淺談網絡入侵檢測系統

摘要：現在網絡安全性變的越來越重要，而網絡入侵檢測（ID）系統是信息安全性保證重要組成部分，筆者給出網絡攻擊各種形式；然后提出了入侵檢測模型、網絡入侵檢測系統（IDS），最后討論當前入侵檢測系統普遍存在的一些問題及其發展方向。

關鍵詞：網絡安全；入侵檢測；入侵檢測系統

中圖分類號：TP393 文獻標識碼：A 文章編號：1006－3315（2008）06－137－02

一、引言

近年來互聯網的爆炸式發展給人類無限機遇的同時，各種不安全因素的大量涌入，致使計算機網絡安全問題日益突出， 因此為保證計算機系統的安全需要，一種能及時發現入侵，成功阻止網絡黑客入侵，并在事后對入侵進行分析，查明系統漏洞并及時修補的網絡安全技術，即入侵檢測技術，進行入侵檢測的軟件和硬件的組合，便是入侵檢測系統。

二、入侵檢測模型

CIDF工作組提出了一個入侵檢測系統的通用模型，它將一個入侵檢測分為以下四個部分：事件產生器（Event Generators）事件分析器（Event Analyzers）、響應單元（Response Units）事件數據庫（Event Databases）。如圖所示：

三、入侵檢測系統分類

1.按照事件產生器的數據來源分類

事件采集器的數據來源有兩種：系統審計數據和網絡數據流。根據數據來源不同可分為以下三類：

1.1基于主機的入侵檢測系統（HIDS）

它是通過分析系統的審計數據（如系統日志、應用程序等）來發現可疑活動，從而檢測出入侵行為的。主要用在分布式、加密、交換的環境中監控，把特定的問題的用戶聯系起來，利用操作系統本身提供的功能，結合異常分析，更準確地報告攻擊行為。其缺點在于主機采集器要特定的平臺聯系，對網絡行為不易領會，加大了系統負擔，所需安裝的主機采集器數量眾多等。

1.2基于網絡的入侵檢測系統（NIDS）

其數據源來自網絡流，它是網絡應用飛速發展、網絡入侵事件劇增的必然產物。NIDS的優點是很明顯的：簡便——一個網段上只需安裝一個或幾個NIDS，便可監控整個網段的情況，且由于分出單獨的計算機做該應用，故不會給運行關鍵業務的主機帶來負載上的增加；能較好識別網絡層和傳輸層的入侵。其缺點是不能精通知識目標系統發生的事件，也不大可能重構系統應用層所發生的事件，精確度較差。

1.3HIDS和NIDS融合的入侵檢測系統

由于上述兩種系統各有所長，可結合起來，互相補充，構成分布式的、面向大型網絡的、協作式的IDS。

2.按照事件分析器對事件分析所采用的策略分類

事件分析器采用的策略傳統上分為兩類：基于標志的（Signature-based）和基于異常情況的（Anomaly-based）。

2.1誤用檢測

誤用檢測首先要定義違背安全策略的事件的典型特征，構造一個豐富的入侵特征知識庫，然后用所收集到的事件的特征與之進行匹配，匹配成功則認為發生了入侵或有入侵的企圖或入侵前奏，該方法非常類似于殺毒軟件。它能詳細、準確的報告出攻擊類型，但對未知攻擊效果有限，且知識庫需不斷更新。

2.2異常檢測

異常檢測是指根據使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現來檢測，所以也被稱為基于行為的檢測。異常檢測基于統計方法，使用系統或用戶的活動輪廓來檢測入侵活動。這類IDS先產生主題的活動輪廓，系統運行時，異常檢測程序產生當前活動輪廓并同原始輪廓比較，同時更新原始輪廓，當發生明顯偏離時即認為是入侵。

3.按照時間采集器和事件分析器收集分析事件的時間分類

分為如下兩類檢測:

3.1實時入侵檢測

在網絡連接過程中，根據用戶的歷史行為模型，儲存在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發現入侵跡象，立即斷開入侵者于主機的連接，并收集證據和實施數據恢復，這個檢測過程是不斷循環進行的。

3.2事后入侵檢測

由網絡管理人員進行，他們具有網絡安全的專業知識，根據計算機系統對用戶操作所做的歷史審計記錄，判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據和進行數據恢復。事后入侵檢測是管理員定期或不定期進行的，不具有實時性。因此防御入侵的能力不如實時入侵檢測系統。

4.入侵檢測研究的局限性

入侵檢測只是僅僅試圖發現計算機網絡安全中的安全問題，要解決網絡安全的問題還需要其它的網絡安全技(上接第137頁）術，另外，入侵檢測系統本身還存在安全問題。入侵檢測系統也可能會受到攻擊。Fred Cohen（計算機病毒的發明者）給出了50種攻擊入侵檢測系統的方法。防止入侵者能利用入侵檢測系統內部的知識去修改操作，可能允許異常行為進行。這樣入侵檢測就可破壞系統的操作安全限制了。

目前，入侵檢測系統面臨許多有待解決的問題，如生物免疫系統在計算機網絡入侵檢測中的運用，入侵檢測確認、入侵描述語言、入侵模式確認、入侵實時檢測、入侵描述語言、高速網絡中的入侵檢測以及入侵檢測系統與其它系統的協同工作等有待進一步研究和實現。

參考文獻：

[1]余建斌：《黑客的攻擊手段及用戶對策》（北京人民郵電出版社2000）

[2]蔡立軍：《計算機網絡安全技術》（中國水利水電出版社2003）

[3] 張穎，王輝 .一種與入侵檢測互動的 Internet安全防范系統 . 計算機工程與應用2005