入侵檢測系統(tǒng)及其發(fā)展趨勢

摘要：入侵檢測是對計算機和網絡資源上的惡意使用行為進行識別和響應，它不僅檢測來自外部的入侵行為，同時也監(jiān)督內部用戶的未授權活動。本文主要闡述了入侵檢測系統(tǒng)的基本概念、分類、方法技術和發(fā)展趨勢。

關鍵詞：網絡安全；入侵檢測；IDS

1980年，Anderson]～次提出了入侵檢測的概念。他將入侵行為劃分為外部闖入、內部授權、用戶的越權使用和濫用等三種類型，并提出用審計追蹤監(jiān)視入侵威脅。1987年，Denning首次提出異常檢測抽象模型，將入侵檢測作為一種計算機系統(tǒng)的安全防御措施。美國國際計算機安全協(xié)會（ICSA）對入侵檢測的定義是：入侵檢測是通過從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。

1、入侵檢測系統(tǒng)的分類

從系統(tǒng)結構上分，入侵檢測系統(tǒng)（IDS）可分為：

（1）基于主機的入侵檢測系統(tǒng)（HIDS）目標是對給定主機的用戶、系統(tǒng)活動和攻擊進行監(jiān)視、檢測和響應。有一些HIDS還提供審計策略管理、統(tǒng)計分析和證據支持，在一些特定的情況下還支持訪問控制。NIDS和HIDS和差別就在于前者處理主機和主機之間傳輸數(shù)據，后者則只關心主機本身的事件。基于主機的入侵檢測非常適合對抗內部入侵，因為它能對指定用戶的行為和對該主機文件進行監(jiān)視的響應。

（2）基于網絡的入侵檢測系統(tǒng)NIDS監(jiān)視和檢測的是主機與主機間傳輸?shù)臄?shù)據信息。通常就是我們所說的抓包，網絡入侵檢測設備從不同的傳輸介質上截獲數(shù)據包，可能是多種協(xié)議的數(shù)據包。截獲后，和已有的攻擊特征進行匹配或者根據基于協(xié)議的分析技術等進行一系列的分析。無論在什么情況下，NID都被認為只是最基本的邊界防御。

（3）混合入侵檢測提供了基于主機和網絡的入侵檢測設備和管理和警告，混合入侵檢測在邏輯上實現(xiàn)了網絡和主機的互補——中央入侵檢測管理。

2、入侵檢測的方法和技術

（1）異常入侵檢測的主要前提條件是將入侵性活動作為異常活動的子集。理想狀況是異常活動集與入侵性活動集等同。

（2）誤用入侵檢測指的是通過按預先定義好的入侵模式以及觀察到入侵發(fā)生的情況進行模式匹配來檢測。入侵模式說明了那些導致安全突破或其他誤用的事件中的特征、條件、排列和關系。

3、入侵檢測系統(tǒng)模型

DARPA于1997年建立了公共入侵檢測框架CIDF（commonIntrusion Detection Framework），定義了入侵檢測系統(tǒng)的體系結構、數(shù)據格式和不同功能模塊間的調用接口API。體系結構如圖1.1所示。

CIDF闡述了一個入侵檢測系統(tǒng)的通用模型，將入侵檢測系統(tǒng)分為4個組件：事件產生器、事件分析器、響應單元及事件數(shù)據庫。CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據統(tǒng)稱為事件，它可以是網絡中的數(shù)據包，也可以是從系統(tǒng)日志等其他途徑得到的信息。

事件產生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據，并產生分析結果。響應單元則是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。事件數(shù)據庫是存放各種中間和最終數(shù)據的地方的統(tǒng)稱，它可以是復雜的數(shù)據庫，也可以是簡單的文本文件。

4、入侵檢測系統(tǒng)的發(fā)展方向

隨著網絡攻擊手段向分布式方向發(fā)展，且采用了各種數(shù)據處理技術，其破壞性和陷落性也越來越強。相應地，入侵檢測系統(tǒng)也在向分布式結構發(fā)展。采用分布收集信息，分布處理多方協(xié)作的方式，將基于主機的IDS和基于網絡的IDS結合使用，構筑面向大型網絡的IDS，且對處理速度及各相關性能的要求更高。目前已有的IDS還不能滿足入侵檢測的真正需求。

（1）協(xié)作式入侵檢測技術研究。隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、復雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)、單一缺乏協(xié)作的入侵檢測技術己不能滿足需求，要有充分的協(xié)作機制。所謂協(xié)作主要包括兩方面：事件檢測、分析和響應能力。盡管現(xiàn)在最好的商業(yè)產品和研究項目中也有簡單的協(xié)作，但協(xié)作是一個重要的發(fā)展方向。

（2）智能化入侵檢測技術。即使用智能化的方法與手段來進行入侵檢測。利用專家系統(tǒng)來構建入侵檢測系統(tǒng)也是常用的方法，應用智能體的概念來進行入侵檢測的嘗試也已有報道。較為一致的解決方案應為高效常規(guī)意義下的入侵檢測系統(tǒng)與具有智能檢測功能的檢測軟件或模塊的結合使用。