網絡入侵檢測技術淺析

摘要：隨著網絡技術的飛速發展，入侵檢測技術已成為網絡安全關注的熱點。該文介紹了入侵檢測的基本概念和入侵檢測系統的通用模型，詳細地闡述了入侵檢測系統的分類，探討了入侵檢測技術面臨的主要問題及其發展趨勢。

關鍵詞：網絡安全；入侵檢測；入侵檢測系統

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)04-0793-02

Analysis of Network Intrusion Detection Technology

LI Hui-fen

(South China University， Guangzhou Automobile College， Guangzhou 510800， China)

Abstract: With the rapid development of network technology， Intrusion detection has become a highlighted topic of network security. This paper describes the concepts of intrusion detection and the models of intrusion detection system， discusses the classification of intrusion detection system， and analyzed the existing problems and the future direction in this field.

Key words: network security; intrusion detection; intrusion detection system

隨著計算機網絡技術的開放、共享和互連程度的擴大，網絡的安全性和可靠性已成為不同使用層次的用戶共同關心的問題。一般認為，計算機網絡系統的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務攻擊三個方面，如何對網絡上的各種非法行為進行主動防御和有效抑制，是當今計算機網絡安全方面待解決的重要問題。

常見的網絡信息安全技術手段，包括有防火墻技術、入侵檢測技術、反病毒技術、內外網隔離技術和電子郵件的安全，其中入侵檢測技術無疑是網絡安全的最后一道防線，是網絡安全技術中不可或缺的一部分，也是對其他安全技術的一個補充。

1 入侵檢測的基本概念

入侵檢測（Intrusion Detection），是對入侵行為的發覺。它通過硬件或軟件對網絡上的數據流進行實時檢查，并與系統中的入侵特征數據庫進行比較，一旦發現有被攻擊的跡象，立刻根據用戶所定義的動作做出反應，如切斷網絡連接，或通知防火墻系統對訪問控制策略進行調整，將入侵的數據包過濾掉等。

入侵檢測的一般過程包括信息收集、信號分析和入侵檢測響應三個環節。

1) 信息收集。在網絡中不同關鍵點，根據系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息這四個方面，收集系統、網絡、數據及用戶活動的狀態和行為。

2) 信號分析。通過模式匹配、統計分析和完整性分析這三種技術手段，對收集到的數據進行深入分析，發現攻擊并根據分析的結果進行處理。

3) 入侵檢測響應，可分為主動響應和被動響應。主動響應可對入侵者和被入侵區域進行有效控制，被動響應只是監視和發出告警信息。

2 入侵檢測系統

入侵檢測系統（Intrusion Detection System，IDS），是一種主動保護自己免受攻擊的網絡安全技術。它是進行入侵檢測的軟件與硬件的組合，對網絡或系統上的可疑行為做出策略反應，及時切斷入侵源，并通過各種途徑通知網絡管理員，最大限度地保障系統安全。具體來說，入侵檢測系統的主要功能有：

1) 監測、分析用戶及系統活動；

2) 檢測系統配置和漏洞；

3) 識別和反映已知的攻擊行為；

4) 統計分析異常行為；

5) 評估重要系統和數據文件的完整性；

6) 跟蹤管理操作系統的日志，識別用戶違反安全策略的行為。

1987年，Dorothy Denning提出了一種通用的入侵檢測系統模型，如圖1所示。目前，檢測技術及其體系均是在此基礎上的擴展和細化。

3 入侵檢測系統的分類

對入侵檢測系統可從數據源、檢測方法、檢測時間等方面進行分類，其中按照入侵檢測系統的數據來源進行分類是使用最普遍的方法。按此方法劃分，入侵檢測系統可以分為3類：基于主機的入侵檢測系統，基于網絡的入侵檢測系統和采用上述兩種數據來源的分布式的入侵檢測系統。

