入侵檢測技術作為網絡安全中的一項重要技術已有近30年的發展歷史，隨著中國移動網絡的開放與發展，入侵檢測系統（IDS）也逐漸成為保衛中國移動網絡安全不可或缺的安全設備之一。在入侵檢測技術發展過程中，逐步形成了2類方法、5種硬件架構，不同的方法與架構都存在其優勢與不足。本文基于入侵檢測的應用場景，對現有的主流技術原理、硬件體系架構進行剖析；詳細分析IDS產品的測評方法與技術，并介紹了一個科學合理、方便操作的IDS測評方案。最后，從應用需求出發分析入侵檢測技術的未來發展趨勢。

1、背景

目前，互聯網安全面臨嚴峻的形勢。因特網上頻繁發生的大規模網絡入侵和計算機病毒泛濫等事件使很多政府部門、商業和教育機構等都受到了不同程度的侵害，甚至造成了極大的經濟損失。

隨著互聯網技術的不斷發展，網絡安全問題日益突出。網絡入侵行為經常發生，網絡攻擊的方式也呈現出多樣性和隱蔽性的特征。當前網絡和信息安全面臨的形勢嚴峻，網絡安全的主要威脅如圖1所示。


 

　　圖1 目前網絡安全的主要威脅

說到網絡安全防護，最常用的設備是防火墻。防火墻是通過預先定義規則并依據規則對訪問進行過濾的一種設備；防火墻能利用封包的多樣屬性來進行過濾，例如：來源IP 地址、來源端口號、目的IP 地址或端口號、服務類型(如WWW 或是 FTP)。對于目前復雜的網絡安全來說，單純的防火墻技術已不能完全阻止網絡攻擊，如：無法解決木馬后門問題、不能阻止網絡內部人員攻擊等。據調查發現，80%的網絡攻擊來自于網絡內部，而防火墻不能提供實時入侵檢測能力，對于病毒等束手無策。因此，很多組織致力于提出更多更強大的主動策略和方案來增強網絡的安全性，其中一個有效的解決途徑就是入侵檢測系統IDS（Intrusion Detection Systems）。

2、入侵檢測技術發展歷史

IDS即入侵檢測系統，其英文全稱為：Intrusion Detection System。入侵檢測系統是依照一定的安全策略，通過軟件和硬件對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。IDS通用模型如圖2所示。


 

　　圖2 IDS 通用模型

IDS誕生于1980年，到目前為止已經有30余年的歷史，在這30余年中，IDS的發展經過了4個階段。

第一階段：概念誕生。IDS這個概念誕生于1980年4月，James P.Andrson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》（計算機安全威脅監控與監視）的技術報告，第一次詳細闡述了入侵檢測概念。他提出了一種對計算機系統風險和威脅的分類方法，并將威脅分為外部滲透、內部滲透和不法行為三種，還提出了利用審計跟蹤數據監視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。

第二階段：模型發展。從1984年到1986年，喬治敦大學的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一個實時入侵檢測系統模型，取名為IDES（入侵檢測專家系統）。該模型由六個部分組成：主題、對象、審計記錄、輪廓特征、異常記錄、活動規則，如圖3所示。它獨立于特定的系統平臺、應用環境、系統弱點以及入侵類型，為構建入侵檢測系統提供了一個通用的框架。1988年，SRI/CSL的Teresa Lunt等人改進了Denning的入侵檢測模型，并開發出了IDES。該系統包括一個異常檢測器和一個專家系統，分別用于統計異常模型的建立和基于規則的特征分析檢測。


 

　　圖3 IDES結構框架

第三階段：百家爭鳴。1990年是入侵檢測系統發展史上一個分水嶺。加州大學戴維斯分校的L.T.Heberlein等人開發出了NSM（Network Security Monitor）。該系統第一次直接將網絡流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異常主機，從此以后，入侵檢測系統發展史翻開了新的一頁，兩大陣營正式形成：基于網絡的IDS和基于主機的IDS。

第四階段：繼續演進。IDS在90年代形成的IDS兩大陣營的基礎上，有了長足的發展，形成了更多技術及分類。除了根據檢測數據的不同分為主機型和網絡型入侵檢測系統外，根據采用的檢測技術，入侵檢測系統可以分為基于異常的入侵檢測（Anomaly Detection，AD）和基于誤用（特征）的入侵檢測（Misuse Detection，MD）。早期的IDS僅僅是一個監聽系統或者提供有限的數據分析功能，而新一代IDS更是增加了應用層數據分析的能力；同時，其配合防火墻進行聯動，形成功能互補，可更有效的阻斷攻擊事件。現有的入侵檢測技術的分類及相關關系如圖4所示。


