　全风险和损失。同时采取主动防御措施，采用人侵诱骗技术　收集人侵信息，跟踪并分析人侵者的入侵方式，及时制定并修　应措施来阻断当前的攻击，防止后续攻击的发生，以及进行攻　击取证和对攻击所造成的破坏进行恢复。　本文介绍了一种基于主动防御的动态网络安全模型提出　了在动态网络安全中人侵检测系统的结构，从而保证动态网　络模型的主动防御能力。该模型能够在网络中探测和发现具　有入侵行为的数据包，对漏报和难以确定是否具备攻击行为　的数据包进行二次检测。从而提高检测的准确性和降低误报　率。　改相应的安全策略，进而设计出更安全、更合理的系统，同时　也能为制裁攻击者提供有利的证据。　在动态网络的安全模型中，能够直接体现出动态性的就　是人浸检测系统，作为网络中主动防御的重要组件，人侵检测　系统必须能够保证安全模型随着不断增加的事件，防御能力　也随着提升。入侵检测系统分为：　１）基于异常的入侵检测系统是通过检测异常行为和计　算机异常使用情况来检测人侵行为。一般有特征选择的异常　检测、贝叶斯推理的异常检测、数据挖掘的异常检测、神经网　络的异常检测、统计的异常检测等方法。　１　动态网络的安全模型　传统的安全模型建立在静态的、基于开环控制的体系下，　对动态的安全威胁、系统的脆弱性缺乏足够的描述和应对措　施，无法完全反映分布式的、动态变化的互联网安全问题。动　态网络安全模型因此应运而生。Ｐ２ＤＲ２Ｃ…模型是一种基于　闭环控制的、基于主动防御的动态网络安全新模型，其结构如　图１。　第５层　系统备份　灾难恢复　第４层　应急与追踪　第３层　入侵检测　Ｈｏｎｅｙｎｅｔ　病毒检测　漏洞扫描　第２层　防火墙　加密技术　认证　第１层　安全策略　图１　Ｐ２ＤＲ　Ｃ模型的体系结构　２）基于误用的人侵检测系统是利用已知系统和应用软　件的脆弱性攻击模式来检测入侵行为。一般有条件概率、模　型误用推理和专家系统的误用人侵检测方法。　人侵检测模型如图２所示　】。　模型用六元组表示为：…　Ｓｅｃｕｒｉｔｙ　（Ｐｏｌｉｃｙ，Ｐｒｏｔｅｃｔｉｏｎ，Ｄｅｔｅｃｔｉｏｎ，Ｒｅｓｐｏｎｓｅ，　更新　更新　图２入侵检测的基本结构　Ｒｅｃｏｖｅｒｙ，Ｃｏｕｎｔｅｒａｔｔａｃｋ）　２基于动态网络安全模型的入侵检测系统　２．１基本思想　简称为Ｐ２ＤＲ　Ｃ，即：　安全＝风险分析＋执行策略＋漏洞监测＋　实时响应＋主动对抗＋及时恢复　收稿日期：２００５一ｌｌ一１１：修订日期：２００６一Ｏ１一ｌ３　人侵检测系统是动态网络安全模型中一个非常重要的环　节，是整个模型动态性的体现。能够保证模型随着事件的递　作者简介：郑关胜（１９７１一），男，安徽合肥人，讲师，硕士，主要研究方向：网络安全、８￣主要研究方向：网络信息系统、网络安全．　Ｊｌ；李含光（１９６３一），男，四川简阳人，副教授，　维普资讯 http://www.cqvip.com

