入侵檢測技術現狀及發展趨勢

摘要： 隨著網絡技術的發展及其應用的普及，網絡安全問題也越來越成為人們關注的焦點。入侵檢測技術，作為解決網絡安全

的有效途徑之一，文中就有關方面進行了論述。

關鍵詞：入侵檢測； 網絡安全

中圖分類號： ＴＰ３９３文獻標識碼：Ａ文章編號：１００２－２４２２（２０１１）０２－０００３－０２

Ｐｒｅｓｅｎｔ Ｓｉｔｕａｔｉｏｎ ａｎｄ Ｄｅｖｅｌｏｐｉｎｇ Ｔｒｅｎｄ ｏｆ Ｉｎｔｒｕｓｉｏｎ Ｄｅｔｅｃｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ

Ｓｕ Ｃｈａｎｇ

Ａｂｓｔｒａｃｔ:Ａｌｏｎｇ ｗｉｔｈ ｔｈｅ ｄｅｖｅｌｏｐｍｅｎｔ ｏｆ ｎｅｔｗｏｒｋ ｔｅｃｈｎｏｌｏｇｙ ａｎｄ ｐｏｐｕｌａｒｉｚａｔｉｏｎ ｏｆ ａｐｐｌｉｃａｔｉｏｎｓ， Ｎｅｔｗｏｒｋ Ｓｅｃｕｒｉｔｙ ｈａｓ ｉｎｃｒｅａｓｉｎｇ－

ｌｙ ｂｅｃｏｍｅ ｔｈｅ ｆｏｃｕｓ ｏｆ ａｔｔｅｎｔｉｏｎ． Ｔｏ ｓｏｌｖｅ ｔｈｅ Ｎｅｔｗｏｒｋ Ｓｅｃｕｒｉｔｙ， Ｉｎｔｒｕｓｉｏｎ Ｄｅｔｅｃｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ， ａｓ ｏｎｅ ｏｆ ｔｈｅ ｅｆｆｅｃ－

ｔｉｖｅ ｗａｙｓ， ｉｓ ｄｉｓｃｕｓｓｅｄ ｉｎ ｓｏｍｅ ａｓｐｅｃｔｓ ｉｎ ｔｈｅ ｐａｐｅｒ．

Ｋｅｙ ｗｏｒｄｓ: Ｉｎｔｒｕｓｉｏｎ Ｄｅｔｅｃｔｉｏｎ?鴉 Ｎｅｔｗｏｒｋ Ｓｅｃｕｒｉｔｙ

在日益復雜的網絡環境下，以往的網絡安全防范措施逐漸地暴露出不足。因此，許多組織致力于找出更多、更強大的主動策略和方案來增強網絡的安全性，而入侵檢測就是其中一個有效的解決途徑。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對外部攻擊、內部攻擊和誤操作的實時保護。

１ 入侵檢測的含義

入侵檢測是識別系統資源的非授權使用及系統合法用戶的濫用行為，通過對網絡或系統中若干關鍵點收集信息，并對收集到的信息進行分析，從而判斷網絡或系統中是否存在違反安全策略的行為和系統被攻擊的跡象。入侵檢測作為一種積極主動的安全防范措施，在網絡或系統受到危害之前即響應和攔截入侵，提高了信息安全基礎結構的完整性。

２ 入侵檢測的實現步驟

２．１ 入侵數據收集

入侵數據收集是入侵檢測的第一步，主要是為系統提供數據，內容包括系統、網絡、數據及用戶活動的狀態和行為。入侵數據的提取主要來自以下四個方面：

（１）系統和網絡日志文件。日志文件記錄了系統中特定事件的相關活動信息。這些記錄可用于：審計用戶行為、監控系統資源、對不正常或不期望的行為進行告警、生成調查報告、為打擊入侵行為提供證據來源。因此，充分利用系統和網絡日志文件提供的信息是檢測入侵的必要條件。

（２）目錄和文件中不期望的改變。入侵者往往以修改或破壞包含重要信息和數據的文件為目的，同時為了隱藏系統中留下的活動痕跡，會盡力去替換系統程序或修改系統日志文件。目錄和文件中不期望產生的創建、修改和刪除，尤其是那些正常情況下限制訪問的，很有可能就是一種入侵產生的警示和信號。

（３）程序執行中的不期望行為。每個在系統上執行的程序都由一或多個進程來實現。每個進程都在具有不同權限的環境中執行，這種環境控制著進程可訪問的系統資源和數據文件等。如果一個進程有不期望的行為出現，則可能表明入侵者正在入侵系統。

（４）物理形式的入侵信息。物理形式的入侵包括兩個方面的內容：一是未授權的對網絡硬件連接；二是對物理資源的未授權訪問。如果入侵者能夠在物理上訪問內部網，就能安裝自己的設備和軟件，由此就可以知道網上的、由用戶添加的未授權的設備，然后利用這些設備訪問網絡。

