淺析入侵檢測技術現(xiàn)狀發(fā)展

丁濤

（湖北工業(yè)大學 湖北武漢 430068）

淺析入侵檢測技術現(xiàn)狀發(fā)展

丁濤

（湖北工業(yè)大學 湖北武漢 430068）

網絡的安全問題一直是人們關注的焦點，在這個背景下，對于入侵檢測的概念、功能構成、目的、分類，作了介紹，然后對于基于網絡和主機的入侵檢測技術做了細論。最后又簡單介紹了國內外入侵監(jiān)測系統(tǒng)的產品的一些情況和未來入侵監(jiān)測系統(tǒng)的發(fā)展方向。

網絡安全；入侵檢測

引文

入侵檢測有別于其他的防御方式，其他的防御都是被動的，不會根據(jù)具體行為來決定安全對策，而入侵檢測則主動的多，它不僅能發(fā)現(xiàn)已知的攻擊行為，未知的也能發(fā)現(xiàn)并學習分析入侵手段進而有針對性的對其防范。所以，入侵檢測將是極為有效的一種防范手段。

1 現(xiàn)在網絡安全隱患

對網絡的安全性保護事業(yè)自網絡誕生以來就從未停止過。網絡是一把雙刃劍，在實現(xiàn)連接信息方便人們生活工作的同時，暗含的信息安全隱患問題也日益突出。雖然現(xiàn)在已經有了一些安全防護措施來保駕護航，還有一個有效的方式就是入侵檢測。入侵檢測有別于其他的防御方式，其他的防御都是被動的，不會根據(jù)具體行為來決定安全對策，而入侵檢測則主動的多，它不僅能發(fā)現(xiàn)已知的攻擊行為，未知的也能發(fā)現(xiàn)并學習分析入侵手段進而有針對性的對其防范。所以，入侵檢測將是極為有效的一種防范手段。

2 入侵檢測的定義

傳統(tǒng)的防火墻是一種被動的防護技術，通常是網絡安全的第一道屏障。大量的事實證明，目前的網絡環(huán)境下單純的被動防護方法是遠遠不夠的，還要配合實時入侵檢測和主動響應策略。對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統(tǒng)所采用的技術就是入侵檢測技術，不僅能防范來自于外網的攻擊也能限制內網內用戶的非法行為。

3 入侵檢測的實現(xiàn)

要實現(xiàn)入侵檢測我們主要對用戶及系統(tǒng)活動執(zhí)行監(jiān)視分析、審計系統(tǒng)構造時的弱點、對已知的攻擊行為進行識別和報警、統(tǒng)計并分析異于往常的各種行為和各類模式、對系統(tǒng)和文件數(shù)據(jù)的完整性進行有效評估和識別其他的安全危害動作。

4 入侵檢測的系統(tǒng)功能構成

下面用圖示的方式展示一下入侵檢測是如何進行的，從圖中我們可以看到它的工作原理，其中至少要有對事件的提取、對入侵行為的分析、和入侵行為的反應和遠程管理四部分功能。

圖1 入侵檢測工作原理圖

對入侵行為的分析就是先對提取的數(shù)據(jù)進行分析繼而區(qū)分開正常訪問行為和非正常訪問行為，然后定位入侵者，繼而觸發(fā)入侵響應功能，對入侵行為有所反應。單個的入侵檢測系統(tǒng)不足以實現(xiàn)全范圍的檢測控制，這是由于它的檢測能力和檢測范圍有限的原因。所以更多的會使用分布監(jiān)視集中管理的結構，將網絡和系統(tǒng)分段、分部分，讓多個檢測單元分布其上，通過遠程管理集結在一個站點上進行管理和監(jiān)控。

5 入侵檢測的分類

入侵檢測的分類有兩種——基于主機型和基于網絡型，他們是根據(jù)信息源的不同分化出來的。

5.1 基于主機的入侵檢測系統(tǒng)