 

　　圖4 入侵檢測系統分類

3、入侵檢測應用場景

與防火墻不同，IDS是一個監聽設備，無需網絡流量流經它，便可正常工作，即IDS采用旁路部署方式接入網絡。與防火墻相比IDS有如下優勢：

(1) IDS是旁路設備，不影響原有鏈路的速度；

(2) 由于具有龐大和詳盡的入侵知識庫，可以提供非常準確的判斷識別，漏報和誤報率遠遠低于防火墻；

(3) 對日志記錄非常詳細，包括：訪問的資源、報文內容等；

(4) 無論IDS工作與否，都不會影響網絡的連通性和穩定性；

(5) 能夠檢測未成功的攻擊行為；

(6) 可對內網進行入侵檢測等。

同時，與防火墻相比，其也具有如下的劣勢：

(1) 檢測效率低，不能適應高速網絡檢測；

(2) 針對IDS自身的攻擊無法防護；

(3) 不能實現加密、殺毒功能；

(4) 檢測到入侵，只進行告警，而無阻斷等。

IDS和防火墻均具備對方不可代替的功能，因此在很多應用場景中，IDS與防火墻共存，形成互補。

根據網絡規模的不同，IDS有三種部署場景：小型網絡中，IDS旁路部署在Internet接入路由器之后的第一臺交換機上，如圖5所示；中型網絡中，采用圖6的方式部署；大型網絡采用圖7的方式部署。


 

　　圖5 小型網絡部署


 

　　圖6 中型網絡部署


圖7 大型網絡部署

4、IDS硬件體系架構分析

主流的IDS的體系架構分為X86、NP、ASIC、FPGA及混合架構，對各體系架構的原理及特點介紹如下。

4.1 X86架構

X86架構采用通用CPU和PCI總線接口，具有很高的靈活性和可擴展性，是早期防火墻、入侵防護系統開發的主要平臺。其安全功能主要由軟件實現，可以根據用戶的實際需要而做相應調整，增加或減少功能模塊，產品比較靈活，功能十分豐富。基于這一架構產品開發周期短，成本低，是絕大多數網絡安全廠商的選擇。但其性能發展卻受到體系結構的制約，作為通用的計算平臺，X86的結構層次較多，不易優化，且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達到接近2Gbps的吞吐量，但是由于通用CPU的處理能力有限，盡管軟件部分可以盡可能地優化，但實際很難達到高速率和低時延。

4.2 NP架構

網絡處理器（NP）技術，NP是專門為網絡設備處理網絡流量而設計的處理器，體系結構如圖8所示。其體系結構和指令集對于入侵檢測系統和防火墻常用的包過濾、轉發等算法和操作都進行了專門的優化，可以高效地完成TCP/IP棧的常用操作，并對網絡流量進行快速的并發處理。硬件結構設計也大多采用高速的接口技術和總線規范，具有較高的I/O能力。然而，NP的弱點也比較明顯，其在4-7層的數據處理上相對較弱。在檢測策略比較復雜（如入侵防護系統所用的檢測策略）的情況下，吞吐速率有明顯下降，時延明顯。


 

　　圖8 網絡處理器架構

4.3 ASIC架構

相比之下，ASIC通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了安全產品的性能。新一代的高可編程ASIC采用了更靈活的設計，能夠通過軟件改變應用邏輯，具有更廣泛的適應能力。但是，ASIC的缺點也同樣明顯，它的靈活性和擴展性不夠，開發費用高，開發周期太長，一般耗時接近2年。雖然研發成本較高、靈活性受限制、無法支持太多的功能，但其性能具有先天的優勢，非常適合應用于模式簡單、對吞吐量和時延指標要求較高的電信級大流量的處理。

4.4 FPGA架構

相對于NP，FPGA是對數據進行高速并行處理的器件，具有更強的靈活性和擴展性。在IDS中FPGA擅長把一些安全特征轉化成邏輯，在實現過程中能夠同時匹配上千條規則，其并行速度超過普通CPU，而且相對于并行ASIC，其靈活性占有較大優勢。如圖9所示為FPGA架構典型應用。其中SPC表示：Services Processing Card；NPC表示：Network Processing Card。


 

