麦丞程

摘要：随着社会信息化程度的不断加深，网络空间安全的重要性日益突出。作为保障网络空间安全的重要组成部分，入侵检测技术处于不断的发展与创新之中。该文对入侵检测系统和相关技术的发展进行了综述，对比分析了各种入侵检测系统的特点，介绍了两种经典的入侵检测模型。在此基础上，提出了一种混合型入侵检测模型，并对入侵检测技术与系统的发展进行了展望。

关键词：网络空间安全；入侵检测；模型；分类；综述

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）18-0029-02

1.概述

随着“互联网+”概念的提出，社会信息化程度逐步加深，越来越多的传统行业开始与互联网应用相结合，推出了许多更便捷、经济、全面的优质服务。同时，消费者的消费行为也发生着质的改变，由实体货币支付开始向虚拟货币、移动支付等电子货币支付的方向转移。电子商务，电子银行和电子支付的兴起在提升消费者购物体验的同时，其安全性也受到了严峻的挑战和深度的关切。

近年来有关网络空间安全的事件屡见不鲜。2013年的“棱镜”事件开始让众多互联网用户感受到了来自网络空间的安全威胁。自2007年起，美国国家安全局（National Security Agencv，NSA）和联邦调查局（Federal Bureau 0fInvestigation，FBI）启动了一项代号“棱镜”（PRISM）的电子监控项目，在长达6年的时间内，悄无声息地对全球大量的企业、学校、政府等机构的网络服务器进行人侵，包括可以直接进入美国互联网中心服务器进行数据的窃取与收集，入侵其他国家的网络服务器，甚至是终端设备，以进行情报的搜集。2014年1月，国内顶级域名服务器遭到入侵，服务出现异常，导致大面积的DNS解析故障。由此而引发的网页无法打开或是浏览网页异常卡顿现象持续了数小时，对广大互联网用户造成了巨大的不便与损失。2014年3月，携程公司被爆出存在安全支付日志漏洞事件。安全人员发现入侵者可以通过下载携程公司的支付日志，从而获取用户的敏感信息，包括用户姓名、银行卡账号等。2014年4月，Heartbleed漏洞被曝光。目前，大多数网银，移动支付等在线支付活动都是采用SSL（Secure Sockets Layer安全套接层）技术进行加密，以保证数据安全。而这一技术则是依靠OpenSSL开发套件得以实现的。因此，OpenSSL上存在的Heartbleed漏洞能够使得网络人侵者窃取用户内存中的敏感数据，包括用户账号、密码等。

为了解决网络入侵行为所导致的数据泄密、服务终止等问题，入侵检测技术与配套系统开始应用在互联网之中。随着网络攻防技术向复杂化、持续化、高威胁化等方向的转变，人侵检测技术也处于不断的发展与创新之中。

2.起源及分类

1980年，Anderson等人首先提出了“计算机安全威胁监控与监视”的概念。作为“人侵检测”概念的前身，Anderson将“安全威胁”定位为“未经授权的用户蓄意地访问、操纵信息，使得系统不可靠或不可用”；将用户分为：合法用户、假冒用户和秘密用户。在其提出的入侵检测框架中，检测对象包括：用户、审计记录、会话记录、应用程序和文件。其目的是提升用户计算机系统的安全审计与监控能力。1985年，Denninff～等人提出了首个人侵检测专家系统（Intrusion Detection Expert System，IDES）的模型和算法，采用基于朴素贝叶斯和决策树的方法对主机上的日志文件和访问信息进行审计和分析，发现其中的异常行，从而进行人侵者识别与防御。文献提出的概念及其模型都是基于主机的入侵检测系统，即人侵检测系统部署在主机上，通常是针对系统的运行日志、文件系统和访问者进行审计和监控。随着互联网技术的发展，针对网络流量分析的入侵检测系统的研究开始受到关注。1990年，HeberleintSl首次提出了一个基于网络的入侵检测系统。基于网络的入侵检测系统可以利用硬件或软件对网络数据包进行采集、监听、分析和监控，发现潜在入侵者。这类系统大多部署在服务器上或是与防火墙一起协同工作。在入侵检测效果方面，基于主机和网络的入侵检测系统拥有各自的技术优、缺点，如表1所示。

