淺析入侵檢測系統的產生和發展

【摘要】入侵檢測技術是網絡安全技術的重要方面，而入侵檢測則是網絡安全的最后一道防線。入侵檢測系統作為信息安全領域的一個組成部分，有著自己獨特的地方。本文從網絡安全模型中主要的防護手段——防火墻的弱點出發，先是介紹了入侵檢測的基本概念，然后系統地描述了入侵檢測系統的分類、分析了入侵檢測的過程并且給出了入侵檢測的三個發展方向，從這幾個方面闡述了入侵檢測技術的產生和發展。最后，再次強調了入侵檢測技術在信息安全領域的重要性。

【關鍵詞】網絡安全；入侵檢測；信息安全引言

在傳統的網絡安全模型中，防火墻主要作為計算機網絡安全的一種防護手段，但隨著網絡攻擊技術的發展，這種單一的防護手段已經不能確保網絡的安全。防火墻對于防范黑客產生了明顯的局限性，主要表現為：防火墻無法阻止內部人員所做的攻擊；對信息流的控制缺乏靈活性；在攻擊發生后，利用防火墻保存的信息難以調查和取證，對于那些利用某些合法端口，合法地址的惡意攻擊和訪問，不能及時發現和制止。為了確保計算機網絡安全，不斷有新的安全技術提出，入侵檢測技術就是這樣產生和發展起來的。

1 入侵檢測的基本概念

入侵檢測：顧名思義，是對入侵行為的發覺。它通過對計算機網絡或計算機系統中得若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（Intrusion Detection System，簡稱IDS）。入侵檢測在不影響網絡性能的情況下對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

2 入侵檢測系統分類

既然入侵檢測系統能夠檢測網絡中發生的未授權和異常的訪問，那我們不禁要問它是通過怎樣的方法來完成這些復雜的檢測工作的。

2.1按照檢測類型劃分

2.1.1異常檢測模型（Anomaly Detection）：檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為，那么每項不可接受的行為就應該是入侵。首先總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。這種檢測模型漏報率低，誤報率高。因為不需要對每種入侵行為進行定義，所以能有效檢測未知的入侵。

2.1.2誤用檢測模型（Misuse Detection）：檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會引起告警。收集非正常操作的行為特征，建立相關的特征庫，當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。這種檢測模型誤報率低、漏報率高。對于已知的攻擊，它可以詳細、準確地報告出攻擊類型，但是對未知攻擊卻效果有限，而且特征庫必須不斷更新。

2.2按照檢測對象劃分

2.2.1基于主機：系統分析的數據是計算機操作系統的事件日志、應用程序的事件日志、系統調用、端口調用和安全審計記錄。主機型入侵檢測系統保護的一般是所在的主機系統。

2.2.2基于網絡：系統分析的數據是網絡上的數據包。網絡型入侵檢測系統擔負著保護整個網段的任務，基于網絡的入侵檢測系統由遍及網絡的傳感器（sensor）組成，傳感器是一臺將以太網卡置于混雜模式的計算機，用于嗅探網絡上的數據包。

2.2.3混合型：基于網絡和基于主機的入侵檢測系統都有不足之處，會造成防御體系的不全面，綜合了基于網絡和基于主機的混合型入侵檢測系統既可以發現網絡中的攻擊信息，也可以從系統日志中發現異常情況。

3 入侵檢測過程分析

入侵檢測過程分為三部分：信息收集、信息分析和結果處理。

3.1信息收集：入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態和行為。由放置在不同網段的傳感器或不同主機的代理來收集信息，包括系統和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行。

3.2信息分析：收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時，產生一個告警并發送給控制臺。

3.3結果處理：控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。

4 入侵檢測技術的發展方向

無論是規模還是方法，入侵技術近年來都發生了變化。入侵的手段與技術也有了“進步與發展”。入侵技術的發展與演化主要反映在下列幾個方面：

入侵或攻擊的綜合化與復雜化。

入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。

入侵或攻擊的規模擴大。

入侵或攻擊技術的分布化。

攻擊對象的轉移。

以往入侵與攻擊常以網絡為侵犯的主體?，F已有專門針對IDS作攻擊的報道。攻擊者詳細地分析了IDS的審計方式、特征描述、通信模式找出IDS的弱點，然后加以攻擊。

今后的入侵檢測技術大致可朝下述三個方向發展。

4.1 分布式入侵檢測。第一層含義，即針對分布式網絡攻擊的檢測方法；第二層含義即使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。

4.2 智能化入侵檢測。即使用智能化的方法與手段來進行入侵檢測。所謂的智能化方法，現階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。但是這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究以解決其自學習與自適應能力。

4.3 全面的安全防御方案。即使用安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估，然后提出可行的全面解決方案。

5 結束語

入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。從網絡信息安全立體縱深、多層次防御的角度出發，入侵檢測應當受到人們的高度重視，也必須將入侵檢測產品的研究與開發列入信息安全領域的重要課題之內。

參考文獻

［1］羅寧，喻莉. 入侵檢測技術研究發展.湖北：計算機與數字工程.2005.

［2］吳海民.入侵檢測系統的發展與變革.上海：信息網絡安全.2005.

［3］郝東白.IDS發展歷史與未來發展趨勢.上海：信息網絡安全.2005.