事件、系統(tǒng)和WindowsNT下的安全記錄以及Unix環(huán)境下的系統(tǒng)記錄都可以被這種系統(tǒng)所檢測。IDS記錄了很多的攻擊行為的特征，當有類似的行為被識別時，比如文件修改或刪除行為IDS就可以對它進行識別，識別出來就作出相應的處理措施。定期檢驗可執(zhí)行文件和關鍵系統(tǒng)文件可以很好地防范對這二者的入侵行為，它的有效性取決于所設定的期限長短。比如若在特定的端口被訪問時，現(xiàn)在的IDS主要監(jiān)聽端口的活動，所以就會立即報警管理員就可以及時作出反應，從而避免被入侵。

5.2 基于網絡的入侵檢測系統(tǒng)

網卡可以監(jiān)視并分析經過的各種數(shù)據(jù)流，通過對網絡上的網卡來分析網絡數(shù)據(jù)包就是基于網絡的入侵檢測系統(tǒng)。統(tǒng)計分析、模式匹配等技術都被他的分析模塊用來識別是否是攻擊行為。如果通過這些方式識別出了攻擊行為就會報警，也會切斷用戶的網絡連接來保護系統(tǒng)不被損害將損失降到最小。當然，不同的入侵檢測系統(tǒng)會有不同的反應方式，但一般都具有三種技能：切斷連接、報警、記錄相關信息。

再一種就是將以上兩種相結合的集成入侵檢測系統(tǒng)。兩種方案各有所長，互補性也很強，一般廠家基于對安全性的考慮都會同時采用二者。這樣IDS防范外部攻擊的同時，基于主機的入侵檢測系統(tǒng)又可以彌補不得不與Internet外部網絡進行交互的DNS、Email和Web服務器正常使用，所以兩者兼?zhèn)浞阑加谖慈皇潜仨毜摹?/p>

6 入侵檢測技術的發(fā)展方向

近年對入侵檢測技術有幾個主要發(fā)展方向：

6.1 分布式入侵檢測與通用入侵檢測架構

對異構系統(tǒng)及大規(guī)模的網絡的監(jiān)測傳統(tǒng)的IDS就有局限了，傳統(tǒng)的IDS對于單一的主機或者是單一的網絡架構能夠實現(xiàn)它的檢測功能，也完全足夠，但是對于復雜的就明顯心有余力不足了。正因如此，分布式入侵檢測技術與通用入侵檢測架構的使用解決了多個不同的IDS缺少溝通協(xié)作的缺陷。

6.2 應用層入侵檢測

如WEB之類的通用協(xié)議可以被IDS識別檢測，但是有些入侵，除非到了應用層否則不能夠被理解。如Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)IDS就處理不了了，所以在應用層的入侵檢測是十分必要的尤其是基于客戶、服務器結構與中間件技術及對象技術的大型應用更需要在應用層加強防護使用應用層入侵檢測。

6.3 智能的入侵檢測

IDS目前還不完善，很多功能還在嘗試階段，要想讓IDS更加智能化，讓它具備自學習和自適應的能力，我們還應該做更多的研究工作。比如智能體、神經網絡與遺傳算法在入侵檢測領域應用研究等都要再繼續(xù)，再深入，以防范變化多樣日趨復雜不斷升級的入侵方式。

方法入侵的方法隨著入侵方式的變化與多樣性、復雜性還是有很大的成長空間的，從技術方面來講，除了傳統(tǒng)的防范方式，我們應該在入侵檢測領域更加重點加強統(tǒng)計分析的相關技術研究。

[1][美]Rebecca Gurley Bace.入侵檢測[M].人民郵電出版社，1991.

[2]paul E.Proctor.《入侵檢測使用手冊》[M].中國電力出版社，1998.

[3]方東權，楊巋.校園網網絡安全與管理.網絡安全技術與應用，2010.

[4]王國偉，賈宗璞.基于防火墻的網絡入侵檢測研究與設計.計算機與數(shù)字工程，2005.

TP393

A

1004-7344（2016）05-0278-01

2016-2-5