入侵檢測系統概述

摘要:入侵:是對信息系統的非授權訪問以及未經許可在信息系統中進行的操作。它可以造成系統數據的丟失和破壞，甚至會造成系統拒絕對合法用戶服務等后果。入侵檢測:是對企圖入侵、正在進行的入侵或者己經發生的入侵進行識別的過程。具體就是通過檢查操作系統的審計數據或網絡數據包信息來檢測系統中違背安全策略或危及系統安全的行為或活動，從而保護信息系統的資源不受拒絕服務攻擊，防止系統數據的泄漏、篡改和破壞等。入侵檢測系統:所有能夠執行入侵檢測任務和功能的系統，都可以稱為入侵檢測系統，其中包括軟件系統和軟硬件結合系統。

關鍵詞:入侵;檢測;系統

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9625-03

1 入侵檢測系統的體系結構

CIDF 是一套規范，它定義了IDS表達檢測信息的標準語言以及IDS組件之間的通信協議，符合CIDF規范的IDS可以共享檢測信息，相互通信，協同工作，還可以與其它系統配合實施統一的配置響應和恢復策略。CIDF早期由美國國防部高級研究計劃局贊助研究，現在由CIDF工作組負責，這是一個開放組織。實際上CIDF已經成為一個開放的共享的資源。

CIDF的標準化工作的重點在于集成各種IDS使之協同工作，實現各IDS之間的組件重用，所以CIDF也是構建分布式IDS的基礎。

CIDF將一個入侵檢測系統分為一些彼此獨立又相互協作的組件:事件產生器 (Event generators);事件分析器 (Event analyzers);響應單元 (Response units);事件數據庫 (Event databases)。圖 1給出了CIDF的系統體系結構。CIDF將入侵檢測系統需要分析的數據統稱為事件(event)，它可以是網絡中的數據包，也可以是從系統日志等其它途徑得到的信息。事件產生器是IDS的檢測部件，它的目的是從整個計算環境中獲得事件，并向系統的其它部分提供此事件。事件分析器是IDS的決策部件，負責對原始檢測數據進行分析，以判斷是否有以及有何種入侵行為發生。響應單元也稱為反應器，是IDS的執行部件，負責對已經檢測出的入侵作出相應的動作，它可以發出切斷網絡連接、改變文件屬性等強烈反應，甚至發動對攻擊者的反擊，也可以只是簡單的報警。事件數據庫是IDS的存儲部件，是對存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。

在現有的入侵檢測系統中的數據采集部分、分析部分和響應部分分別對應于CIDF 的事件產生器、事件分析器和響應單元，入侵檢測系統日志(log)則對應于事件數據庫。目前CIDF 標準還沒有正式確立，也沒有一個入侵檢測商業產品采用該標準，但因為入侵檢測系統的特殊性，各種入侵檢測系統的模型實際上都有很大的相似性。各種入侵檢測系統各自為陣，系統之間的互操作性很差，因此各廠商都在按照 CIDF進行信息交換的標準化工作。

2 入侵檢測系統分類

目前的入侵檢測系統主要有4種分類方法，分述如下:

2.1 根據檢測時采用的技術分類

根據檢測時采用的技術分類，分為兩種:

1)基于異常檢測的檢測系統

基于異常檢測的檢測系統根據使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現來檢測，能發現一些未知的入侵行為。其優點是對具體系統的依賴性相對較小。缺點在于誤檢率很高，尤其在用戶數目眾多或工作行為經常改變的環境中。

2) 基于誤用檢測的檢測系統

基于誤用檢測的檢測系統大多是通過對一些具體的行為判斷和推理，從而檢測出入侵。通常是標識一些已知的入侵行為。其優點是由于依據具體特征庫進行判斷，準確度較高。缺點在于對具體的系統依賴性太強，移植性不好。

2.2 根據系統檢測的對象分類

根據系統檢測的對象進行分類，分為如下三種:

1) 基于主機的入侵檢測系統(HIDS)

早期基于主機的入侵檢測是通過監視與分析主機的審計記錄來檢測入侵。這些系統的實現也不全在目標主機上，例如使用網絡將主機的信息傳送到中央分析單元。基于主機的入侵檢測系統在發展過程中也融入了其它技術，如通過定期檢查關鍵系統文件和可執行文件以便發現意外的變化?；谥鳈C的入侵檢測系統具有如下的優點:可監視特定的系統活動;適用于加密的及交換的環境;對網絡流量不敏感;不要求額外的硬件設備。

2) 基于網絡的入侵檢測系統(NIDS)

基于網絡的入侵檢測系統在共享網段上對通過網絡的所有通信業務數據進行偵聽，采集原始網絡包作為數據源并分析可疑現象。由于這類系統并不需要主機提供嚴格的審計，因而對主機資源消耗少，并且由于網絡協議是標準的，它可以提供對網絡通用的保護而無需顧及異構主機不同架構?；诰W絡的入侵檢測系統具有如下的優點:可檢測低層協議的攻擊;攻擊者不易轉移證據;實時檢測和響應;可靠性好;操作系統無關性;不占用被檢測系統的資源。但是，基于網絡的入侵檢測系統也有如下一些明顯的弱點容易受到拒絕服務攻擊;不適合于交換式網絡;不適合于加密環境。

