钱 琴

(延安职业技术学院，陕西 延安 716000 )

近几年来随着互联网技术的发展进步，使得世界的信息化日新月异，网络上的互动也日益频繁。由于互联网无边界的特性，衍生了许多网络上的问题，其中网络考试的公平性是一直为人所诟病的。由于Internet与宽频网络的普及，再加上网络Lastmile建设已渐趋完美，使得人们对网络的使用率愈来愈高，各种网络应用非常兴盛，若能够设计出一套专属家用型或是小型局域网络内部的网络即时监控机制，并且透过Web－base来呈现，将可以使网络在线考试的管理者不再局限在考场、教室，管理者只需透过网络就可知道学生在校的考试状况，从而达到行动式监控考试。

目前信息产业界有种类繁多的网络认证考试，例如 Microsoft的 MCP、MCSE、MCDBA 等;Sun的SCSA、SCNA、SCJP 等;Cisco的 CCNA、CCNP、CCIE、CCDBA等，皆是通过网络即时出题，即时作答，考完后随即得知成绩，迅速又便捷，可是毕竟仍是使用传统旧式的人工监考方式，加上也无网络监控管理机制，因此，仍旧无法得知考生是否有在网络上作弊的嫌疑。

近年来网络学习是知识经济发展的动力，有了网络之后，通过系统化的规划设计，就可将学习环境虚拟建立在服务器上。学习者只要透过一般的浏览器或阅读器(Reader)，便可以不受时空限制地上线学习，教师也可以随时随地通过在线来编撰教材与教授课程，根据各种在线教学活动，了解学习者的进度与成果。这种方法影响了传统的教学方式，也将成为企业未来培训学习的新典范;然而网络学习的评估方式忽略了在线考试的监控，也因此促成了本研究的重要动机。

1 入侵侦测系统的分析

自从Anderson在1980年提出IDS(Intrusion Detection System，入侵检测系统)入侵侦测系统的技术报告后，入侵侦测系统的研究至今已超过二十年。根据Graham的定义，“入侵行为”意指:“某人(通常被称为Hacker或Cracker)企图潜入或滥用(Misuse)系统”;而“入侵侦测系统”意指:“负责侦测这些入侵行为的系统”。Theuns则定义入侵侦测是使用自动及智慧型的工具，即时侦测入侵者意图。这样的工具称之为入侵侦测系统IDS(Intrusion Detection System)。一般而言，入侵侦测系统就是一种网络安全监测工具，根据分析系统稽核档或网络封包内容，即时侦测出对系统所进行的攻击行为，并回报给系统管理者，加强维护系统的安全［1］。

根据Sobirey［2］所收集整理的IDS 入侵侦测系统共有92种。虽然各式各样的IDS入侵侦测系统不断的因应市场需求而产生，但针对其运作模式Network－based与Host－based分别作如下论述。

1.1 网络型入侵侦测系统

网络型入侵侦测系统(Network－Based IDS)主要是涉及撷取网络中所有封包，然后根据所撷取的封包作分析与侦测的动作;网络型入侵侦测系统以记录并分析网路封包的方式来侦测入侵行为，其主要建置在网路的骨干上。单一的网络型入侵侦测系统便可监听大量的网路资讯。网络型入侵侦测系统通常包含一组监听装置，用于监听记录网路封包并将所侦测到疑似攻击的封包回报到单一独立的管理控制台(Management Console)［3］。大多数的入侵侦测系统是处在隐形模式(Stealth Mode)下运作，所以对攻击者而言，在侦测这些系统的存在以及其所部署的位置是非常困难的。此类的IDS入侵侦测系统有:NSM(Network Security Monitor)、DIDS(Distributed Intrusion Detection System)、NFR(Network Flight Recorder)等等。主要有下列优点:

(1)成本较低。

(2)可侦测到主机式入侵侦测系统侦测不到的攻击行为。

(3)骇客消除入侵证据较为困难。

(4)作业系统独立。

(5)即时监控、即时回应。

(6)恶意企图事先侦测。

由于仅需在局域网络中增设一台监视主机，因此无需更动网络结构中的网络作业系统。但相对的，网络型入侵侦测系统也有其一定的缺点如下:

(1)若网络的型态过大，网络型入侵侦测系统往往会漏失掉许多封包，无法完全监控网络上所有流通的封包数［4］。

(2)若要撷取大型网络上的流量并处理分析，往往需要更有效率的CPU处理速度，以及更大的记忆体空间。

(3)如果封包已经加密，则网络型入侵侦测系统就无法调查其中的内容，可能会错失包含在封包中的某些攻击信息。

(4)对在攻击者直接坐在受害者主机前的攻击行为是无能为力的。

1.2 主机式入侵侦测系统

主机式入侵侦测系统(Host－based IDS)发展始在80年代早期，通常只观察、稽核系统日志档是否有恶意的行为，用以防止类似事件再发生。主要是以本机电脑系统上的稽核资料(Auditdata)为基础所进行的入侵侦测工作，主机式入侵侦测系统主要是靠记录并分析该主机上的各项活动程序以侦测是否有不适当的存取行为。藉由这样的方式来判断该主机上某个特定的处理程序或使用者是否正在进行可疑的攻击行为。这类的IDS入侵侦测系统有:Computer Watch、Discovery、Haystack、IDES(Intrusion－Detection Expert System)、MIDAS(MulticsIntrusion Detection and Alerting System)等等。在WindowsNT/2000的环境下，通常可以根据监测系统、事件及安全日志检视器中所记载的内容来加以过滤、比对，从中发现出可疑的攻击行为;在UNIX环境下，则监督系统日志。当有事件发生时，主机式入侵侦测系统即作入侵行为的比对，若有符合，则由回应模组通知系统管理员，以对攻击行为进行适当的反应。

