入侵檢測技術

摘要：入侵檢測（Intrusion Detection），顧名思義，即是對入侵行為的發覺。它在計算機網絡或計算機系統中的若干關鍵點收集信息，通過對這些信息的分析來發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（Intrusion Detection System，簡稱IDS）。與其他安全產品不同的是，入侵檢測系統需要更多的智能，它必須能將得到的數據進行分析，并得出有用的結果。

關鍵詞：入侵；檢測；入侵檢測系統；ISS RealSecure

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)22-626-02

Intrusion Detection Technology

LI Peng-cheng

(Gaoyou Radio and Television Situation，Yangzhou 225600，China)

Abstract:Intrusion Detection (Intrusion Detection)， as its name suggests， that is， the invasion of that. Its computer network or computer systems in a number of key points to collect information， through the analysis of such information to identify the network or system whether there is a breach of security policy and the conduct of the signs of being attacked. For intrusion detection software and hardware combination is the Intrusion Detection System (Intrusion Detection System， called IDS). And other security products different is that the intrusion detection system needs more intelligence， it must be able to get the data for analysis and draw useful results.

Key words:invasion;detection;Intrusion Detection System;ISS RealSecure

1 前言

早期的IDS模型設計用來監控單一服務器，是基于主機的入侵檢測系統；近期的更多模型則集中用于監控通過網絡互連的多個服務器。

2 IDS的任務和作用

1) 監視、分析用戶及系統活動；

2) 對系統構造和弱點的審計；

3) 識別和反應已知進攻的活動模式并向相關人士報警；

4) 異常行為模式的統計分析；

5) 評估重要系統和數據文件的完整性；

6) 操作系統的審計跟蹤管理，識別用戶違反安全策略的行為。

3 入侵檢測過程

3.1 對信息的收集

1) 系統和網絡日志文件

2) 目錄和文件中的不期望的改變

3) 程序執行中的不期望行為

4) 物理形式的入侵信息

3.2 信號分析

1) 模式匹配的方法：模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。這種分析方法也稱為誤用檢測。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級模式庫以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

2) 統計分析的方法：統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。這種分析方法也稱為異常檢測。例如，統計分析時發現一個在晚八點至早六點從不登錄的賬戶卻在凌晨兩點突然試圖登錄，系統認為該行為是異常行為。統計分析的優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法有：基于專家系統的、基于模型推理的和基于神經網絡的分析方法。

3) 完整性分析的方法：完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性的變化。完整性分析在發現被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制（如：消息摘要函數），能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用于實時響應。盡管如此，完整性檢測方法還是網絡安全產品的重要組成部分。可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統進行全面地掃描檢查。

4 入侵檢測系統

4.1 基于主機的入侵檢測系統(圖1)

這種類型的系統依賴于審計數據或系統日志的準確性、完整性以及安全事件的定義。若入侵者設法逃避審計或進行合作入侵，則基于主機的檢測系統的弱點就暴露出來了。特別是在現代的網絡環境下，單獨地依靠主機審計信息進行入侵檢測難以適應網絡安全的需求。

■ ■

圖1基于主機的入侵檢測系統 圖2 基于網絡的入侵檢測系統

這主要表現在以下四個方面：一是主機的審計信息弱點，如易受攻擊，入侵者可通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網絡攻擊。三是IDS的運行或多或少影響服務器性能。四是基于主機的IDS只能對服務器的特定用戶、應用程序執行動作、日志進行檢測，所能檢測到的攻擊類型受到限制。

4.2 基于網絡的入侵檢測系統(圖2)

基于網絡的IDS的優點是：

1） 服務器平臺獨立：基于網絡的IDS監視通信流量而不影響服務器平臺的變化和更新。

2） 配置簡單：基于網絡的IDS環境只需要一個普通的網絡訪問接口。

3） 檢測多種攻擊：基于網絡的IDS探測器可以監視多種多樣的攻擊包括協議攻擊和特定環境的攻擊，長于識別與網絡低層操作有關的攻擊。

4.3 分布式入侵檢測技術(圖3)

典型的入侵檢測系統是一個統一集中的代碼塊，它位于系統內核或內核之上，監控傳送到內核的所有請求。但是，隨著網絡系統結構復雜化和大型化，系統的弱點或漏洞將趨于分布化。另外，入侵行為不再是單一的行為，而是表現出相互協作的入侵特點，在這種背景下，產生了基于分布式的入侵檢測系統。

5 入侵檢測工具介紹

5.1 ISS BlackICE

BlackICE Server Protection 軟件（以下簡稱BlackICE）是由ISS安全公司出品的一款著名的基于主機的入侵檢測系統。該軟件在九九年曾獲得了PC Magazine的技術卓越大獎。專家對它的評語是：“對于沒有防火墻的家庭用戶來說，BlackICE是一道不可缺少的防線；而對于企業網絡，它又增加了一層保護措施--它并不是要取代防火墻，而是阻止企圖穿過防火墻的入侵者。BlackICE集成有非常強大的檢測和分析引擎，可以識別多種入侵技巧，給予用戶全面的網絡檢測以及系統的保護。而且該軟件還具有靈敏度及準確率高，穩定性出色，系統資源占用率極少的特點。

5.2 ISS RealSecure

RealSecure 2.0 for Windows NT是一種領導市場的攻擊檢測方案，它提供了分布式的安全體系結構。多個檢測引擎可以監控不同的網絡并向中央管理控制臺報告?？刂婆_與引擎之間的通信可以通過128bit RSA進行認證和加密。

RealSecure可以在NT、Solaris、SunOS和Linux上運行，并可以在混合的操作系統或匹配的操作系統環境下使用。對于一個小型的系統，可以將引擎和控制臺放在同一臺機器上運行。一個引擎可以向多個控制臺報告，一個控制臺也可以管理多個引擎。還可以對CheckPoint Software的Firewall-1重新進行配置。ISS還計劃使其能對Cisco的路由器進行重新配置。RelSecure的優勢在于其簡潔性和低價格，引擎價格1萬美元，控制臺是免費的。

參考文獻：

[1] 中國IT認證實驗室.IDS入侵檢測系統[EB/OL].(2002-12-13) [2008-03-10].http://www.chinaitlab.com/www/special/ciwids.asp.

[2] 能信世界. 入侵檢測技術[EB/OL].(2005-06-03).http://www.enet.com.cn/security/zhuanti/ids/.