入侵檢測技術研究

摘 要：入侵檢測是網絡完全的一個重要技術之一，它通過對（網絡）系統的運行狀態進行監視，發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統資源的機密性、完整性與可用性。本文介紹了入侵檢測中常用的檢測技術，并對一些檢測技術進行了詳細的對比分析。

關鍵詞：入侵檢測；網絡安全；檢測技術；對比分析

1 入侵檢測的分類

⑴按照數據來源的不同，可以將入侵檢測系統分為3類：1）基于網絡：系統獲取的數據來源是網絡傳輸的數據包，保護的目標是網絡的運行。2）基于主機：系統獲取數據的依據是系統運行所在的主機，保護的目標也是系統運行所在的主機。3）混合型：毋庸置疑，混合型就是即基于主機又基于網絡，因此混合型一般也是分布式的。

⑵根據數據分析方法（也就是檢測方法）的不同，可以將入侵檢測系統分為2類：1）異常入侵檢測：異常檢測是根據系統或用戶的非正常行為和使用計算機資源的非正常情況來檢測入侵行為。異常檢測需要建立正常用戶行為模式庫，然后通過被檢測系統或用戶的實際行為與正常用戶行為模式庫之間的比較和匹配來檢測入侵，如果不匹配則說明該行為屬于異常行為。2）誤用入侵檢測：誤用檢測是收集非正常操作的行為特征，建立相關的特征庫，主要是通過某種預先定義入侵行為，然后監視系統的運行，并從中找出符合預先定義規則的入侵行為，進而發現相同的攻擊。3）誤用檢測與異常檢測的比較：異常檢測系統試圖發現一些未知的入侵行為，而誤用檢測系統則是標識一些已知的入侵行為。異常檢測指根據使用者的行為或資源使用狀況判斷是否入侵，而不依賴于具體行為是否出現來檢測；而誤用檢測系統則大多是通過對一些具體的行為的判斷和推理，從而檢測出入侵。異常檢測的主要缺陷在于誤檢率很高，尤其在用戶數目眾多或工作行為經常改變的環境中；而誤用檢測系統由于依據具體特征庫進行判斷，準確度要好很多。異常檢測對具體系統的依賴性相對比較小；而誤用檢測系統對具體的系統依賴性太強，移植性不好。

⑶按照數據分析發生的時間不同，可以分為：1）脫機分析：就是在行為發生后，對產生的數據進行分析，而不是在行為發生的同事進行分析。如對日志的審核、對系統文件的完整性檢查等都屬于這種。一般而言，脫機分析也會間隔很長時間，所謂的脫機只是與聯機相對而言的。2）聯機分析：就是在數據產生或者發生改變的同時對其進行檢查，以發現攻擊行為。這種方式一般用對網絡數據的實時分析，對系統資源要求比較高。

⑷按照系統各個模塊運行的分布式不同，可以分為：1）集中式：系統的各個模塊包括數據的收集與分析以及響應模塊都集中在一臺主機上運行，這種方式適用于網絡環境比較簡單的情況。2）分布式：系統的各個模塊分布在網絡中不同的計算機、設備上，一般來說分布性主要體現在數據手機模塊上，例如有些系統引入的傳感器，如果網絡環境比較復雜、數據量比較大，那么數據分析模塊也會分布，一般是按照層次性的原則進行組織，例如AAFID的結構。分布式是目前入侵檢測乃至整個網絡安全領域的熱點之一。到目前為止，還沒有嚴格意義上的分布式入侵檢測的商業化產品，但研究人員已經提出并完成了多個原型系統。通常采用的方法中，一種是對現有的IDS進行規模上的擴展，另一種則通過IDS之間的信息共享來實現。具體的處理方法上也分為兩種：分布式信息收集、集中式處理；分布式信息收集、分布式處理。

2 基于主機與網絡的對比分析

⑴網絡入侵檢測優點：1）網絡通信檢測能力：NIDS能夠檢測哪些來自網絡的攻擊、它能夠檢測到超過授權的非法訪問。2）對正常業務影響少。3）部署風險小。4）定制設備，安裝簡單。

⑵網絡入侵檢測弱點：1）共享網段的局限：NIDS只檢查它直接連接網段的通信、NIDS不能監測在不同網段的網絡包、交換以太網環境中就會出現它的監測范圍的局限、多傳感器系統會使部署成本增加。2）性能局限：NIDS為了性能目標通常采用特征檢測的方法，它可以高效地檢測出普通的一些攻擊，實現一些復雜的需要大量計算與分析時間的攻擊檢測時，對硬件處理能力要求較高。3）中央分析與大數據流量的矛盾：NIDS可能會將大量的數據傳回分析系統中，會產生大量的分析數據流量。

⑶主機入侵檢測優點：1）入侵行為分析能力：HIDS對分析“可能的攻擊行為”非常有用、HIDS比NIDS能夠提供更詳盡的相關信息。2）誤報率低。3）復雜性小。4）網絡通信要求低。5）部署風險：HIDS在不適用諸如“停止服務”、“注銷用戶”等響應方法時風險較少。

⑷主機入侵檢測弱點：1）響保護目標：HIDS安裝在需要保護的設備上可能會降低應用系統的效率帶來一些額外的安全問題。2）服務器依賴性。3）全面部署代價與主機盲點。4）工作量隨主機數目線性增加：HIDS主機入侵檢測系統除了監測自身的主機以外根本不檢測網絡上的情況，對入侵行為的分析的工作量將隨著主機數目增加而增加。

總地來看，單純地使用基于主機的入侵檢測或基于網絡的入侵檢測，都會造成主動防御體系的不全面。但是由于它們具有互補性，所以將兩種產品結合起來，無縫地部署在網絡內，就會構架成綜合了兩者優勢的主動防御體系，既可以發現網段中的攻擊信息，又可以從系統日志中發現異常情況。這種系統一般為分布式，有多個部件組成。

[參考文獻]

[1]張超，霍紅衛，錢秀斌.入侵檢測系統概述[J].計算機工程與應用.2004.

[2]孔芳，徐汀榮，周麗琴.入侵檢測技術的分析研究[J].計算機與現代化.2003.

[3]王超，李群.入侵檢測系統及實例剖析[M].清華大學出版社.2002.

[4]蔣建春，馬恒太，文偉平.入侵檢測技術研究綜述[M].中國科學院.2004.

[5]夏寒.入侵檢測系統的設計與實現[D].上海：上海交通大學.2007.