對入侵檢測系統(tǒng)的幾種分類

摘 要: 入侵檢測系統(tǒng)作為重要的網(wǎng)絡(luò)安全工具，它可以對系統(tǒng)或網(wǎng)絡(luò)資源進行實時檢測，及時發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡(luò)的入侵者，也可預防合法用戶對資源的誤操作。

關(guān)鍵詞: 入侵檢測系統(tǒng) 分類

入侵檢測系統(tǒng)(IDS，Intrusion Detection System)是一種主動保護自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的有效補充，入侵檢測技術(shù)能夠幫助系統(tǒng)應付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。本文就其幾個角度的分類加以簡單研究。

一、按數(shù)據(jù)來源進行分類

1.基于主機的入侵檢測系統(tǒng)

該系統(tǒng)通常是安裝在被重點檢測的主機上，其數(shù)據(jù)源來自主機，如日志文件、審計記錄等。該系統(tǒng)通過監(jiān)視與分析主機中的上述文件，就能夠檢測到入侵。能否及時采集到上述文件是這些系統(tǒng)的關(guān)鍵點之一。因為入侵者會將主機的審計子系統(tǒng)作為攻擊目標以避開IDS。

2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

此系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。通常利用一個運行在隨機模式下網(wǎng)絡(luò)的適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務。它的攻擊辯識模塊通常使用四種常用技術(shù)來識別攻擊標志:模式、表達式或字節(jié)匹配，頻率或穿越閥值，次要事件的相關(guān)性，統(tǒng)計學意義上的非常規(guī)現(xiàn)象檢測。一旦檢測到了攻擊行為，響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應。反應因產(chǎn)品而異，但通常都包括通知管理員、中斷連接或為法庭分析和證據(jù)收集而作的會話記錄。

基于網(wǎng)絡(luò)的IDS有許多僅靠基于主機的入侵檢測法無法提供的功能。實際上，許多客戶在最初使用IDS時，都配置了基于網(wǎng)絡(luò)的入侵檢測。

二、根據(jù)檢測原理進行分類

傳統(tǒng)觀點根據(jù)入侵行為的屬性將其分為異常和濫用兩種，然后分別對其建立異常檢測模型和濫用檢測模型。近年來又涌現(xiàn)出一些新的檢測方法，它們產(chǎn)生的模型對異常和濫用都適用。

1.統(tǒng)計分析與異常檢測

統(tǒng)計分析最大優(yōu)點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。

異常檢測只能識別出那些與正常過程有較大偏差的行為，而無法知道具體的入侵情況。由于對各種網(wǎng)絡(luò)環(huán)境的適應性不強，且缺乏精確的判定準則，異常檢測經(jīng)常會出現(xiàn)虛警情況。異常檢測可以通過以下系統(tǒng)實現(xiàn)。

(1)自學習系統(tǒng):通過學習事例構(gòu)建正常行為模型，分為時序和非時序兩種。

(2)編程系統(tǒng):該類系統(tǒng)需要通過編程學習如何檢測確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統(tǒng)的安全。分為描述統(tǒng)計和缺省否認。

2.基于規(guī)則分析與濫用檢測

濫用檢測基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測。它能夠準確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏警。

濫用檢測通過對確知決策規(guī)則編程實現(xiàn)，可以分為以下四種。

(1)狀態(tài)建模:它將入侵行為表示成許多個不同的狀態(tài)。如果在觀察某個可疑行為期間，所有狀態(tài)都存在，則判定為惡意入侵。

(2)專家系統(tǒng):它可以在給定入侵行為描述規(guī)則的情況下，對系統(tǒng)的安全狀態(tài)進行推理。一般情況下，專家系統(tǒng)的檢測能力強大，靈活性也很高，但計算成本較高，通常以降低執(zhí)行速度為代價。

(3)串匹配:它通過對系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進行子串匹配實現(xiàn)。該方法靈活性欠差，但易于理解。

(4)基于簡單規(guī)則:類似于專家系統(tǒng)，但相對簡單些，故執(zhí)行速度快。

3.混合檢測

近幾年來，混合檢測日益受到人們的重視。這類檢測在作出決策之前，既分析系統(tǒng)的正常行為，又觀察可疑的入侵行為，所以判斷更全面、準確、可靠。它通常根據(jù)系統(tǒng)的正常數(shù)據(jù)流背景來檢測入侵行為，故而也有人稱其為“啟發(fā)式特征檢測”。

參考文獻:

[1]韋文思，徐津.信息安全防御技術(shù)與實施.電子工業(yè)出版社，2009.

[2]羅守山.入侵檢測.北京:北京郵電大學出版社，2004.

[3]Intrusion Prevention Systems(IPS).2004.1.

[4]吳灝.網(wǎng)絡(luò)攻防技術(shù).北京:機械工業(yè)出版社，2009.