网络安全的卫士—入侵检测系统

admin管理员组

文章数量:1532468

2024年5月2日发(作者：)

维普资讯

曛臻安套馋　去　

苏　成　

馕拎谶繁　

（中国矿业大学计算机科学与技术系　徐州２２　１００８）　

随着计算机技术的发展和互联网应用的普及，　

安全风险急剧增加。单纯依靠传统的安全防御措施　

入侵检测原理如图１所示。数据源是指ＩＤＳ用　

如加密、身份认证、访问控制等，已不足以保证计　

算机系统的安全。入侵是指未经授权蓄意尝试访问　来检测入侵活动的原始信息，包括审计数据、系统　

信息、窜改信息，使系统不可靠或不能使用，即破　日志、网络包、文件或程序中不期望的改变等；感　

坏资源的机密性、完整性及可用性的行为。网络入　

应器搜集上述信息，剔除无用的数据，将可疑事件　

侵具有以下特点：不受时空限制；攻击手段隐蔽　

传给分析器；分析器将这些事件与入侵模式库比　

化、综合化；内部作案不断出现，全球８０％以上的　较，如确定为人侵事件则向管理器发出警报；管理　

入侵来自于内部。　

１　入侵检测原理　

器是操作员与ＩＤＳ之间的接口，它负责向操作员通　

入侵检测系统（ＩＤＳ）的作用是：识别入侵行　报入侵事件，而操作员可通过管理器对ＩＤＳ进行配　

为并做出反应，如报警、记录入侵证据或断开连接　

置，或者对ＩＤＳ发布应急措施；管理员负责安全策　

等；扫描安全漏洞，及时排除隐患；总结入侵规　

略的实施，比如决定ＩＤＳ如何安装，哪些主机不允　

律，以便改进ＩＤＳ。作为一种主动的防御技术，入　许外部网络访问等。另外需要说明的是，在实际的　

侵检测能发现绕过防火墙的攻击以及合法用户的非　

ＩＤＳ系统中，感应器和分析器的划分并不十分严格，

法操作，可谓防火墙之后的又一个安全卫士。　往往交织在一起；管理员与操作员可以是同一人，　

照理说它的网卡置于普通模式，只能收到发往本　

帧中发出。当内网要和路由器之外的外部网络通信　

ＭＡＣ地址的帧，不可以收到所有经过它端口的帧，　

时．一定有ＡＲＰ报文通过，防火墙的ＡＲＰ代理的　

但是它对ＡＲＰ（地址解析协议）透明代理巧妙利用　

作用就是截取路由器与内网之间的ＡＲＰ报文，通　

过用自己相应端口的ＭＡＣ地址回复，使得所有经　

ＡＲＰ隶属ＩＰ的一部分，用在ＩＰ地址向ＭＡＣ　

过防火墙通信的包含ＩＰ报文的数据帧的目的ＭＡＣ　

地址的转换过程中，只在局域网内部起作用。当两　

地址都变为防火墙端口的ＭＡＣ，从而网卡接收到　

个主机之问建立ＴＣＰ／ＩＰ连接，发送ＩＰ数据报之前，　

本网卡地址的数据帧，也就是接收到了所有通信数　

使得情况大为改观。　

必须知道对方的ＭＡＣ地址，这就要运行ＡＲＰ，得　据帧，整个过程透明。　

到对方ＭＡＣ地址后再将ＩＰ报文封装到ＭＡＣ数据　

？　

ＤＡ　Ｎｏ．８　

维普资讯

等。特征检测的准确率要高于异常检　

测，因此市场上大多数人侵检测产品　

都采用特征检测方法。特征检测的缺　

点是不能发现未知的入侵行为，而且　

难于检测已知入侵方式的变种。　

３入侵检测产品分类　

按照检测数据的不同来源，可分　

为基于主机的ＩＤＳ、基于网络的ＩＤＳ　

和分布式ＩＤＳ。　

３．１　基于主机的ＩＤＳ　

基于主机的ＩＤＳ一般安装在重点　

图１入侵检测原理示意图　

保护的主机上，通过对系统日志、审　