为了充分利用这上述两种类型的入侵检测系统的优势，分布式入侵检测系统随后也被许多研究者提出。采用分布式结构的人侵检测系统可以同时收集来自本地主机和网络中的日志记录、访问记录等数据，并将这些数据进行统一的存储、分析和处理。该结构具有平台独立性、可扩展性和灵活性等特点，对于被保护的系统能够提供更全面的保护。因此，这种类型的人侵检测系统得到了广泛的应用。

3.入侵检测模型

文献提出了一个基于主机的通用型入侵检测系统模型。该系统由用户、资源、审计记录、行为特征、异常记录、行为规则这六部分组成。该模型的系统框架如图1所示。文献针对网络流量分析提出了一个基于网络的入侵检测系统，弥补了基于主机的人侵检测系统在分析网络访问者行为方面的不足。其模型架构如图2所示。

为了充分发挥上述两种入侵检测系统的优势，本文提出了一种混合型入侵检测系统模型。该模型能够分别对主机和网络中的数据进行分析，扩大了传统人侵检测系统的覆盖范围，提升了系统的可扩展性与部署的灵活性。该系统的模型架构如下图3所示。

该系统模型由三部分组成，分别为网络部分、本地目标主机部分和入侵检测分析引擎部分。在网络部分，通过传感器采集网络数据包，并将采集到的数据上传到入侵检测分析引擎部分。在本地目标主机部分，利用本地代理Agent作为采集数据的传感器将本地主机的行为与系统数据上传到人侵检测分析引擎部分。在分析引擎模块，将来自网络和本地主机的数据统一格式化后存储在审计记录库中，将这些数据特征化之后提取其中的行为模式存人到行为模式库中，再从行为模式库中提起这些行为向量与入侵模式库中的入侵行为进行匹配；如果匹配结果为异常行为，则记录该异常，并更新人侵模式库；如果匹配结果为合法行为，则记录该行为，更新行为模式库。

4.今后方向与展望

综合上述的分析，本文试对人侵检测系统的发展方向进行如下展望：

1）在大数据时代背景下，入侵检测技术与系统需要具备能够实时采集、处理、分析和展示来自终端设备与网络的海量、多种类型的异构数据。为了提升入侵检测系统实时处理大数据的能力，基于云计算的分布式入侵检测系统的研发显得尤为必要。此外，为了直观、高效的展示当前的安全态势，数据可视化技术也应该被应用于人侵检测系统中，进一步扩展安全情报的理解、交流与分享能力，及时地向大众预警新型的安全威胁案例。

2）入侵检测技术与系统的部署平台还存在局限性。在移动互联网时代，诸如智能手机、智能手表、平板电脑等智能移动终端得到了普及，尤其是电子商务的兴起增加了大众对于基于移动终端的入侵检测与防御系统的迫切需求。但是，当前大多数的人侵检测系统都是部署在PC机或是网络服务器之上，而且其运行时需要占用大量的系统资源。如何能够提高人侵检测算法的效率，小型化入侵检测系统，使之能够适合部署于移动智能终端是今后入侵检测技术和系统发展的方向之一。

3）随着社交网络的蓬勃发展，来自社交媒体的网络入侵威胁正在加剧。由于这种入侵行为利用合法用户的好友身份作为掩护，具有极强的隐蔽性与欺骗性，导致传统的基于异常检测与误用检测的入侵检测算法与模型显得无能为力。因此，设计并实现适用于社交网络的人侵检测技术与系统也是未来的发展方向之一。

5.结束语

入侵检测技术作为互联网时代维护网络空间安全的一种重要工具与方法，是防范敏感数据泄露、拒止恶意人侵与攻击行为、保障企业、学校、政府和个人信息安全的有效手段。随着网络空间安全的重要性与严峻陛的日益突出，越来越多的人开始意识到了安全、可信的网络环境的必要性。各大安全公司正在不断推出新一代的入侵检测设备，其功能越来越强大，检测和防御的范围逐渐扩展，协作性也日益增强。作为一个具有实用价值的研究领域，入侵检测技术及其系统具有重要的研究意义和广阔的应用前景。