入侵檢測技術研究現(xiàn)狀

張 甜

天津師范大學計算機與信息工程學院，天津 300387

入侵檢測技術，可以理解為識別或檢測針對計算機網(wǎng)絡資源以及信息的不合法意圖和行為，并且對此行為做出響應的過程。能夠執(zhí)行并完成以上功能的獨立系統(tǒng)就是入侵檢測系統(tǒng) (Intrusion Detection System，以下簡稱IDS)。IDS 可以識別技術未授權對象入侵系統(tǒng)的企圖或行為，同時檢測授權對象對計算機系統(tǒng)資源和信息的非法操作。

有效的IDS，應做的到如下幾點要求。首先可以讓計算機系統(tǒng)管理員時刻掌握網(wǎng)絡系統(tǒng)的任何變更，其次應該能夠為計算機網(wǎng)絡安全策略提供幫助指南，再次，它能夠做到管理配置方便簡單，最后IDS 還可以根據(jù)安全需求、系統(tǒng)構造以及網(wǎng)絡威脅變更而改變。

1 入侵檢測技術的類別

根據(jù)檢測技術類型可劃分為異常行為檢測技術類型和漏洞檢測技術類型。根據(jù)異常或者不合法行為和使用計算機資源信息的情況檢測入侵的技術類型被稱為異常入侵攻擊檢測。漏洞入侵檢測是利用已知系統(tǒng)和應用軟件的漏洞攻擊方式檢測入侵。

根據(jù)IDS 結構類型區(qū)分入侵檢測技術，則有以下幾種類別：基于主機的入侵檢測、基于網(wǎng)絡的入侵檢測以及這兩種技術的混合入侵檢測方式。基于主機的入侵檢測技術主要是根據(jù)IDS所在主機的統(tǒng)計數(shù)據(jù)和系統(tǒng)日志識別檢測可疑事件。基于網(wǎng)絡的入侵檢測則主要根據(jù)網(wǎng)絡管理協(xié)議、協(xié)議分析、網(wǎng)絡流量等信息檢測入侵。混合入侵檢測是將以上兩種入侵檢測技術結合在一起。

根據(jù)IDS 控制布局類型可分為集中式入侵檢測和分布式入侵檢測。集中式入侵檢測的定義是將局域網(wǎng)內每個計算機收集的數(shù)據(jù)匯總到中央計算機進行集中批量處理。與此相對應，運用多個節(jié)點或多個中央處理器共同合作檢測被監(jiān)視的計算機就是分布式IDS。

根據(jù)系統(tǒng)對入侵攻擊的響應方式可分為主動入侵檢測和被動入侵檢測。主動IDS 在檢測到入侵攻擊信息后，能夠立即實施預先定義的措施，包括自動修補本機漏洞、強制違法用戶退出本機以及關閉受保護的相關服務等響應措施。與主動IDS 不同的是被動IDS 在檢測或識別出對網(wǎng)絡資源或本機信息的入侵攻擊后只是向網(wǎng)絡系統(tǒng)安全管理員產生報警信息警告。

2 入侵檢測技術基本結構

2.1 信息收集

信息收集是入侵檢測技術的第一步。一般來說，IDS 通過以下方式獲得信息。

第一種方式是通過網(wǎng)絡檢測數(shù)據(jù)包報文收集IDS 所需信息。但是這樣做的缺點是只能夠檢測到本系統(tǒng)所在機器的報文，將網(wǎng)卡設置為混雜模式就可以解決這一問題。

第二種方式是把IDS 模塊安裝在主機上，由IDS 模塊負責收集本主機上的信息，常用的信息包括系統(tǒng)調用、特定進程信息、系統(tǒng)日志、特定程序日志等。

在具體的計算機網(wǎng)絡應用中，以上兩種獲得信息的方式是合作完成入侵檢測的。

2.2 信息分析

信息分析是入侵檢測技術的第二步。IDS 中的知識庫負責記錄事先定義的特定安全策略。IDS 在完成第一步即收集到所需的相關信息后，將這些信息與知識庫中所有的安全策略逐一對比，IDS 就是通過這種方法檢測出收集到的信息中是否包含違反安全策略的行為。