3) 混合入侵檢測( Hybrid IDS )

基于主機和基于網絡的IDS系統都能發現對方無法檢測到的一些入侵行為，它們有各自的優點，并且互為補充。所以一種真正有效的入侵檢測系統應該是將二者結合起來，以提供更加有效的入侵檢測和保護措施。混合入侵檢測系統就是綜合了HIDS和NIDS兩種結構特點的入侵檢測系統，既可發現網絡中的攻擊信息，也可從系統日志中發現異常情況。它最終可能是IDS市場的主角。

2.3 根據工作方式分類

根據工作方式來分，分為如下兩種:

1) 實時入侵檢測(在線式)

對網絡數據包或主機的審計數據等進行實時分析，可以快速反應，保護系統的安全。但在系統規模較大時，難以保證實時性。

2) 事后入侵檢測(離線式)

通過事后分析審計事件和文件等，從中檢測入侵事件。這可以分析大量事件，調查長期的情況，有利于其它方法建立模型。但由于是在事后進行，不能對系統提供及時的保護。而且很多入侵在完成后都將審計事件去掉，無法進行分析。

2.4 根據控制方式分類

根據控制方式可分為二種:

1) 集中式入侵檢測系統

集中式入侵檢測系統中，無論監視的網絡有多少主機，數據分析都在一個固定的位置進行。這類系統有IDES，IDIOT，NADIR，NSM等。

2) 分布式入侵檢測系統

分布式入侵檢測系統中，可根據網絡中主機的分布，將數據分析均勻的分布到許多不同位置進行，這類系統有DIDS，GrIDS， EMERALD， AAFID等。根據分布的程度，又可在分為部分分布式和完全分布式結構(或稱層次性分布式和完全性分布式)。

3 主要入侵檢測技術的對比分析

應用于入侵檢測系統中的技術有很多，不同類型的入侵檢測系統采用的技術是不一樣的，但這些技術也不是獨立的，它們存在著交叉的關系，在入侵檢測中經常是結合使用的。從大策略上而言，主要分為異常檢測技術和誤用檢測技術，在這兩種策略中，又分為多種具體的技術，主要有以下這些技術。

3.1 模式匹配

模式匹配就是將收集到的信息與己知的網絡入侵和系統誤用模式規則庫進行比較，從而發現違反安全策略的行為的技術。它常用于誤用檢測，該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令)，也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。

模式匹配技術的優點在于:只需收集相關的數據集合，且技術已相當成熟;與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但它也存在缺陷，必須對攻擊模式本身進行描述，以提取攻擊手段的特征，把已知的攻擊方法翻譯成可以為檢測模型所使用的模式并非一件容易的工作;并且它只能檢測已知模式的攻擊，不能檢測到從未出現的黑客攻擊手段，因此需要不斷的升級以對付不斷出現的黑客攻擊手法。

3.2 協議分析和命令解析

協議分析與命令解析也可以說是模式匹配技術的某種擴展，它的提出主要是區別早期以字符串內容匹配為主的模式匹配技術，它結合高速數據包捕捉、協議分析和命令解析來進行入侵檢測，給入侵檢測帶來了許多優勢:提高性能和準確性，并且系統資源消耗小。

命令解析技術中，入侵檢測引擎包括了多種不同的命令語法解析器，能對不同的高層協議，如Telnet， FTP， HTTP， SNMP， SMTP， DNS等的用戶命令進行詳細地分析，以查出可能的入侵行為;而使用協議分析技術，則在檢測時會按照協議將數據包解碼，還會進行諸如重組之類的工作，這可帶來檢測效率和準確性上的提高。

3.3 模型推理

攻擊者攻擊系統時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時的檢測出惡意的攻擊企圖。采用基于模型的推理方法能夠為某些行為建立特定的模型，編寫對應的攻擊腳本，以能夠監視具有特定行為特征的某些活動，從而檢測出非法的用戶行為，常用于誤用檢測系統。為準確判斷，一般要為不同的攻擊者和不同的系統建立特定的攻擊腳本。當有證據表明某種特定的攻擊模型發生時，系統應當收集其它證據來確認它是否為真正的攻擊，既不能漏報攻擊，使信息系統受到損害，又要盡可能的避免錯報。

這種方法要求建立一個不同攻擊者的各種攻擊行為序列的數據庫，這是其主要缺點。因為這在大型系統中是不可能的，優點在于可以僅僅審計一些主要事件，減少了系統的工作量。

3.4 狀態轉換

這種方法根據入侵者在進行入侵時所執行的某些行為序列的特征，為入侵行為建立模型，將入侵行為表示為目標系統的狀態轉移，常用于誤用檢測系統。在分析審計事件時，若系統按照己知入侵特征建立的布爾表達式，從安全狀態轉移到不安全狀態，則可認為是入侵事件。

