對入侵檢測系統的幾種分類

摘 要: 入侵檢測系統作為重要的網絡安全工具，它可以對系統或網絡資源進行實時檢測，及時發現闖入系統或網絡的入侵者，也可預防合法用戶對資源的誤操作。

關鍵詞: 入侵檢測系統 分類

入侵檢測系統(IDS，Intrusion Detection System)是一種主動保護自己免受攻擊的一種網絡安全技術。作為防火墻的有效補充，入侵檢測技術能夠幫助系統應付網絡攻擊，擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。本文就其幾個角度的分類加以簡單研究。

一、按數據來源進行分類

1.基于主機的入侵檢測系統

該系統通常是安裝在被重點檢測的主機上，其數據源來自主機，如日志文件、審計記錄等。該系統通過監視與分析主機中的上述文件，就能夠檢測到入侵。能否及時采集到上述文件是這些系統的關鍵點之一。因為入侵者會將主機的審計子系統作為攻擊目標以避開IDS。

2.基于網絡的入侵檢測系統

此系統使用原始網絡包作為數據源。通常利用一個運行在隨機模式下網絡的適配器來實時監視并分析通過網絡的所有通信業務。它的攻擊辯識模塊通常使用四種常用技術來識別攻擊標志:模式、表達式或字節匹配，頻率或穿越閥值，次要事件的相關性，統計學意義上的非常規現象檢測。一旦檢測到了攻擊行為，響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應。反應因產品而異，但通常都包括通知管理員、中斷連接或為法庭分析和證據收集而作的會話記錄。

基于網絡的IDS有許多僅靠基于主機的入侵檢測法無法提供的功能。實際上，許多客戶在最初使用IDS時，都配置了基于網絡的入侵檢測。

二、根據檢測原理進行分類

傳統觀點根據入侵行為的屬性將其分為異常和濫用兩種，然后分別對其建立異常檢測模型和濫用檢測模型。近年來又涌現出一些新的檢測方法，它們產生的模型對異常和濫用都適用。

1.統計分析與異常檢測

統計分析最大優點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統計規律，從而透過入侵檢測系統。

異常檢測只能識別出那些與正常過程有較大偏差的行為，而無法知道具體的入侵情況。由于對各種網絡環境的適應性不強，且缺乏精確的判定準則，異常檢測經常會出現虛警情況。異常檢測可以通過以下系統實現。

(1)自學習系統:通過學習事例構建正常行為模型，分為時序和非時序兩種。

(2)編程系統:該類系統需要通過編程學習如何檢測確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統的安全。分為描述統計和缺省否認。

2.基于規則分析與濫用檢測

濫用檢測基于已知的系統缺陷和入侵模式，故又稱特征檢測。它能夠準確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統未知的攻擊行為，從而產生漏警。

濫用檢測通過對確知決策規則編程實現，可以分為以下四種。

(1)狀態建模:它將入侵行為表示成許多個不同的狀態。如果在觀察某個可疑行為期間，所有狀態都存在，則判定為惡意入侵。

(2)專家系統:它可以在給定入侵行為描述規則的情況下，對系統的安全狀態進行推理。一般情況下，專家系統的檢測能力強大，靈活性也很高，但計算成本較高，通常以降低執行速度為代價。

(3)串匹配:它通過對系統之間傳輸的或系統自身產生的文本進行子串匹配實現。該方法靈活性欠差，但易于理解。

(4)基于簡單規則:類似于專家系統，但相對簡單些，故執行速度快。

3.混合檢測

近幾年來，混合檢測日益受到人們的重視。這類檢測在作出決策之前，既分析系統的正常行為，又觀察可疑的入侵行為，所以判斷更全面、準確、可靠。它通常根據系統的正常數據流背景來檢測入侵行為，故而也有人稱其為“啟發式特征檢測”。

參考文獻:

[1]韋文思，徐津.信息安全防御技術與實施.電子工業出版社，2009.

[2]羅守山.入侵檢測.北京:北京郵電大學出版社，2004.

[3]Intrusion Prevention Systems(IPS).2004.1.

[4]吳灝.網絡攻防技術.北京:機械工業出版社，2009.