网络安全之入侵检测技术Revised as of 23 November 2020网络安全之入侵检测技术标签：2012-07-31 14:07中国移动通信研究院卢楠摘要：入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史，随着中国移动网络的开放与发展，入侵检测系统（IDS）也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。

在入侵检测技术发展过程中，逐步形成了2类方法、5种硬件架构，不同的方法与架构都存在其优势与不足。

本文基于入侵检测的应用场景，对现有的主流技术原理、硬件体系架构进行剖析；详细分析IDS产品的测评方法与技术，并介绍了一个科学合理、方便操作的IDS测评方案。

最后，从应用需求出发分析入侵检测技术的未来发展趋势。

1、背景目前，互联网安全面临严峻的形势。

因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害，甚至造成了极大的经济损失。

随着互联网技术的不断发展，网络安全问题日益突出。

网络入侵行为经常发生，网络攻击的方式也呈现出多样性和隐蔽性的特征。

当前网络和信息安全面临的形势严峻，网络安全的主要威胁如图1所示。

图1 目前网络安全的主要威胁说到网络安全防护，最常用的设备是防火墙。

防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备；防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。

对于目前复杂的网络安全来说，单纯的防火墙技术已不能完全阻止网络攻击，如：无法解决木马后门问题、不能阻止网络内部人员攻击等。

据调查发现，80%的网络攻击来自于网络内部，而防火墙不能提供实时入侵检测能力，对于病毒等束手无策。

因此，很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测系统IDS（Intrusion Detection Systems）。

2、入侵检测技术发展历史IDS即入侵检测系统，其英文全称为：Intrusion Detection System。

入侵检测系统是依照一定的安全策略，通过软件和硬件对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。

IDS通用模型如图2所示。

图2 IDS 通用模型IDS诞生于1980年，到目前为止已经有30余年的历史，在这30余年中，IDS的发展经过了4个阶段。

第一阶段：概念诞生。

IDS这个概念诞生于1980年4月，James 为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测概念。

他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。

这份报告被公认为是入侵检测的开山之作。

第二阶段：模型发展。

从1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL 的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。

该模型由六个部分组成：主题、对象、审计记录、轮廓特征、异常记录、活动规则，如图3所示。

它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。

1988年，SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出了IDES。

该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。

图3 IDES结构框架第四阶段：继续演进。

IDS在90年代形成的IDS两大阵营的基础上，有了长足的发展，形成了更多技术及分类。

除了根据检测数据的不同分为主机型和网络型入侵检测系统外，根据采用的检测技术，入侵检测系统可以分为基于异常的入侵检测（Anomaly Detection，AD）和基于误用（特征）的入侵检测（Misuse Detection，MD）。

早期的IDS仅仅是一个监听系统或者提供有限的数据分析功能，而新一代IDS更是增加了应用层数据分析的能力；同时，其配合防火墙进行联动，形成功能互补，可更有效的阻断攻击事件。

现有的入侵检测技术的分类及相关关系如图4所示。

图4 入侵检测系统分类3、入侵检测应用场景与防火墙不同，IDS是一个监听设备，无需网络流量流经它，便可正常工作，即IDS采用旁路部署方式接入网络。

与防火墙相比IDS有如下优势：(1)IDS是旁路设备，不影响原有链路的速度；(2)由于具有庞大和详尽的入侵知识库，可以提供非常准确的判断识别，漏报和误报率远远低于防火墙；(3)对日志记录非常详细，包括：访问的资源、报文内容等；(4)无论IDS工作与否，都不会影响网络的连通性和稳定性；(5)能够检测未成功的攻击行为；(6)可对内网进行入侵检测等。

同时，与防火墙相比，其也具有如下的劣势：(1)检测效率低，不能适应高速网络检测；(2)针对IDS自身的攻击无法防护；(3)不能实现加密、杀毒功能；(4)检测到入侵，只进行告警，而无阻断等。

IDS和防火墙均具备对方不可代替的功能，因此在很多应用场景中，IDS与防火墙共存，形成互补。

根据网络规模的不同，IDS有三种部署场景：小型网络中，IDS旁路部署在Internet接入路由器之后的第一台交换机上，如图5所示；中型网络中，采用图6的方式部署；大型网络采用图7的方式部署。

