根据不同的结构和监听策略，入侵检测系统通常分为两类：基于主机的入侵检测系统（HIDS）和基于网络的入侵检测系统（NIDS）。本文针对的网络入侵检测系统(Network Intrusion Detection System，NIDS)是分层计算机网络安全中普遍采用的防护手段。作为一种防护手段,毫无疑问它本身的安全性是NIDS好坏的重要指标。因此，为了提高入侵检测系统自身的安全性，本文针对网络入侵检测系统中各个模块间安全通信存在的一些问题，提出了一种适用于网络入侵检测系统的网络安全通信协议的设计策略，并在理论上对其安全性进行了形式化验证。

1 入侵检测技术

入侵检测技术是根据利用审计跟踪数据监视活动的思想建立起来的一种积极主动的安全防护技术，它提供了对内部攻击、外部攻击和误操作的实时保护，能在网络系统受到危害之前进行拦截和响应。它主要完成以下功能：监视、分析用户和系统的活动检查系统的配置和漏洞；评估关键系统和数据的完整性；识别代表已知的攻击活动模式；对反常行为模式进行统计分析；对操作系统进行校验管理，判断是否有破坏安全的用户行为。入侵检测系统就是基于入侵检测技术的。[1]

2 相关研究

目前存在的网络入侵检测系统通信协议大多采用SSL、BEEP和LDAP等协议或者各种数据加密算法，或者采用多种结合的方法来解决入侵检测系统的通信安全性问题。这些方法虽然看似完善，但是也存在着这样那样的问题：采用的协议的安全性和通信效率总是不能两全，往往会偏向两者的任何一方，这都是不妥的；各种数据加密算法解决通信安全的方案，由于缺少了必要的握手协议，使得通信部件很容易受到攻击。

本文提出了一种适用于入侵检测系统的通信组件的安全协议，避免使用第三方网络安全协议，既可以提高通信协议效率，又可以避免可信第三方带来的安全隐患，使得安全性和通信效率得以平衡。

3 安全通信协议的设计

该协议分为握手协议和密文传输协议。握手协议采用公钥密码体制用于通信双方会话密钥的协商，以及通信双方的身份认证；密文传输协议则采用对称密码机制使用握手协议中协商的会话密钥实现数据的加密传输。

3.1 握手协议的设计

该握手协议采用通过挑战/应答机制以保证通信的新鲜性，并进行身份认证，协议表式如下所示：

M1:A->B:{A,Na} Kb

M2:B->A:{Kab,Na,Nb} Ka

其中M1和M2表式通信双方A和B发送的信息。如果A要想和B进行通信，它首先产生一个随机数Na，然后利用B的公钥Kb将自己的标识A和Na一起加密发送给B；B收到消息M1后，首先利用自己私钥进行解密，然后产生一个随机数Nb和一个会话密钥Kab，并将这对数据进行存储，最后利用A的公钥Ka将Kab、Na和Nb一起加密发送给A；A收到消息M2后，首先利用自己私钥进行解密，然后判断消息M2中的Na是否等于自己产生的随机数，如果等于则继续下一步的密文传输,否则丢弃该消息。

3.2 传输协议的设计

     传输协议用于报警或者其他NIDS的数据传输，传输过程中应保证数据的机密性、完整性。密文传输协议具体设计如下：

     M3:A->B:{A,Nb}Kb, {M’}Kab,M’’

     在本密文传输协议中，M’表示传输的报警或其它NIDS数据，M’’表示加密的报警或其它NIDS数据的数字签名。在握手协议中A成功地验证完消息M2后,要首先对要进行传输的报警或其它NIDS数据M’利用会话密钥进行加密，然后利用自己的私钥对加密后的数据进行数字签名生成M’’；最后利用B的公钥将自己的标识和B产生的随机数Nb一起加密，并连同加密后的M’和M’’信息一起传输给B。B收到A的消息M3后，首先验证Nb的新鲜性，然后验证报警或其它NIDS数据的完整性和确认性，最后验证报警或其它NIDS数据的机密性。