關于IDS 定義知識庫的方法，通常做法是查看第一步網(wǎng)絡或主機收集到的信息中是否含有特定的入侵攻擊特征。IDS 知識庫能夠定義了哪些種類的報文包含入侵攻擊信息。

IDS 的核心技術是構建知識庫，其目的是準確定義入侵行為，這是IDS 與其他行為管理軟件的不同之處。雖然它們都可以監(jiān)視網(wǎng)絡信息和行為，但是IDS 包含記錄入侵攻擊特征信息的知識庫。攻擊特征的準確性直接決定了IDS 檢測技術的準確率。

IDS 一般應用統(tǒng)計分析或者模式匹配進行實施入侵檢測，應用完整性分析進行事后分析。這三種方法都可以對收集到的系統(tǒng)數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)、及用戶活動狀態(tài)和行為數(shù)據(jù)等信息進行深度挖掘分析。

2.3 結果響應

在完成收集信息和信息分析之后，入侵檢測的第三個步驟是結果響應。IDS 檢測到入侵攻擊信息后命令控制臺按照系統(tǒng)中定義的相應的結果響應采取對應的防護安全措施，可以是IDS 主動響應安全防護，包括：防止或阻止攻擊、更新路由器和防火墻配置、中斷相應進程、終止或中斷網(wǎng)絡連接以及更新重要文件屬性等措施，也可以是IDS 被動響應安全防護，如：記錄入侵攻擊事件或只是發(fā)出警告。

3 入侵檢測技術現(xiàn)有的缺點

3.1 阻斷入侵的能力低

雖然IDS 可以識別入侵進而阻斷連接，并支持對內外攻擊和誤操作的實時保護，但只是側重于發(fā)現(xiàn)和識別入侵攻擊行為。未來可將IDS 與防火墻結合使用，配置 IDS 的相應安全策略，并指定對象防火墻的密鑰及地址。由 IDS 與防火墻發(fā)起并建立正常連接，IDS 產生新的安全事件后隨即通知防火墻，防火墻隨之做出相應的安全措施響應，使安全機制從源頭上識別并阻斷入侵攻擊行為。這樣不僅提高防火墻的實時反應能力，還能提升 IDS 的阻斷能力。

3.2 高誤報率和高漏報率

IDS 不能有效地檢測高速交換網(wǎng)絡中的所有的數(shù)據(jù)包，并且分析信息的準確率不高，就會產生誤報。IDS 檢測入侵攻擊規(guī)則的更新落后于入侵攻擊手段的更新，就容易導致漏報。未來可將數(shù)據(jù)包報文信息直接存儲到系統(tǒng)內核事先指定的地址空間中，并且將系統(tǒng)內核中存儲數(shù)據(jù)包報文信息的內存直接映射到入侵檢測模塊的應用程序空間當中。入侵檢測模塊可以直接對訪問這部分內存，因此減少了系統(tǒng)內核向用戶應用程序空間的內存復制以及系統(tǒng)調用的開銷。IDS 可以自動獲取當前網(wǎng)絡狀態(tài)數(shù)據(jù)信息，并且根據(jù)網(wǎng)絡狀態(tài)的實時變化隨時更新防護配置，使得IDS 中入侵檢測規(guī)則只和當前網(wǎng)絡狀態(tài)相關。通過此種方式達到預防攻擊，以及保護計算機網(wǎng)絡信息的目的。

[1]戴連英，連一峰，王航.系統(tǒng)安全與入侵檢測技術[M].北京：清華大學出版社，2002，3.

[2]壬強.計算機安全入侵檢測方案的實現(xiàn)[J].計算機與信息技術，2007，14：288，320.

[3]張志剛，吳建設.入侵檢測技術在網(wǎng)絡安全中的應用[J].黃石理工學院學報，2008，24(5)：l3-15.

[4]夏炎，尹慧文.網(wǎng)絡入侵檢測技術研究[J].沈陽工程學院學報：自然科學版，2008，4(4)：362-363.