入侵检测系统浅析

入侵检测系统浅析

边瑞卿

陆军边海防学院 710108

摘 要 入侵检测系统是保护信息系统安全的重要途径，是当前网络安全研究与应用的热点，本文首先说明了入侵检测的必要性，然后介绍了入侵检测的定义和分类、入侵检测系统的体系结构，最后对入侵检测的部署进行了初步探索。

关键词 入侵检测 部署

1 入侵检测系统（IDS）的定义

随着网络技术的发展，越来越多的计算机连接到了网络上：互联网或本地的局域网，这给予了黑客通过网络对计算机进行攻击和非法获取资源和数据提供了方便。因此迫切需要提供一种安全措施来检测、防范攻击或对系统资源和数据的未授权访问。当然完全避免此类安全事件是不可能的，所能做到的是尽可能的发现入侵的企图和入侵的行为，然后采用有效的措施阻止入侵、向有关人员报警，然后尽可能的恢复系统、修补漏洞。这种系统就叫做入侵检测系统（Intrusion detection system，IDS）。

入侵检测系统（IDS）是近年来发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。

2 入侵检测系统的必要性

防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析，保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。

同时，由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。如果把放火防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案。

3 入侵检测技术的分类

入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合，入侵主要包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用等类型。入侵检测技术主要分为：异常入侵检测和误用入侵检测。异常入侵检测：是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常入侵检测的假设是入侵者的活动异常于正常主体的活动。根据此假设，建立主体正常活动的“活动档案”，将当前主体的活动状况与“活动档案”进行比较，当违反其统计规律时，就可以认为该活动可能是入侵行为。异常入侵检测试图用定量的方式来描述可以接收的行为特征，以区分非正常的、潜在的入侵性行为。异常入侵行为可以分为：外部闯入、内部渗透和不当行为。外部闯入是指未经授权的系统用户的入侵；内部渗透是指已授权的系统用户访问未经授权的资源；不当行为是指授权的用户对授权的资源使用不合法或滥用授权。异常检测的难点在于如何建立“活动档案”，如何设计算法降低漏警率和误警率。误用入侵检测是指利用已知系统和应用软件的bug攻击模式来检测入侵。与异常入侵检测相反误用入侵检测直接检测不利的或不可接受的行为，而异常入侵检测是检测出与正常行为相违背的行为。

4 入侵检测系统的体系结构

入侵检测系统的体系结构可以分为基于主机（host-based），基于网络（network-based）和基于主体（agent-based）等。

基于主机的入侵检测系统其检测的目标主要是主机系统和系统本地用户。检测的原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。此系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的定义。这些系统的实现不全在目标主机上，有些采用独立的外围处理机，也有的使用网络将主机的信息传送到中央分析单元。但是他们全部是根据目标系统的审计记录工作，能否及时采集到审计记录是这些系统的弱点，因此入侵者可能会将主机审计系统作为攻击目标以避开入侵检测系统。在现有的网络环境下，单独依靠主机审计信息进行入侵检测难以满足网络安全的需求，因为：主机的审计数据的弱点，如易受攻击，而且入侵者可以通过使用某些系统特权和调用比审计本身更低级的操作来逃避审计；不能通过分析主机的审计记录来检测网络攻击。

基于网络的入侵检测系统通过在共享网段上对通信数据进行侦听，采集数据，分析可疑现象，系统根据网络流量、协议分析、简单网络管理协议信息等检测入侵。与基于主机系统的入侵检测系统对比，此系统对入侵者而言是透明的，入侵者不知道有入侵检测系统的存在，此类系统不需要主机提供严格的审计，因而对主机资源消耗少，而且由于网络协议是标准的，具体实现时往往基于主机和基于网络的入侵检测系统可构成统一集中的系统。而且随着网络系统结构的复杂化和大型化，系统的弱点和漏洞趋向分布式，入侵行为也不再表现为单一的行为，而是相互协作入侵的特点。随之出现了基于主体的入侵检测系统和分布式的入侵检测系统。

5 入侵检测系统部署

对于入侵检测系统来说，其类型不同、应用环境不同，部署方案也就会有所差别。对于基于主机的入侵检测系统来说，它一般用于保护关键主机或服务器，因此只要将它部署到这些关键主机或服务器中即可。但是基于网络的入侵检测系统来说，各种网络环境千差万别，根据网络环境的不同，其部署方案也就会有所不同。

5.1 共享部署

在共享介质的环境下，传感器能够监听到整个冲突域内的流量，所以只需要把传感器的监听端口接到Hub上即可。

5.2 交换环境

在交换环境下，每个交换机的端口都是一个独立的冲突域，因此传感器不能直接监听到交换机其他端口的流量，通常可以采用以下几种方法解决。

方法1：在Switch和Router之间接入一个Hub，从而把一个交换环境转换为共享环境。这样做的优点是简单易行，成本低廉。如果客户对网络的传输速度和可靠性要求不高，建议采用这种方式。

方法2：如果交换机支持端口镜向的功能，建议采用这种方式，可以在不改变原有网络拓扑结构的基础上完成传感器的部署，配置简单、灵活，使用方便，不需要中断网络，是比较常用的一种方式。

方法3：如果交换机不支持端口镜像功能，或者出于性能的考虑不便启用该功能，可以采用TAP(分支器)，即将其接在所有监测的线路上，它的优点是能够支持全双工100Mbps或者全双工1000Mbps

的网络流量，缺点是必须购买额外的设备(TAP)。

姓名边瑞卿，性别男，籍贯内蒙古武川，出生年月1977.10，学历硕研，职称讲师，工作单位陆军边海防学院，研究方向边海防战略