入侵检测系统

入侵检测系统

1. 引言

1.1 背景

近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System，简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

1.2 背国内外研究现状

入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如开放源代码的snort，虽然它已经跟不上发展的脚步，但它也是各种商业IDS的参照系；NFR公司的NID等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。

2. 入侵检测的概念和系统结构

2.1 入侵检测的概念

入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵

信号的分析过程。使监控和分析过程自动化的软件或硬件产品称为入侵

检测系统（Intrusion Detection System），简称IDS。一个完整的入

侵检测系统必须具有：经济性、时效性、安全性、可扩展性的特点。

2.2 入侵检测的系统结构

入侵检测系统的基本结构构成CIDF（Common Intrusion Detection Frame,公共入侵检测框架）提出了通用模型，将入侵检测系统分为四个

基本组件：事件产生器、事件分析器、响应单元和事件数据库，见图。

图2-1公共入侵检测框架（CIDF）的体系结构

(1) 事件产生器（Event generators） 事件产生器是入侵检测系统

中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后

将收集到的原始数据转换为事件，并向系统的其他部分提供此事件。

(2) 事件分析器（Event analyzers） 事件分析器接收事件信息，

然后对它们进行分析，判断是否是入侵行为或异常现象，最后把判断的

结果转换为警告信息。

(3) 事件数据库（Response units ） 事件数据库是存放各种中间

和最终数据的地方。

(4) 响应单元（Response units ） 响应单元根据警告信息做出反应，如切断连接、改变文本属性等强烈的反应，也可能是简单地报警。

它是入侵检测系统中的主动武器。

3. 入侵检测系统的分类

通过对现有的入侵检测系统和入侵检测技术的研究，可以从以下几个方面对入侵检测系统进行分类

3.1 根据目标系统的类型分类

根据目标系统类型的不同可以将入侵检测系统分为如下两类。

(1) 基于主机（host-based）的入侵检测系统

通常，基于主机的入侵检测系统可以检测系统、事件和操作系统下的安全记录以及系统记录。当文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看他们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。基于主机的入侵检测系统如图3-1。

图3-1 基于主机的入侵检测系统的基本结构

(2) 基于网络（network-based）的入侵检测系统

基于网络的入侵检测系统使用原始网络数据包作为数据源。它通常利用一个运行在混杂模式下的网络适配器来实时监视并分析网络的所有通信业务。基于网络的入侵检测系统的基本结构如图3-2。

图3-2 基于主机的入侵检测系统的基本结构

3.2 根据入侵检测分析方法分类

根据入侵检测分析方法的不同可以将入侵检测系统分为如下两类。

（1）误用入侵检测（特征检测 signature-based）

误用检测是基于已知的系统缺陷和入侵模式，所以又称为特征检测。误用检测是对不正常的行为建模，这些不正常的行为是被记录下来的确认的误用和攻击。通过对系统活动的分析，发现与被定义好的攻击特征相匹配的事件或事件集合。该检测方法可以有效地检测到已知攻击，检测精度高，误报少。但需要不断更新攻击的特征库，系统灵活性和自适应性较差，漏报较多。商用IDS多采用该种检测方法。

（2）异常入侵检测（anomaly-based）

异常检测是指能根据异常行为和使用计算机资源的情况检测出入侵的方法。它试图用定量的方式描述可以接受的行为特征，以区分非正常

的、潜在的入侵行为。也就是，异常检测是对用户的正常行为建模，通过正常行为与用户的行为进行比较，如果二者的偏差超过了规定阈值则认为该用户的行为是异常的。异常检测的误报较多。目前，大多数的异常检测技术还处于研究阶段，基本没有用于商业IDS中。

3.3 根据检测系统各个模块运行的分布方式分类

根据检测系统各个模块运行的分布方式的不同可以将入侵检测系统分为如下两类。

(1) 集中式入侵检测系统

集中式IDS有多个分布在不同主机上的审计程序，仅有一个中央入侵检测服务器。审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。随着服务器所承载的主机数量的增多，中央服务器进行分析处理的数量就会猛增，而且一旦服务器遭受攻击，整个系统就会崩溃。

（2）分布式（协作式）入侵检测系统

分布式IDS是将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都等到了显著的提高，并且与集中式IDS相比，分布式IDS对基于网络的共享数据量的要求较低。但维护成本却提高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。

3.4 其他的分类方法

(1) 根据入侵检测系统分析的数据来源分类

入侵检测系统分析的数据可以是：主机系统日志、原始的网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等。据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。

(2) 根据系统对入侵攻击的响应方式分类

①主动的入侵检测系统系统。 在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者)退出以及关闭相