６月　增，防御能力也随着提升。　郑关胜等：基于动态网络安全模型的入侵检测系统的研究　点的命令进行工作。其基本功能为：　ｌ６ｌ　人侵检测首先需要从网络中收集信息，然后对收集的数　据进行分析处理。在入侵检测系统中通常需要在计算机网络　环境中的若干不同关键点同时收集网络数据信息，这样不仅　可以扩大人侵检测的范围，而且可以避免单个节点的检测的　不完全性，进而从多个节点协同进行检测，以发现人侵行为。　这也是分布式人侵检测系统的基本出发点。基于上述动态网　络安全模型的人侵检测系统的基本思想是将人侵检测模块安　装于网络中的主动响应节点上，这些主动节点可能是需要重　（１）当发现人侵行为时，先采取主动地回应，并向管理节　点报告；　（２）当发现可疑行为时，向管理节点报告；　（３）当发现可疑行为时，向其他相关检测节点发协同工　作请求，要求安装并启动对某种特征的数据包的检测，并对返　回的信息进行分析；　（４）加载管理节点或其他检测节点发来的请求，进行数　据分析检测并返回检测结果。　点保护的主机，也可能是关键路由节点。　安装于主机的人侵检测模块主要通过对主机的系统调用　的人侵检测分析来发现针对主机的可疑行为，在文献［３］中　阐述了这一领域研究主题。而运行于路由节点上的人侵检测　模块对经过该节点转发的数据报文进行特征分析、模式识别　来发现其中的人侵行为。如何对数据报文进行分类分析，文　献［４］讨论了报文分类的原则和算法。　通常为了防止误报和漏报，这些运行于不同节点上的人　侵检测系统需要协同工作来完成人侵攻击的全局信息提取。　协同工作包括以下两个方面　：　（１）人侵检测模块分布于网络的不同位置，同时收集并　分析相同或不同类型的原始数据，当某个可疑事件发生后有　选择地通知管理节点，而管理节点负责接收、关联及处理多个　检测节点来的不同类型的可疑事件，综合分析后找出人侵行　为并进行报警或完成相应的控制工作；　（２）当某个节点发现可疑行为后，可要求其他相关节点　安装运行特定的程序来启动对特定信息的收集工作，并将收　集到的信息返回该节点，通过综合各节点送来的信息来判断　是否为人侵行为。　当人侵检测系统在检测到安全漏洞和安全事件之后必须　及时做出正确的响应，从而把系统调整到安全状态。从某种　意义上讲，安全问题就是要解决紧急响应和异常处理问题，要　解决好紧急响应问题，首先需要准确的检测结果，在此基础上　制定好相应的紧急方案，以保证网络的正常运转。　２．２入侵检测系统的体系结构　为了提高与其他安全产品之间的互操作性，系统模型以　美国国防高级研究计划署（ＤＡＲＰＡ）和互联网工程任务组　（ＩＥＴＦ）的人侵检测工作组（ＩＤＷＧ）制定的入侵检测系统的通　用模型（ＣＩＤＦ）为基础　Ｊ。我们设计的系统结构如图３所示。　模型采用类似于ＳＮＭＰ的网络管理模型，整个系统由管理节　点和检测节点组成。其中，管理节点可以是一个分离的设备，　也可以利用共享系统实现，它是网络管理员与整个人侵检测　系统的人机交互接口。它的基本功能为：　（１）为网络管理员提供监控网络的接口；　（２）当某个检测节点报告人侵行为时产生相应的响应；　（３）对各检测节点主动或被动送来的检测数据进行汇　总、分析并产生相应的响应；　（４）向各检测节点分发相应指令，以完成对人侵行动的　响应或加载新的检测程序。　检测节点必须是可进行检测规则更新的节点，同是也是　网络中需要重点保护的对象。这些检测节点不仅可以自主地　完成对信息的收集工作，还可以协同其他检测节点或管理节　图３基于动态网络安全模型的人侵检测系统的模型　２．３系统的结构流程　在动态网络安全模型中，人侵检测系统的检测流程如图　４所示。数据采集部件从主机及网络上收集需要的数据，并　产生标准格式的事件送给本节点上的事件分析部件。事件分　析部件对本节点事件产生部件产生的事件进行记录，并对其　使用模式匹配等技术进行综合分析。