图5 小型网络部署图6 中型网络部署图7 大型网络部署4、IDS硬件体系架构分析主流的IDS的体系架构分为X86、NP、ASIC、FPGA及混合架构，对各体系架构的原理及特点介绍如下。

X86架构X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，是早期防火墙、入侵防护系统开发的主要平台。

其安全功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。

基于这一架构产品开发周期短，成本低，是绝大多数网络安全厂商的选择。

但其性能发展却受到体系结构的制约，作为通用的计算平台，X86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。

虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是由于通用CPU的处理能力有限，尽管软件部分可以尽可能地优化，但实际很难达到高速率和低时延。

NP架构网络处理器（NP）技术，NP是专门为网络设备处理网络流量而设计的处理器，体系结构如图8所示。

其体系结构和指令集对于入侵检测系统和防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。

硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。

然而，NP的弱点也比较明显，其在4-7层的数据处理上相对较弱。

在检测策略比较复杂（如入侵防护系统所用的检测策略）的情况下，吞吐速率有明显下降，时延明显。

图8 网络处理器架构 ASIC架构相比之下，ASIC通过专门设计的ASIC芯片逻辑进行硬件加速处理。

ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了安全产品的性能。

新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。

但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。

虽然研发成本较高、灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。

FPGA架构相对于NP，FPGA是对数据进行高速并行处理的器件，具有更强的灵活性和扩展性。

在IDS 中FPGA擅长把一些安全特征转化成逻辑，在实现过程中能够同时匹配上千条规则，其并行速度超过普通CPU，而且相对于并行ASIC，其灵活性占有较大优势。

如图9所示为FPGA架构典型应用。

其中SPC表示：Services Processing Card；NPC表示：Network Processing Card。

图9 FPGA架构应用混合架构混合体系架构，即由ASIC+NP+FPGA集成。

典型的安全厂商如：McAfee，其网络安全平台创新地采用这一架构，通过AVERT组织设计的ASIC，把指令或计算逻辑固化到芯片中，获得了高速的协议和检测处理能力。

使用NP处理SSL加密通信、拒绝服务攻击等消耗计算资源的功能；采用FPGA芯片保证产品的更新升级。

FPGA顾名思义就是器件可编程，因而能轻松升级，很好地满足需求变化，延长了产品寿命，有助于网络安全设备跟踪标准和协议的持续变化。

同时，FPGA有一定的预留性，一般情况下只用到其容量的20%左右，可充分保证日后升级所用。

5、IDS产品测评技术介绍目前，市场上存在各种各样的IDS设备，而且各个设备的性能和价格都不尽相同，具体实现方式也存在差异，如何才能找到性价比高、适合自己的IDS设备成为各个公司所关心的问题。

对各款IDS设备进行测试评估，是解决这个问题的最可靠的途径。

而且经常性的测试评估有利于及时了解技术发展现状和存在的不足。

依据资质进行筛选在测试前，我们可以先看看测试的IDS产品取得了哪些认证。

目前国内主要有4家信息安全产品的认证机构，分别是公安部计算机信息系统安全产品质量监督检验中心、国家保密局涉密信息系统安全保密测评中心、中国人民解放军信息安全测评认证中心、中国国家信息安全测评认证中心。

这4家认证机构中，公安部的认证对IDS产品来说是必须的，通过了公安部的认证，才能领取计算机安全专用产品销售许可证。

确定重要评价指标如果需要测评的IDS有经过上面的多家认证机构的认证之后，说明质量基本是没有问题的。

但是很多时候我们需要一款适合自己的产品，好并不代表适合。

所以，我们需要测试IDS产品的各个方面的性能，对其有全面的了解。

评测IDS的指标主要有：及时性、准确性、完备性、健壮性、处理性能、易用性。

及时性要求IDS必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大的危害之前做出反应，阻止入侵者进一步的破坏活动。

要注意的是它不仅要求IDS产品的处理速度要尽可能地快，而且要求传播、反应检测结果信息的时间尽可能的少。

测试时可以应用以下场景：1、查看测试产品最新的3个升级包，记录升级时间间隔；2、观察在IDS不暂停工作的情况下是否可以完成升级；3、测试IDS在升级过程中是否仍能检测到攻击事件。

准确性指IDS从各种行为中正确的识别入侵的能力。