　　圖9 FPGA架構應用

4.5混合架構

混合體系架構，即由ASIC+NP+FPGA集成。典型的安全廠商如：McAfee，其網絡安全平臺創新地采用這一架構，通過AVERT組織設計的ASIC，把指令或計算邏輯固化到芯片中，獲得了高速的協議和檢測處理能力。使用NP處理SSL加密通信、拒絕服務攻擊等消耗計算資源的功能；采用FPGA芯片保證產品的更新升級。FPGA顧名思義就是器件可編程，因而能輕松升級，很好地滿足需求變化，延長了產品壽命，有助于網絡安全設備跟蹤標準和協議的持續變化。同時，FPGA有一定的預留性，一般情況下只用到其容量的20%左右，可充分保證日后升級所用。

5、IDS產品測評技術介紹

目前，市場上存在各種各樣的IDS設備，而且各個設備的性能和價格都不盡相同，具體實現方式也存在差異，如何才能找到性價比高、適合自己的IDS設備成為各個公司所關心的問題。對各款IDS設備進行測試評估，是解決這個問題的最可靠的途徑。而且經常性的測試評估有利于及時了解技術發展現狀和存在的不足。

5.1依據資質進行篩選

在測試前，我們可以先看看測試的IDS產品取得了哪些認證。目前國內主要有4家信息安全產品的認證機構，分別是公安部計算機信息系統安全產品質量監督檢驗中心、國家保密局涉密信息系統安全保密測評中心、中國人民解放軍信息安全測評認證中心、中國國家信息安全測評認證中心。

這4家認證機構中，公安部的認證對IDS產品來說是必須的，通過了公安部的認證，才能領取計算機安全專用產品銷售許可證。

5.2確定重要評價指標

如果需要測評的IDS有經過上面的多家認證機構的認證之后，說明質量基本是沒有問題的。但是很多時候我們需要一款適合自己的產品，好并不代表適合。所以，我們需要測試IDS產品的各個方面的性能，對其有全面的了解。評測IDS的指標主要有：及時性、準確性、完備性、健壯性、處理性能、易用性。

5.2.1及時性

及時性要求IDS必須盡快地分析數據并把分析結果傳播出去，以使系統安全管理者能夠在入侵攻擊尚未造成更大的危害之前做出反應，阻止入侵者進一步的破壞活動。要注意的是它不僅要求IDS產品的處理速度要盡可能地快，而且要求傳播、反應檢測結果信息的時間盡可能的少。

測試時可以應用以下場景：

1、查看測試產品最新的3個升級包，記錄升級時間間隔；

2、觀察在IDS不暫停工作的情況下是否可以完成升級；

3、測試IDS在升級過程中是否仍能檢測到攻擊事件。

5.2.2準確性

準確性指IDS從各種行為中正確的識別入侵的能力。可以從漏報率和誤報率兩個方面來體現。誤報率是指系統在檢測時把正常的網絡活動視為攻擊的概率。漏報率是指漏掉真正的攻擊而不報警的概率。


 

　　圖10 ROC曲線

實際上IDS的實現總是在漏報率和誤報率上追求平衡，要使兩者都為零，幾乎是不可能的。誤報率為零則表明很可能存在某些攻擊行為沒有被檢測出來；漏報率為零則表明可能存在各種各樣的誤報。如果IDS設備能夠讓用戶自定義漏報率和誤報率的比例（比如安全級別，安全級別越高則漏報率越低，相應誤報率也可能越高），那么最好還是保留一定的誤報會顯得比較安全，畢竟誤報比漏報要顯得安全。

雖然漏報率和誤報率不能同時為零，但是在測評時，我們還是希望這兩個數值越低越好。可以通過一些黑客工具模擬攻擊行為，從而測試出IDS的漏報率和誤報率。

ROC曲線以圖形的方式來表示正確率和誤報率的關系。ROC曲線是基于正確報告率和誤報率的關系來描述的。這樣的圖稱為諾模圖（Nomogram），它在數學領域用于表示數字化的關系。選好一個臨界點（Cutoff Point）之后，就可以從圖中確定IDS的正確報告率和誤報率。曲線的形狀直接反映了IDS產品的準確性和總體品質。如果一條直線向上，然后向右以45度角延伸，就是一個非常失敗的IDS，它毫無用處；相反，ROC曲線下方的區域越大，IDS的準確率越高。如圖2所示，IDS B的準確性高于IDS C，類似地，IDS A在所有的IDS中具有最高的準確性。

可以通過一些測試工具模擬各種攻擊，來評測IDS的準確性。比如IDS Informer、IDS Wakeup、Sneeze的工具。

5.2.3完備性

完備性是指IDS能夠檢測出所有攻擊行為的能力。100%正確率實際上是一個無法達到的目標。如何評價IDS檢測的完備性呢？

1、可以通過查看幫助文件中廠商聲稱可檢測的攻擊列表來做大致的了解，可以看看可檢測的各種攻擊都屬于那些協議，總共支持多少種應用層協議，以及該協議下檢測攻擊種類的數量。