对于可确定的人侵行为　送告警信息给本节点的响应部件；对无法确定性质的异常行　为，则转化为事件信息，进行记录并通知管理节点的管理决策　部件。管理决策部件综合其他检测节点送来的异常事件后，　如果能确定为人侵行为，则送告警信息给响应部件；对仍然不　能定性的异常行为，一方面可提交给网络管理员进行人工判　断，另一方面可发送包含特定检测代码的主动包给相关节点，　要求进行有针对性的信息检测工作，以确定是否为人侵行为。　图４人侵检测系统的检测流程　２．４系统的实现　系统的原型使用美国麻省理工学院（ＭＩＴ）提出的一个基　于Ｊａｖａ的主动网原型系统ＡＮＴＳ来构造主动网络的运行环　境。该原型已经完成了主动网络的认证、授权、加／解密等主　要安全问题，这样在完成人侵检测系统时，可以不必担心检测　和管理端数据通信的安全性问题。　（下转第１８５页）　维普资讯 http://www.cqvip.com

６月　原玲：第三代移动通信系统网络规划技术　１８５　采用专用测试仪表进行测试，是仿真用户在室外运动过程中　通话的情况。ＣＱＴ是指采用拨打测试工具（如带有测试功能　的手机）在某一点进行测试，通常在室内或风景点进行这样　的测试。　规划较ＷＣＤＭＡ和ｃｄｍａ２０００系统会有一些差异，主要表现在　容量规划和覆盖规划方面。优秀的网络规划能够减轻网路优　化的工作，在进行实际网络组网时，确保网络规划一步到位。　参考文献：　【１】　ＣＯＩＮＣＨＯＮ　Ｍ，ＳＡＬＯＶＡＡＲＡ　Ａ—Ｐ，ＷＡＧＥＮ　Ｊ－Ｆ．Ｔｈｅ　ｉｍｐａｃｔ　ｏｆ　ｒａｄｉｏ　ｐｒｏｐａｇａｔｉｏｎ　ｐｒｅｄｉｃｔｉｏｎｓ　ｏｎ　ｕｒｂａｎ　ＵＭＴＳ　ｐｌｎｎｉａｎｇ【Ｊ】．Ｂｒｏａｄ—　ｂａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ．２００２．Ａｃｃｅｓｓ，Ｔｒａｎｓｍｉｓｓｉｏｎ，Ｎｅｔｗｏｒｋｉｎｇ．　２００２　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｚｕｒｉｃｈ　Ｓｅｍｉｎａｒ　ｏｎ　１９—２１　Ｆｅｂ．２００２：３２—１—　３２—６．　ＤＴ评估测试包括对城区主要道路的测试和对主要交通　干线（如高速公路、国道及部分省道等）的测试。评估它们的　指标略有不同，评估城区的室外无线网络质量的指标有覆盖　率、接通率、掉话率及话音质量等，评估主要交通干线无线网　络质量的指标有覆盖率、接通率、话音质量及里程掉话比等。　【２】ＤＩＭＩＴＲＩＯＵ　Ｎ．Ｎｅｔｗｏｒｋ　ｐｌｎｎｉｎｇ＆ｒｅｓｏｕｒｃｅ　ｍａａｎａｇｅｍｅｎｔ　ｉｓｓｕｅｓ　ｆｏｒ　ｍｏｂｉｌｅ　ｍｕｌｔｉｍｅｄｉａ　ＣＤＭＡ　ｓｙｓｔｅｍｓ【Ｊ】．Ｖｅｈｉｃｕｌａｒ　Ｔｅｃｈｎｏｌｏｇｙ　Ｃｏｎ—　ｆｃｒｅｎｃｃ，２００４．ＶＴＣ　２００４一Ｓｐｒｉｎｇ．２００４　ＩＥＥＥ　５９ｔｈ．Ｍｉｌｎ，Ｉａｔａｌｙ：　２　结语　在ＣＤＭＡ无线网络规划时，要考虑到系统采用的ＣＤＭＡ　关键技术如功率控制、软切换和更软切换等因素对无线规划　ＩＥＥＥ，Ｍａｙ　２００４，４（４）：２３４１—２３４５．　【３】　彭木根，王文博．ＴＤ—ＳＣＤＭＡ移动通信系统【Ｍ】．北京：机械工　业出版社，２００５．　