主机式入侵侦测系统有下列的优点:

(1)确定骇客是否成功入侵。

(2)监测特定主机系统活动。

(3)较适合有加密及网络交换器(Switch)的环境。

(4)不需另外增加硬体设备。

(5)监控系统特定主要软件。

(6)近乎即时监控、即时回应。

然而主机式入侵侦测系统也具有某些功能上的限制:

(1)各种作业系统有各种不同的稽核纪录档，因此必须针对各不同主机、不同版本或完全不同的作业平台安装各种主机式入侵侦测系统。

(2)入侵者可能经由其他系统漏洞入侵系统并得到系统管理者的权限，导致主机式入侵侦测系统失去其效用。

(3)主机式入侵侦测系统可能会因为DoS(Denial of Service)而失去作用。

(4)主机式入侵侦测系统并不能用来作网络的监测与扫描主机所在的整个局域网，因为仅能看到经由该主机所接收到的网络封包资讯。

(5)由于当主机式入侵侦测系统处在监测状态也消耗主机的系统资源，也会影响被监测主机本身的功能。

2 入侵侦测系统的侦测技术

目前入侵侦测系统所使用的侦测技术主要分为两种方式∶不当使用侦测方式(Misuse Detection)及异常使用侦测方式(Anomaly Detection)［5］。不当使用侦测方式目前广泛地被各大入侵侦测系统的厂商所采用;而异常使用侦测方式目前尚在研究阶段，主要为入侵侦测系统研究机构以及少数厂商所采用。

3.1 不当使用侦测方式

不当使用侦测方式又可被称为“特征比对”方式(signature－based)，主要是以比对的方式将所侦测到的可疑攻击行为与系统事先所定义的入侵攻击模式资料库进行分析比对，而入侵攻击模式资料库中则详细定义着各种入侵攻击方式的特征资料(attackpattern/signature)，一旦比对出相似的入侵攻击模式，便将其视为是一种入侵攻击行为。采用此方式的入侵侦测系统必须事先进行设定微调以得到最高的效能及准确的侦测率。

优点:

(1)不当使用侦测方式的入侵侦测系统在侦测攻击行为上非常有效率而且不会产生过多的误判警讯(falsepositive)。

(2)不当使用侦测方式的入侵侦测系统能够快速并可靠地侦测出特定的攻击手法，能有效的帮助资讯安全人员迅速地整理出正确的应对之策。

缺点:

(1)不当使用侦测方式的入侵侦测系统必须经过手动微调设定以侦测各种不同的攻击，因此必须经常不断地更新最新的入侵攻击方式特征资料，以便有效地侦测最新的攻击行为。

(2)大部份不当使用侦测方式的入侵侦测系统刻意地缩小入侵攻击方式特征的定义范围，以避免侦测到不同版本的一般攻击行为。其目的是为了提高侦测的准确率，但却牺牲了侦测的弹性空间。

3.2 异常使用侦测方式

异常使用侦测方式又可被称为“政策比对”方式(policy－based)。异常使用侦测方式的入侵侦测系统以识别不寻常的主机或网路运作行为的方式来侦测是否有攻击行为发生。此种方式以观察攻击行为不同于一般使用状态的相异处来进行侦测。通常需事先建立正常使用状态下的基准线(baseline)，再对网路系统上的各种活动进行比对是否有别于一般正常状态下的使用。很可惜的是因为技术层面上的瓶颈，采用此方式的入侵侦测系统一般来说产生过多的误判警讯，因为一般的使用者行为及网路上的各项活动是非常难掌握的。另外，研究学者强烈地认为「异常使用」侦测方式的入侵侦测系统将有效地提供侦测未知攻击方式的能力，有别于不当使用侦测方式的入侵侦测系统仅能对已知的攻击方式做侦测。

优点:

(1)异常使用侦测方式的入侵侦测系统以侦测不寻常的行为模式的方式，因此不需要经过特定的微调设定即可侦测到各种不同的攻击行为，而且也不需要如不当使用侦测方式一般，需经常性地更新及维护入侵攻击模式资料库。

(2)异常使用侦测方式入侵侦测系统所收集的资讯可以提供给不当使用侦测方式入侵侦测系统用来作各种入侵攻击方式特征的定义。

缺点:

(1)异常使用侦测方式通常会产生大量的错误警讯，主要是因为使用者行为及网路活动之不可预测的天性。

(2)异常使用侦测方式通常需要大量经过筛选的系统事件记录，以便确实地描述一般行为的特征。

3 结束语

由于本研究尚未评估 Snort［6］、EtherReal、Network Security Monitor、Network Flight Recorder 等其它具封包侦测技术的入侵侦测系统，因此，若能以此系统搭配各种封包侦测技术，再统计出最佳执行效率与最低封包遗失率，将可有效提升系统的功能与可信度。

［1］杨忠勇.基于数据挖掘的入侵检测系统的研究［D］.西安:西北工业大学，2007.

［2］M.Sobirey，“Currently 92 Intrusion Detection Systems”，http://www － rnks.informatik.tu － cottbus.de/～ sobirey/ids.html.2001.

［3］黎喜权.无线局域网中入侵检测系统研究［J］.长沙:湖南大学，2006.

［4］张旋.基于无线网络的入侵检测系统研究［C］.武汉:武汉理工大学，2006.

［5］马丽.基于行为的入侵防御系统研究［D］.北京:北京林业大学，2007.

［6］凌晓明.基于Snort的分布式入侵检测系统［J］.济南:山东大学，2006.