2、 可以查看進一年內新增加的檢測規則占總規則數的比例，結果越大越好。

3、可以挑選一些近期流行的攻擊行為，進行模擬測試。

5.2.4健壯性

健壯性即自身安全性，毫無疑問，IDS程序本身的安全性也是衡量IDS系統好壞的一個重要指標。由于IDS是檢測入侵的重要手段，所以它也就成為很多入侵者攻擊的首選目標。和其他系統一樣IDS本身也往往存在安全漏洞。若對IDS攻擊成功將直接導致入侵行為無法被檢測。因此IDS自身必須能夠抵御攻擊，特別是DOS攻擊。

IDS的安全性，一般可以通過以下幾個方面來衡量：

1、所有重要數據的存儲和傳輸過程是否都經過加密處理；

2、在網絡中的隱藏性，是否對于外界設備來說是透明的；

3、不同級別的操作人員是否有不同的使用權限，以及這些權限分配是否合理。

5.2.5處理性能

處理性能主要從系統處理數據的能力已經對資源消耗的程度等方面體現。比如：

1、處理速度：指IDS處理數據源數據的速度。

2、延遲時間：指在攻擊發生至IDS檢測到入侵之間的延遲時間。

3、資源的占用情況：即系統在到達某種檢測能力要求時，對資源的需求情況。

4、負荷能力：IDS有其設計的負荷能力，在超出負荷能力的情況下，性能會出現不同程度的下降。

5.2.6易用性

易用性是指和系統使用有關的一些方面，主要是指系統安裝、配置、管理、使用的方便程度、系統界面的友好程度和攻擊規則庫維護的簡易程度等方面。

這個指標比較偏向于主觀判斷。但是也有一些客觀指標，比如：

1、是否有較多內容通過圖形表格方式描述；

2、幫助信息內容是否豐富并且可用；

3、是否有配置導航功能；

4、是否有保存系統配置的功能；

5、是否有足夠多的提示信息；

6、操作使用日志記錄是否完善；

5.3執行測試

5.3.1測試部署

在測試評估IDS的時候，很少會把IDS放在實際運行的網絡中，因為實際網絡環境是不可控的，并且網絡環境的專用性太強，所以要構建專用的網絡環境。圖3為入侵檢測系統測試組網示意圖。其中背景流量發生器用來生成網絡通信，攻擊機用來模擬入侵者發起攻擊，IDS網絡傳感器為待測試入侵檢測系統，目標機模擬網絡中被攻擊的機器。


 

　　圖11入侵檢測系統測試組網示意圖

下面是組網設備的詳細說明：

1) 以太網交換機：一臺具備將全部端口鏡像到一個目的端口功能的以太網交換機。用于將流量鏡像到IDS網絡傳感器。

2) 攻擊機：攻擊機預裝掃描工具Nessus和Informer、Wakeup、Sneeze等互聯網安全攻擊工具。

3) 目標機：目標機安裝和開啟各類應用服務，作為被攻擊對象。

4) 背景流量發生器：使用IP InterEmulator或其它網絡仿真系統，可以產生應用層協議流量作為背景流量。

5) IDS網絡傳感器：被測的IDS設備。

6) IDS管理控制臺：用于管理IDS設備的機器。

5.3.2測試方法

測試內容可結合實際的網絡特征及需求進行，如：測試入侵檢測系統管理功能、檢測能力、安全性測試和性能測試及其它等，如圖3所示。管理功能主要檢查點包括：配置界面、策略配置、升級方式、日志功能、報表輸出和接口功能等；檢測能力包括：檢測能力、告警功能、流量關聯分析、協議支持和流量監控等；安全測試包括：賬號口令管理、權限管理、用戶認證和事件審計功能等；性能測試包括：性能容量、漏報率、誤報率、穩定性和擴展性等。


　　圖12 入侵檢測系統測試內容

測試主要通過模擬真實網絡情況進行，如：利用儀表模擬運營商網間互聯處的業務流量模型；模擬真實的業務協議特征和風險特征；攻擊效果與真實用戶體驗基本一致等。背景流量與真實流量差異越小，測試結果將越準確。

入侵檢測系統測評方法參考以下測試方法學：

1、IETF標準草案：draft-hamilton-bmwg-ca-bench-term-00和draft-hamilton-bmwg-ca-bench - meth-06；

2、NSSLabs標準：NETWORK INTRUSION PREVENTION SYSTEMS V6.1；