這種方法的優點在于:可以減少審計事件的分析范圍;可以檢測協同攻擊;可以檢測分布在多個對話中的攻擊;在一定程度上可以預測下一步的攻擊方向。同時也存在缺點:能夠檢測的入侵檢測形式簡單;事件分析的復雜度高;對不能由審計事件表達的入侵無法檢測。

3.5 知識庫/專家庫

所謂專家系統是基于一套根據專家經驗事先定義的規則的推理系統，專家庫的建立依賴于知識庫的完備性，而后者又取決于審計記錄的完備性和實時性。基于專家系統的攻擊檢測技術是根據安全專家對可疑行為進行分析檢驗所形成的一套推理規則，并構成相應的專家系統，進而對有關行為進行檢測分析，這種技術常用于誤用檢測系統，但有些專家庫也提供了正常行為模型，可以用于異常檢測系統。

總的來說，專家系統對歷史數據的依賴性比基于統計技術的審計系統少。因此系統的適應性比較強，可以較靈活地適應廣泛的安全策略和檢測需要。但迄今為止，解決推理系統和謂詞演算的可計算的技術還不成熟，而且專家系統往往是不可移植的，其知識庫也是不完備的，因而不宜單獨用于入侵檢測。

3.6 統計分析

基于統計分析的攻擊檢測技術依賴于對歷史行為的建模以及早期的證據或模型，這種技術常用于異常檢測系統中。使用統計分析方法，需要首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)，生成主體的行為特征原型文件，運行時檢測系統檢測當前的狀態，將測量屬性的平均值與網絡、系統的行為進行比較，當觀察值在正常值范圍之外時，就認為有入侵發生。

統計手段的主要特點是它可以自適應學習用戶行為或網絡狀態，完善特征文件，從而具有較高檢出率和可用性，能夠檢測到未知的入侵和較為復雜的入侵。但是，統計方法具有一些明顯的缺點。例如需要分析大量的審計數據，使用的閾值難以確定;可能被入侵者訓練;系統的正常行為模型建立困難等。

3.7 神經網絡

在入侵檢測方面，目前軟計算方法也是一個趨勢，包括神經網絡、遺傳算法和模糊技術。其中神經網絡技術研究比另兩個成熟些，該技術通常用于異常檢測系統。

這種技術使用神經網絡對系統審計數據進行處理，從中歸納總結出用戶的行為模式，并據此區分用戶的行為正常與否，也可用網絡中的正常數據包和已知的攻擊數據包對神經網絡進行訓練，然后再識別攻擊。總之，它是以用戶的正常行為特征信息的量度值作為神經網絡的輸入來構造基于神經網絡的入侵檢測系統，能對實時檢測得到的信息進行有效的處理，并做出攻擊可能性的判斷。

神經網絡具有自適應、自組織和自學習的能力，可用于解決傳統的統計分析技術所面臨的問題，比如難于建立確切的統計分布、難于實現方法的普適性、算法實現比較昂貴、系統臃腫且難于剪裁等，從而能夠處理一些環境信息十分復雜、背景知識不清楚的問題，并且這種技術允許樣本有較大的缺損和畸變。

3.8 預測模式生成

預測模式生成技術用于異常檢測系統，它是以如下假設為前提的:審計事件的序列不是隨機的而是符合可識別的模式。預測模式生成技術試圖基于己經發生的事件來預測未來事件，如果一個與預測統計概率偏差較大的事件發生，則被標志為攻擊。

與普通的統計方法的區別在于它增加了對事件順序和相互關系的分析，從而擴大了檢測范圍。具體方法是先根據已有的事件集合按時間順序統計出規律，并隨時間的變化和新事件的加入不斷改變規律，當發生事件的時間規律發生異常時，即認為是入侵。

這種方法的主要優點在于能夠在一定程度上防止入侵者對系統的訓練;其缺點在于難以建立準確的系統事件隨時間的變化的發生規律，而且未被這些規律描述的入侵腳本將不會被標志為入侵。

3.9 完整性分析

完整性分析技術主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性。它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(例如MD5算法)，它能識別哪怕是微小的變化。

這種技術的優點是不管何種入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現，缺點是一般以批處理方式實現，不用于實時響應，通常用于事后分析。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。

4 小結

該文是對入侵檢測系統的一個概述，首先介紹了入侵檢測的概念、體系結構和分類，然后介紹了在入侵檢測中使用的一些主要技術。

參考文獻:

[1] 王嘉昀.基于移動Agent技術的IDS研究[D].四川:電子科技大學，2005.

[2] 王曉樺.基于移動Agent的分布式入侵檢測系統技術與研究[D].青島:青島大學，2005.

[3] 宋勁松.網絡入侵檢測—分析、發現和報告攻擊[M].北京:國防工業出版社，2004.