探讨入侵检测系统

探讨入侵检测系统

陈中锡

关键词：入侵检测系统控制策略

随着计算机网络在人们生活中的广泛应用，由网络安全引发的各种问题也越来越普遍，网络安全技术的研究变的越来越重要。网络安全防御有多种技术，包括防火墙、认证、加密等手段，但是这些被动的防御措施可能会被绕过，而一旦这些防御措施被绕过，系统将全面暴露在攻击之下，因此作为一种主动防御措施，入侵检测应运而生。并且在若干年的时间里就有了巨大的发展，部署方式上从主机IDS，NIDS走向两个结合的分布式智能代理(AGENT)发展；检测算法从最初的模式匹配，到现在的神经网络；入侵检测及数据挖掘、IIDS(智能化入侵检测)、遗产算法等；响应方式从单一的报警发展到更多种类更主动的主动防御、多部件连动；数据来源也从简单的网络数据包和系统日志走向数据融合。

一、入侵检测系统及相关概念

入侵检测系统（简称“IDS”）主要是通过监控网络、系统的状态，行为以及系统的使用情况，来检测系统用户的越权使用情况以及系统外部入侵者利用系统的安全缺陷对系统进入侵的企图。入侵检测系统的组成主要有采集模块，分析模块，和管理模块。采集模块主要是用来搜集数据，供入侵检测系统进行分析；分析模块完成对数据的解析，给出怀疑值或者作出判断；管理模块主要功能是作决策和响应。为了更好的完成入侵检测系统的功能，系统一般还有数据预处理模块、通信模块、响应模块和数据存储模块等。

二、入侵检测系统的分类

随着入侵检测技术的发展，到目前为止出现了很多入侵检测系统，不同的入侵检测系统具有不同的特征。根据不同的分类标准，入侵检测系统可分为不同的类别。对于入侵检测系统，要考虑的因素（分类依据）主要有：信息源、入侵、事件生成、事件处理、检测方法等。

1、按照控制策略分类。控制策略描述了IDS的各元素是如何控制的，以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为，集中式IDS、部分分布式IDS和全部分布式IDS。

2、按照同步技术分类。同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分，IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中，信息源是以文件的形式传给分析器，一次只处理特定时间段内产生的信息，并在入侵发生时将结果反馈给用户。

3、按照信息源分类。按照信息源分类是目前最通用的划分方法，它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS，能够同时分析来自主机系统日志和网络数据流，系统由多个部件组成，采用分布式结构。

4、按照分析方法分类。按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中，首先建立一个对过去各种入侵方法和系统缺陷知识的数据库，当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法，因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的，即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库，由于库的有限性使得虚警率比较高。

5、按照响应方式分类。按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时，主动IDS会采用以下三种响应：收集辅助信息；改变环境以堵住导致入侵发生的漏洞；对攻击者采取行动。被动响应IDS则是将信息提供给系统用户，依靠管理员在这一信息的基础上采取进一步的行动。

此外，对IDS的部署唯一的要求是IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

三、入侵检测系统的发展方向

由于近几年来针对网络和计算机系统的入侵行为越来越多，人们对入侵检测系统的需求越来越大，对此的研究也越来越深入，入侵检测系统无论是在技术上还是在产品开发上都得到了快速的发展。近年来系统和网络的漏洞不断被发现，入侵技术无论是从规模上还是方法上都发生了变化，入侵的手段与技术也有了“进步与发展”，这种“进步与发展”直接加速了人们对入侵检测系统的研究和推广工作。

总之，目前的入侵检测技术发展迅速，应用的技术也很广泛，随着入侵检测技术的发展，成型的产品已陆续应用到实践中。在目前的计算机安全状态下，基于防火墙、加密技术的安全防护固然重要，但是，要根本改善系统的安全现状，必须要发展入侵检测技术，它已经成为计算机安全策略中的核心技术之一。IDS作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术安全性的要求越来越高，入侵检测技术必将受到人们的高度重视。

参考文献：

[1]曾昭苏，王锋波，基于数据开采技术的入侵检测系统[J]，自动化博览，2002,8

[2]唐洪英，付国瑜，入侵检测的原理与方法[J]，重庆工学院学报，2002.4