２．２ 入侵數據分析

入侵數據分析是整個入侵檢測系統的核心模塊。其主要作用是：對收集到的入侵數據進行深入的分析，根據發現的攻擊行為的分析結果產生事件，傳遞給事件響應模塊。通常有三種技術手段：模式匹配、統計分析和完整性分析。其中，前兩種方法用于實時的入侵檢測，而完整性分析則用于事后檢測。雖然完整性分析不用于實時檢測，但卻能夠發現模式匹配和統計分析方法所沒有檢測到的入侵。因此，完整性分析應成為網絡安全防范的必要手段之一，可以每天在特定時間內開啟完整性分析模塊，對網絡系統進行全面的掃描檢測。

２．３ 入侵事件響應

入侵事件響應的主要作用是對入侵行為的報警和反應。其響應方式分為主動響應和被動響應。二者的差別在于被動響應只會發出報警通知，不會對被攻擊系統實施保護或者對攻擊系統實施反擊；而主動響應則會實施上述行為。

３ 入侵檢測系統分類

３．１ 依據檢測對象分類

（１）基于主機的入侵檢測。基于主機的入侵檢測系統安裝在需要保護的主機上，通過監視和分析主機的系統日志和審計安全記錄等來實現對入侵行為的檢測。其優點在于能夠校驗出攻擊是否成功；可使特定的系統行為受到嚴密的監控等。缺點是要依賴操作系統，同時占有主機的資源。

（２）基于網絡的入侵檢測。基于網絡的入侵檢測系統通常安裝在需要保護的網段中，承擔著保護整個網段的任務。通過網絡偵聽技術實時監視網段中的數據包，并對其內容、源地址和目的地址進行檢測和分析。若發現可疑行為或入侵事件，入侵檢測系統就會發出警報甚至切斷連接。其優點在于價格低，對所發現的攻擊能進行實時檢測和響應等。缺點是交互環境下難以配置，防欺騙能力較差等。

３．２ 依據分析數據的方法分類

（１）異常檢測。是檢測與正常行為之間的差異。先定義一組系統可接受的行為，再將系統運行時的此類數據與定義的正常行為作比較，若有偏差則認為是入侵。此種檢測的漏報率低，但誤報率較高。

（２）誤用檢測。是檢測與已知的不正常行為的匹配程度。若系統運行時的行為能夠同預先定義的不正常行為相匹配，則認為是入侵。此種檢測的誤報率低，但漏報率較高。對于已知的攻擊，可以準確報出，而對未知攻擊卻效果有限，且需不斷收集并更新不正常行為的特征庫。

４ 入侵檢測技術的發展方向

由于當前的入侵檢測技術會產生大量的漏報和誤報，難以確定真正的入侵行為。因此，入侵檢測技術有如下幾個發展方向。

（１）基于Ａｇｅｎｔ的分布式入侵檢測與通用入侵檢測結合。以往的入侵檢測系統通常局限于單一的主機或網絡架構，顯然不能滿足對異構系統和大規模網絡的監測，并且不同的入侵檢測系統之間不能協同工作。為了解決這些問題，需要基于Ａｇｅｎｔ的分布式入侵檢測與通用入侵檢測結合。

（２）寬帶高速實時入侵檢測技術。隨著大量高速網絡技術如千兆以太網等的相繼出現，各種寬帶接入手段層見疊出。如何實時檢測高速網絡下的入侵行為已成為實際面臨的問題。由此，入侵檢測系統的算法和軟件結構均需重新設計，以適應高速網的環境；同時，新的高速網絡協議的設計也將成為其發展的趨勢。

（３）基于數據挖掘的智能化入侵檢測。入侵檢測的實質就是對審計數據進行分析和定性，而隨著操作系統的日益復雜及網絡數據流量的大幅度增加，導致審計數據以驚人的速度劇增。如何在大量的審計數據中提取具有代表性的行為特征，來準確地描述用戶的行為，是入侵檢測的關鍵。數據挖掘是從大量的數據中提取潛在有用的信息和知識的過程。因此，為了適應新的發展形勢，基于數據挖掘的智能化入侵檢測必將成為未來的發展趨勢。

５ 結束語

隨著各種網絡業務的增多，網絡安全問題越來越受到人們的重視，而目前的入侵檢測還停留在研究和實驗樣品階段。因此，入侵檢測技術仍有較大的發展空間，從技術途徑來看，除了完善傳統的、常規的技術外，還應將重點放在加強統計分析的相關技術研究上，從而滿足更高、更新的網絡安全需求。

參考文獻

[１] 蘭義華，張穎江，錢濤． 入侵檢測系統的分析與發展趨勢研究 [Ｊ]． 北京：網絡安全技術與應用，２００５（８）．

[２] 吳婷． 網絡入侵檢測系統的研究現狀與發展趨勢[Ｊ]． 鄭州：中 共鄭州市委黨校學報，２００６（４）：１２９－１３２．