入侵检测系统1. 引言1.1 背景近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。

作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System，简称 IDS)得到了迅猛的发展。

依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。

据统计，全球80%以上的入侵来自于内部。

由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。

入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。

在入侵攻击过程中，能减少入侵攻击所造成的损失。

在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。

入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

1.2 背国内外研究现状入侵检测技术国外的起步较早，有比较完善的技术和相关产品。

如开放源代码的snort，虽然它已经跟不上发展的脚步，但它也是各种商业IDS的参照系；NFR公司的NID等，都已相当的完善。

虽然国内起步晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。

2. 入侵检测的概念和系统结构2.1 入侵检测的概念入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分析过程。

使监控和分析过程自动化的软件或硬件产品称为入侵检测系统（Intrusion Detection System），简称IDS。

一个完整的入侵检测系统必须具有：经济性、时效性、安全性、可扩展性的特点。

2.2 入侵检测的系统结构入侵检测系统的基本结构构成CIDF（Common Intrusion Detection Frame,公共入侵检测框架）提出了通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库，见图。

图2-1公共入侵检测框架（CIDF）的体系结构(1) 事件产生器（Event generators） 事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后将收集到的原始数据转换为事件，并向系统的其他部分提供此事件。

(2) 事件分析器（Event analyzers） 事件分析器接收事件信息，然后对它们进行分析，判断是否是入侵行为或异常现象，最后把判断的结果转换为警告信息。

(3) 事件数据库（Response units ） 事件数据库是存放各种中间和最终数据的地方。

(4) 响应单元（Response units ） 响应单元根据警告信息做出反应，如切断连接、改变文本属性等强烈的反应，也可能是简单地报警。

它是入侵检测系统中的主动武器。

3. 入侵检测系统的分类通过对现有的入侵检测系统和入侵检测技术的研究，可以从以下几个方面对入侵检测系统进行分类3.1 根据目标系统的类型分类根据目标系统类型的不同可以将入侵检测系统分为如下两类。

(1) 基于主机（host-based）的入侵检测系统通常，基于主机的入侵检测系统可以检测系统、事件和操作系统下的安全记录以及系统记录。

当文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看他们是否匹配。

如果匹配，系统就会向管理员报警，以采取措施。

基于主机的入侵检测系统如图3-1。

图3-1 基于主机的入侵检测系统的基本结构(2) 基于网络（network-based）的入侵检测系统基于网络的入侵检测系统使用原始网络数据包作为数据源。

它通常利用一个运行在混杂模式下的网络适配器来实时监视并分析网络的所有通信业务。

基于网络的入侵检测系统的基本结构如图3-2。

图3-2 基于主机的入侵检测系统的基本结构3.2 根据入侵检测分析方法分类根据入侵检测分析方法的不同可以将入侵检测系统分为如下两类。

（1）误用入侵检测（特征检测 signature-based）误用检测是基于已知的系统缺陷和入侵模式，所以又称为特征检测。

误用检测是对不正常的行为建模，这些不正常的行为是被记录下来的确认的误用和攻击。

通过对系统活动的分析，发现与被定义好的攻击特征相匹配的事件或事件集合。

该检测方法可以有效地检测到已知攻击，检测精度高，误报少。

但需要不断更新攻击的特征库，系统灵活性和自适应性较差，漏报较多。

商用IDS多采用该种检测方法。

（2）异常入侵检测（anomaly-based）异常检测是指能根据异常行为和使用计算机资源的情况检测出入侵的方法。

它试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。

也就是，异常检测是对用户的正常行为建模，通过正常行为与用户的行为进行比较，如果二者的偏差超过了规定阈值则认为该用户的行为是异常的。

异常检测的误报较多。

目前，大多数的异常检测技术还处于研究阶段，基本没有用于商业IDS中。

3.3 根据检测系统各个模块运行的分布方式分类根据检测系统各个模块运行的分布方式的不同可以将入侵检测系统分为如下两类。

(1) 集中式入侵检测系统集中式IDS有多个分布在不同主机上的审计程序，仅有一个中央入侵检测服务器。

审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。

随着服务器所承载的主机数量的增多，中央服务器进行分析处理的数量就会猛增，而且一旦服务器遭受攻击，整个系统就会崩溃。

（2）分布式（协作式）入侵检测系统分布式IDS是将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。

所以，其可伸缩性、安全性都等到了显著的提高，并且与集中式IDS相比，分布式IDS对基于网络的共享数据量的要求较低。

但维护成本却提高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。

3.4 其他的分类方法(1) 根据入侵检测系统分析的数据来源分类入侵检测系统分析的数据可以是：主机系统日志、原始的网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等。