1) 基于主機的入侵檢測系統。基于主機的入侵檢測系統部署在主機上，其體系結構如圖2所示，一般主要使用操作系統的審計、跟蹤日志作為數據源，某些也會主動與主機系統進行交互以獲得不存在于系統日志中的信息以檢測入侵。這種類型的檢測系統不需要額外的硬件，對網絡流量不敏感，效率高，能準確定位入侵并及時進行反應，但是占用主機資源，依賴于主機的可靠性，所能檢測的攻擊類型受限，不能檢測網絡攻擊。如Trusted Information System公司開發的Stalkers，ISS公司的BlackICE Server Protection就是基于主機的入侵檢測工具。

2) 基于網絡的入侵檢測系統。基于網絡的入侵檢測系統部署在網絡設備節點上，其體系結構如圖3所示，通過被動地監聽網絡上傳輸的原始流量，對獲取的網絡數據進行處理，從中提取有用的信息，再通過與已知攻擊特征相匹配或與正常網絡行為原型相比較來識別攻擊事件。此類檢測系統不依賴操作系統作為檢測資源，可應用于不同的操作系統平臺；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。目前，大部分入侵檢測工具都是基于網絡的入侵檢測系統，例如Cisco公司的NetRanger，NAI公司的CyberCop等。

3) 采用上述兩種數據來源的分布式的入侵檢測系統。這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上采用主機入侵檢測，在網絡關鍵節點上采用網絡入侵檢測，同時分析來自主機系統的審計日志和來自網絡的數據流，判斷被保護系統是否受到攻擊。ISS公司的RealSecure就是典型的分布式的入侵檢測系統工具。

4 入侵檢測技術面臨的主要問題和發展趨勢

目前，入侵檢測技術的研究還處在不斷完善的階段，現有開發的入侵檢測系統還存在許多的問題有待解決：

1) 攻擊者的知識不斷增長，攻擊手段越來越復雜多變，目前的入侵檢測系統主要利用已知的入侵方法和系統漏洞進行入侵檢測，無法檢測出新型攻擊。

2) 入侵檢測系統通常假定攻擊信息是明文傳輸，采用加密傳輸的惡意信息，容易欺騙通過入侵檢測系統的檢測。

3) 可擴展性差，許多入侵檢測系統都是為特定的環境開發的。

4) 缺乏統一的標準，使得互通、互操作幾乎不可能。

5) 入侵檢測系統本身也往往存在安全漏洞，易受到Smurf、SYN Flood等攻擊

6) 存在大量的誤報和漏報。

因此，入侵檢測技術必須不斷更新和發展，許多關鍵技術需要進一步研究、提高和改善，其發展方向集中在如下幾個方面：

1) 提高入侵檢測系統的檢測速度，實現大規模分布式的入侵檢測系統以及異構系統之間的協作和數據共享。

2) 改進分析技術，密切跟蹤分析國際上攻擊方法的發展，豐富預警系統的檢測能力，降低入侵檢測系統的漏報和誤報。

3) 增強入侵系統的自身保護，防止入侵者對入侵檢測系統功能的削弱乃至破壞。

4) 結合防火墻、漏洞掃描等其他安全技術，增強入侵檢測系統的互動性能，提高整個系統的安全性能。

5 結束語

入侵檢測是防火墻的合理補充，有效地幫助系統對付網絡攻擊，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。雖然入侵檢測技術還處在發展階段，存在許多問題需要深入研究，但作為一種積極主動的安全防護技術，入侵檢測技術的發展將對信息的安全保護產生深遠的影響。

參考文獻：

[1] Josef Pieprzyk， Thomas Hardjono， Jennifer Seberry.計算機安全基礎[M].田玉敏，薛賽男，等，譯.北京:中國水利水電出版社，2006，312-337.

[2] 戚文靜，劉學.網絡安全原理與應用[M].北京:中國水利水電出版社，2008:184-199.

[3] 杜雷，李文雅.網絡入侵檢測系統的研究[J].沈陽工程學院學報:自然科學版，2009，5(4):376-378.