淺談網絡入侵檢測技術

摘要:傳統的操作系統加固技術和防火墻等都是靜態安全防御技術，對互聯網中千變萬化的攻擊方式缺乏主動的防范措施;而網絡入侵檢測技術則是動態安全技術的核心技術之一，不僅可以修復防火墻的漏洞，提高系統防御級別，也可提高系統管理員的安全管理能力，完善信息安全檢測技術的系統性。

關鍵詞:網絡入侵;入侵檢測;動態安全

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)21-5735-02

On Network Intrusion Detection Technology

LI Hong-juan， GUO Xiang-yang

(Henna Business College， Zhengzhou 450044， China)

Abstract: Reinforcement of traditional operating system and firewall security and defense technology are all static， changing on the Internet attacks the lack of proactive preventive measures; and network intrusion detection technology is the core technology of dynamic security technology， one can not only repair the firewall vulnerabilities， improve system-level defense， but also improve the system administrator's security management capabilities， improve the detection of systematic information security.

Key words: network intrusion; intrusion detection; dynamic security

只要允許內部網絡與Internet相連，攻擊者入侵的危險就會存在。由于入侵的行為與正常的訪問或多或少有些差別，通過收集和分析這種差別可以發現絕大部分的入侵行為，入侵檢測系統(Intrusion Detection System，IDS)應運而生。

入侵檢測系統是一個比較復雜和難度較大的研究領域。首先，入侵檢測系統是網絡安全技術和信息處理技術的結合，為了了解入侵檢測系統，必須同時具備這兩個方面的知識，入侵檢測系統的檢測效果依賴于對這些知識的掌握與融合，其次，入侵事件往往是人為地入侵，有黑客主動實現，黑客對網絡安全以及入侵檢測系統本身有一定的了解。最后，入侵檢測系統是一個計算機網絡安全產品或工具，一個實實在在的計算機程序，所以它的運行效率和檢測效果也跟程序編寫的技術有關。

入侵檢測是對網絡入侵行為的檢測，通過觀察和收集網絡行為、安全日志、審計數據或其他網絡系統中若干關鍵點信息來分析，從中檢測出計算機網絡或計算機系統中是否有違反安全策略的行為或被攻擊的跡象，使安全管理員能夠及時的處理入侵警報，盡可能的減少入侵對系統的損害，是主動保護自己免受攻擊的一種網絡安全技術。

入侵檢測系統實際是一種是使檢測和分析過程自動化的產品，可以是軟件，也可以是硬件，最常見的是軟件與硬件的結合，所以，通常把負責入侵檢測的軟硬件結合體稱為入侵檢測系統。

1 檢驗入侵檢測技術成功的條件

一個成功的入侵檢測系統至少要滿足下面的5個要求:

1) 實時性要求:如果能盡早覺察或發現攻擊的企圖或攻擊行為，就有可能追蹤到入侵者的位置，阻止其進一步的破壞活動，就有可能最小限度的控制破壞程度，并實時記錄下攻擊過程，以此為依據來防御再次入侵。同時，實時入侵檢測可以突破系統安全管理員只單一的通過分析和審計系統日志來追蹤入侵者或入侵行為線索時的局限性。

2) 可擴展性要求:入侵手段千變萬化，攻擊活動的特點也各有迥異，所以必須建立一種長效防御機制，將入侵檢測系統的基本結構體系與應用功能劃分開。入侵檢測系統必須能夠在新的攻擊種類出現時，可利用這種機制在無須改動入侵檢測系統基本結構體系的情況下，能盡早檢測到新的入侵行為。同時，還必須建立一種可拓展功能的結構體系，一方面可滿足適應拓展的需求，另一方面可進一步完善入侵檢測系統的功能體系。

3) 適應性要求:入侵檢測系統必須能夠適應各種不同的環境，比如大流量網絡環境、高速運算的計算機物理環境等，而且當系統環境發生改變時，比如環境中主機數量增加或計算機體系類型發生改變，入侵檢測系統依然能夠正常工作。除此之外，入侵檢測系統的適應性還應該包括跨平臺工作的能力，適應不同軟硬件配置的各種平臺。

4) 安全性與可用性要求:入侵檢測系統必須應當盡最大可能的完善與強壯，不能給跨平臺計算機系統以及其所屬的網絡環境引入新的安全隱患和安全問題。同時，針對入侵檢測系統類型與工作原理，必須要考慮其預見性，對系統所有可能的攻擊威脅能覺察以及處理，確保該類型的入侵檢測系統的安全性與可用性。

5) 有效性要求:能夠證明根據某一設計所建立的入侵檢測系統是切實有效的。即針對攻擊事件的錯報與漏報能夠控制在一定的范圍內;同時，入侵檢測系統在發現入侵后，能夠及時作出響應，有些響應是自動的，如通過實時檢測數據、網絡日志、E—mail、系統控制平臺等方式通知系統安全管理員，終止攻擊進程、斷開網絡連接、關閉系統，執行相應抵御措施的命令等。