【４】ＰＥＮＧ　ＭＧ，ＨＵＡＮＧ　Ｂ，ＷＡＮＧ　ＷＢ．Ｉｎｖｅｓｔｉｇａｔｉｏｎ　ｏｆ　ＴＤＤ　ａｎｄ　ＦＤＤ　ＣＤＭＡ　ｃｏｅｘｉｓｔｅｎｃｅ　ｉｎ　ｔｈｅ　ｍａｃｒｏ　ｅｎｖｉｒｏｎｍｅｎｔ　ｅｍｐｌｏｙｉｎｇ　ｓｍａｒｔ　产生的影响。由于３Ｇ系统引入了多种数据业务，多业务环　境，因此系统规划更具难度。ＣＤＭＡ系统无线网络规划是要　在容量、覆盖、服务质量三者间寻求平衡点，而三者又是动态　变化的，因而更富挑战性。　网络规划的最终目标是要为运营商提供一套可盈利的网　ｎｔａｅｎｎａ　ｔｅｃｈｎｉｑｕｅｓ【Ｊ】．５ｔｈ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｓｙｍｐｏｓｉｕｍ　ｏｎ　Ｍｕｌｔｉ—Ｄｉ—　ｍｅｎｓｉｏｎａｌ　Ｍｏｂｉｌｅ　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　Ｐｒｏｃｅｅｄｉｎｇｓ．Ｂｅｉｊｉｎｇ，Ｃｈｉｎａ：　ｈｅ　２００４　ＪｏｉＴｎｔ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｆ　ｔｈｅ　１０ｔｈ　Ａｓｉａ—Ｐａｃｉｉｃ　Ｃｏｎｆｆｅｒｅｎｃｅ，　络，要求综合成本最低，即在确保上述精品网络覆盖、金牌服　务品种的基础上，达到综合的规划成本、建设成本、运维成本　最低。　２００４，１（１）：４３—４７．　【５】　ＢＥＲＲＵＴＯ　Ｅ，ＧＵＤＭＵＮＤＳＯＮ　Ｍ，ＭＥＮＯＬＡＳＣＩＮＯ　Ｒ，ｅｔ　ａ１．Ｒｅ．　ｓｅａｒｃｈ　ａｃｔｉｖｉｔｉｅｓ　ｏｎ　ＵＭＴＳ　ｒａｄｉｏ　ｉｎｔｅｒｆａｃｅ，ｎｅｔｗｏｒｋ　ａｒｃｈｉｔｅｃｔｕｒｅｓ，　需要注意的是，由于ＴＤ—ＳＣＤＭＡ采用了时分复用，多用户　检测，上行时间同步和智能天线技术多先进技术，所以其网络　ａｎｄ　ｐｌｎｎｉａｎｇ【Ｊ】．Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　Ｍａｇａｚｉｎｅ，ＩＥＥＥ　Ｆｅｂ，１９９８３６　（Ｉｓｓｕｅ　２）：８２．　（上接第１６１页）　入侵检测的后端系统采用Ｓｎｏｒｔ。Ｓｎｏｒｔ系统具有规则过　滤分析和记录ＩＰ网络数据包日志的能力。能够快速地根据　相应规则检测网络出攻击，并能及时地提供形式多样的报警　机制。如ｓｙｓｌｏｇ，用户指定的文件，一个ＵＮＩＸ套接字，还可以　使用ＳＡＭＢＡ协议向Ｗｉｎｄｏｗｓ客户程序发出ＷｉｎＰｏｐｕｐ消息。　议表示事件信息、分析结果和相关的指令。　３　结语　入侵检测作为一种积极主动的安全防护技术，提供了对　内部攻击、外部攻击和误操作的实时保护，在网络系统受到危　也可以利用ＸＭＬ封装日志，以便传送并作进一步的分析。在　设计的系统中我们将Ｓｎｏｒｔ日志保存在ＭｙＳＱＬ数据库中，以　害之前拦截和响应入侵。本文提出的基于动态网络安全模型　中的入侵检测系统框架，从网络安全立体纵深、多层次结构的　入侵检测系统的角度出发，为人侵检测提出了一个新的解决　方法，为网络安全增加了一道强有力的保障。　参考文献：　【１】　李家春，李之棠．动态网络安全模型的研究【Ｊ】．华中科技大学　学报（自然科学版），２００３，（３）：４０—４２．　【２】ＤＥＮＮＩＮＧ　Ｄ．Ａｎ　ｉｎｔｒｕｓｉｏｎ－ｄｅｔｅｃｔｉｏｎ　ｍｏｄｅｌ［Ｊ】．