据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。

(2) 根据系统对入侵攻击的响应方式分类①主动的入侵检测系统系统。

在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者)退出以及关闭相关服务等对策和响应措施。

②被动的入侵检测系统。

检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则由系统管理员来完成。

4. 入侵检测系统的功能4.1 入侵检测系统的主要功能：(1) 监视并分析用户和系统的行为；(2) 审计系统配置和漏洞；(3) 评估敏感系统和数据的完整性；(4) 识别攻击行为、对异常行为进行统计；(5) 自动收集与系统相关的补丁；(6) 审计、识别、跟踪违反安全法规的行为；(7) 使用诱骗服务器记录黑客行为；4.2 入侵检测系统的功能结构4.2.1 入侵检测系统的工作模式入侵检测是防火墙的合理补充，帮助系统对付来自外部或内部的攻击，扩展了系统管理员的安全管理能力(如安全审计、监视、攻击识别及其响应)，提高了信息安全基础结构的完整性。

入侵检测系统的主要工作就是从信息系统的若干关键点上收集信息，然后分析这些信息，用来得到网络中有无违反安全策略的行为和遭到袭击的迹象。

无论对于什么类型的入侵检测系统，其工作模式都可以体现为以下步骤。

下图所示：数据收集数据分析结果处理数据数据事件结果图4-1 工作模式4.2.2 入侵检测系统的功能结构一个典型的入侵检测系统从功能上可以分为3个组成部分：感应器（Sensor）、分析器（Analyzer）和管理器（Menager）,如图4-2所示：管理器（Menager）分析器（Analyzer）感应器（Sensor）网络主机应用程序图 4-2入侵检测系统的功能结构4.2.2.1 信息收集模块感应器负责收集信息(1) 收集的数据内容主机和网络日志文件；目录和文件中不期望的改变；程序执行中的不期望行为；物理形式的入侵信息(2) 入侵检测系统的数据收集机制基于主机的数据收集和基于网络的数据收集；分布式与集中式数据收集机制；直接监控和间接监控；外部探测器和内部探测器4.2.2.2 数据分析模块分析器从许多感应器接受信息，并对这些信息进行分析以决定是否有入侵行为发生，就是对从数据源提供的系统运行状态和活动记录进行同步、整理、组织、分类以及各种类型的细致分析，提取其中包含的系统活动特征或模式，用于对正常和异常行为的判断...3 入侵响应模块管理器通常也被称为用户控制台，它以一种可视的方式向用户提供收集到的各种数据及相应的分析结果，用户可以通过管理器对入侵检测系统进行配置，设定各种系统的参数，从而对入侵行为进行检测以及相应措施进行管理。

一个好的IDS应该让用户能够裁剪定制其响应机制，以符合特定的需求环境。

(1) 主动响应系统自动或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程，通常可以选择的措施有：针对入侵者采取的措施；修正系统；收集更详细的信息。

(2) 被动响应在被动响应系统中，系统只报告和记录发生的事件。

5. 入侵检测器的部署对于入侵检测系统来说，其类型不同，应用环境不同，部署方案也就会有所差别。

5.1在基于网络的IDS中部署入侵检测器基于网络的IDS主要检测网络数据报文，因此一般将检测器部署在靠近防火墙的地方。

具体可安排在下图中的几个位置：内部网关键子网检测器(3)(4)检测器(1)检测器(2)(4)检测器(5)外部网络图5-1基于网络的IDS中部署入侵检测器其中，检测器可安放的位置: DMZ(DeMilitarized Zone,隔离区)也称“非军事化区”；内网主干(防火墙内侧)；外网入口(防火墙外侧)；在防火墙的内外都放置；关键子网5.2在基于主机的IDS中部署入侵检测器基于主机的IDS通常是一个程序，部署在最重要、最需要保护的主机上用于保护关键主机或服务器。

6. 入侵检测系统的发展方向及评估6.1 入侵检测系统(1)入侵检测系统的优点：提高了信息系统安全体系其他部分的完整性；提高了系统的监察能力；可以跟踪用户从进入到退出的所有活动或影响；能够识别并报告数据文件的改动；可以发现系统配置的错误，并能在必要时予以改正；可以识别特定类型的攻击，并进行报警，作出防御响应；可以使管理人员最新的版本升级添加到程序中；允许非专业人员从事系统安全工作；可以为信息系统安全提供指导。