除此之外，入侵檢測系統還應該能夠讓網絡管理員實時了解網絡系統的任何變更情況;為管理員提供制定系統網絡安全策略的指南;其應該管理便捷、配置簡單，非專業人員容易操作;其規模應該依據網絡系統的結構、安全需求的等級和攻擊威脅的變化而改變。

2 入侵檢測系統的組成

一個簡單的入侵檢測系統可以分為數據采集、入侵分析引擎、管理配置、相應處理和相關的輔助模塊等。

1) 數據采集模塊:為入侵分析引擎模塊提供分析用的數據。一般有操作系統的審計日志、應用程序日志、系統生成的校驗和數據，以及網絡數據包等。

2) 入侵分析引擎模塊:依據輔助模塊提供的信息(如攻擊模式)，按照一定的算法對收集到的數據進行分析，從中判斷是否有入侵行為出現并產生入侵報警。該模塊是入侵檢測系統的核心模塊。

3) 管理配置模塊:它的功能是為其他模塊提供配置服務，是入侵檢測系統中模塊與用戶的接口。

4) 響應處理模塊:當發生入侵后，預先為系統提供緊急的措施，如關閉網絡服務、中斷網絡連接及啟動備份系統等。

5) 輔助模塊:協助入侵分析引擎模塊工作，為它提供相應的信息，如攻擊模式庫、系統配置庫和安全控制策略等。

3 入侵檢測系統的特點

1) 動態的安全防御技術。傳統的安全防御技術都是靜態的，比如防火墻隔離技術、操作系統加固技術等，對各式各樣的攻擊手段缺少主動的響應，而入侵檢測系統則可以通過分析和研究攻擊行為的特征和過程，對攻擊活動能夠做出實時的響應。所以，入侵檢測系統是動態的安全防御技術的最核心技術之一。

2) 入侵檢測系統是防火墻的合理補充。防火墻是計算機網絡安全策略中的一個很重要的方面，能夠在內外網之間提供安全的網絡保護，可以限制一些地址(例如攻擊者的地址)不能訪問用戶的計算機或者限制攻擊者不能訪問用戶計算機的某些服務，這樣盡管用戶的計算機上存在安全漏洞，攻擊者也不能進行攻擊，提高了網絡安全系數。但是，對于網絡安全來說，僅依賴防火墻是遠遠不夠的，其存在一定的安全風險;攻擊者可查找和追蹤防火墻的漏洞，也有可能入侵者就存在于防火墻的內部，使其不在控制范圍之內;由于防火墻性能限制，不能提供實時的入侵檢測功能。

因此，入侵檢測系統是防火墻的升級版，是計算機系統安全的第二道閘門，不僅能夠幫助系統抵御網絡威脅，也能提供對內外部攻擊和錯誤操作的實時保護，這樣一方面提高了網絡管理員的安全管理能力(包括記錄、監視、入侵識別和響應、安全數據審計)，另一方面也提高了安全基礎結構體系的完整性。這些都通過完成以下操作來實現:

① 監視和分析不同用戶及系統活動，實時查找合法用戶和非法用戶的越權行為。

② 查找和審計系統結構和缺陷，提示安全管理員修補系統漏洞。

③ 識別和檢測已攻擊行為的活動模式并向安全管理員報警，并且能夠實時對檢測到的攻擊行為進行主動響應。

④ 統計和分析異常行為模式，找出攻擊行為的規律。

⑤ 評估和檢驗系統各個關鍵點、數據信息、重要文件的完整性。

⑥ 跟蹤和審計計算機系統，識別用戶的違規操作。

3) 入侵檢測系統是黑客的克星。入侵檢測和安全防護有根本性的區別:安全防護和黑客的關系是“防護在明，黑客在暗”，入侵檢測和黑客的關系是“黑客在明，檢測在暗”。安全防護主要修補系統和網絡的缺陷，增加系統的安全性能，從而消除攻擊和入侵的條件;入侵檢測并不是根據網絡和系統的缺陷，而是根據入侵事件的特征去檢測的(入侵檢測的特征一般與系統缺陷有邏輯關系)，所以入侵檢測系統是黑客的克星。

4 結束語

隨著科學技術日新月異的發展，計算機網絡存在著更多地安全隱患，安全抵御技術研究就顯得尤為重要。對于傳統靜態的安全技術已經不能完全抵御現有的網絡威脅和入侵行為，因此動態的入侵檢測系統應運而生。入侵檢測系統具有預見可能的網絡威脅功能;可通過監視控制平臺等方式識別入侵行為;記錄分析入侵活動的全過程，發現攻擊行為的活動規律并做出及時反應;可實時保護系統避免破壞環境的網絡攻擊。所以入侵檢測系統能夠提高系統管理員的安全管理能力，是防火墻的合理補充，是網絡安全抵御技術中最核心技術之一。

參考文獻:

[1] 周蘇.信息安全技術[M].北京:中國鐵道出版社，2009:110-112.

[2] 蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社，2007:106-117.

[3] 尹才榮.基于混合入侵檢測技術的網絡入侵檢測方法[J].合肥工業大學學報(自然科學版)，2009(2):45-46.

[4] 魯鵬等.淺析網絡入侵檢測技術在校園網絡中的應用[J].中國科技信息，2009(8):5-7.