ＩＥＥＥ　Ｔｒａｎｓａｃｔｉｏｎｓ　ｏｎ　Ｓｏｆｔｗａｒｅ　Ｅｎｇｉｎｅｅｒｉｎｇ，１９８７，１３（２）：２２２—２３２．　便集中分析和管理系统。　该系统的前端，管理决策端采用Ｊａｖａ作为开发语言。由　于Ｊａｖａ本身的移动性和网路特性和安全性，使其在动态网络　环境中发挥了巨大的作用。　２．５后续工作　我们设计的入侵检测系统结构，经验证可以正常工作，可　是要开发一个实际的入侵检测系统还有很多工作需要进一步　研究和实现，主要体现在如下几个方面：　（１）由于网络结构的日趋复杂，规模的日趋庞大，以及入　【３】ＹＡＳＩＮ　ＭＭ．Ａ　Ｓｔｕｄｙ　ｏｆ　Ｈｏｓｔ—Ｂａｓｅｄ　ＩＤＳ　ｕｓｉｎｇ　Ｓｙｓｔｅｍ　Ｃａｌｌｓ［ｚ】．０—　７８０３－８３２５－７／０４／２００４．ＩＥＥＥ，２００４．　侵手段的日趋多样化，入侵检测系统对事件的检测仅仅只关　注ＩＤＳ所检测到的开始事件，而忽略了隐藏在这些事件背后　的逻辑联系和攻击意图。对于事件的关联度的分析和判断需　【４】　田立勤，林闯．报文分类技术的研究及其应用【Ｊ】．计算机研究　与发展，２００３，（６）：７６５—７７５．　【５】　ＪＵＤＤ　ＪＤ，ＭＣＥＡＣＨＥＮ　ＪＣ．Ａｎ　Ａｒｃｈｉｔｅｃｔｕｒｅ　ｆｏｒ　Ｎｅｔｗｏｒｋ　Ｓｔｒｅａｍ　Ｓｐｌｉｔｔｉｎｇ　ｉｎ　Ｓｕｐｐｏｒｔ　ｏｆ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ［ｈｉ．ＩＥＥＥ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｉｎｆｏｒｍａｔｉｏｎ，Ｃｏｍｐｕｔｅｒｓ，ａｎｄ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｉｎｇ［Ｃ】，　２ｏｏ３．　要进一步加强，以提高入侵检测系统的分析能力，提高检测的　效率；　（２）数据采集的分布性和协同性需要进一步完善，充分　利用了整个网络的计算资源。提高入侵检测系统间协作的可　靠性；　（３）从理论上说各检测节点是相互独立的，不同的　ｓｅｎｓｏｒ之间必须解决相互之间的信息共享问题，如使用ＣＩＤＦ　［６１　陈妍，李增智，廖志刚，等．一种基于主动网络的入侵检测系统　ＡＮＩＤＳ［Ｊ］．计算机工程，２００５，（２）：１３３—１３５．　【７】ＢＡＩ　ＹＢ，ＫＯＢＡＹＳＨＩ　Ｈ．Ｉｎｓｔｒｕｃｔｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍｓ　Ｔｅｃｈｎｏｌｏｇｙ　ｎｄ　ＤｅｖｅＩｏｐｍｅｎｔａ［ｈｉ．Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　ｔｈｅ　１７’ｔｈ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒ－　ｅｎｃｅ　ｏｎ　Ａｄｖａｎｃｅｄ　Ｉｆｏｒｎｍａｔｉｏｎ　Ｎｅｔｗｏｒｋｉｎｇ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ　定义的公共入侵标准语言（ＣＩＳＬ），使得各ＩＤＳ使用统一的协　（ＡＩＮＡ＇０３）【Ｃ】．ＩＥＥＥ，Ｃｏｍｐｕｔｅｒ　Ｓｏｃｉｅｔｙ，２００３．