计数据的分析和端口活动的监听发现　

入侵行为。该方法的优点是：对入侵　

也可以不是。　

的判断准确、细微；能发现基于网络的检测漏掉的　

２入侵检测方法分类　

入侵（比如加密的应用服务程序等）；不需要额外　

的设备。但它的弱点是：ＩＤＳ会影响所在的应用系　

入侵检测按照所采用的方法可分为异常检测和　

统的效率，并且给系统管理员访问应用系统主机的　

特征检测。　权限；如果在所有机器上全面部署基于主机的ＩＤＳ，　

２．１　异常检测　那么成本和维护工作量太大；实时性较差，入侵一　

异常检测又称为基于行为的检测。该方法首先　旦成功则可能逃避或修改审计数据。　

２基于网络的入侵检测系统（ＮＩＤＳ）　

对系统对象的一些测量属性（如访问次数、ＣＰＵ使　

３．

用率、操作失败次数等）进行统计，将其平均值作　将ＮＩＤＳ置于重要的网段内，通过监听网络数　

为基准，如果当前用户行为或资源使用状况超出标　据包发现攻击事件，一旦入侵特征匹配或者超过正　

准则认为发生了入侵。异常检测的常用方法有基于　常的阈值就做出反应。ＮＩＤＳ的优点是：响应迅速；　

概率统计的方法，神经网络法等。该方法的优点是　

成本低；隐蔽性好；占用主机资源少；与具体的操　

通用性强，对具体系统的依赖较少，并能发现未知　作系统无关，因而可移植性好；能发现未成功的入　

的入侵行为，但如何描述正常的行为模式并确定异　

侵企图；通过检查数据包头部，能捕获某些基于主　

常的“阈值”相当困难。由于入侵未必引起异常，　机的ＩＤＳ所忽略的可疑事件；能及时保护证据，使　

而异常也不一定都是入侵所致，因此异常检测的误　入侵者难以销毁作案痕迹。ＮＩＤＳ的局限性：只能　

报率较高。另外，异常检测不适于用户正常行为的　检测同一网段内的数据包，而不能跟踪各个子网上　

突然改变；入侵者也可能通过正常行为的缓慢偏离　

的数据活动；为了减少对网络性能的影响，ＮＩＤＳ　

而骗过检测系统。　

多数以简单的特征检测为主，对于需要复杂计算的　

２．２特征检测　

检测难以实现；ＮＩＤＳ只对明文数据包进行检测，　

特征检测又称为误用检测，基于知识的检测。　

而对于检测加密的会话过程则难以实现。　

３分布式入侵检测系统（ＤＩＤＳ）　

通过对已知入侵方式的特征做出确定性描述，形成　

３．

事件模式，当用户行为或系统状态同已知事件模式　

分布式入侵检测系统是近期研究的热点，它代　

相匹配时，则认定为发生入侵。特征检测的关键是　

表了入侵检测系统的发展方向。分布式入侵检测系　

如何形式化地表示入侵知识与规则，其常用方法包　

统的模型如图２所示。与ＮＩＤＳ不同，ＤＩＤＳ的数据　

括：专家系统，状态转移法，模型推理，Ｐｅｔｒｉ网　

采集、分析器、响应器等构件可以有若干个并分布　

２９　

鼗薷遵詹２　．　

维普资讯

目前，对ＩＤＳ的研究还不够成　

熟，实用的产品也不多，迫切需要　

学术界和企业界深人研究以下几个　

方面的问题。　

１．误报率和漏报率较高。这两　

者是一对矛盾，降低其中一个，则　

会升高另一个的值，所以单纯改变　

报警阈值是不可行的，必须研究有　

效的检测模型和算法，使其具有自　

学习、自适应的智能化特点。在这　

图２分布式入侵检测系统模型　

方面已有初步的成果，例如将数据　

挖掘、遗传算法、免疫技术等用于　

人侵检测。　

于网络的各个监控点上，它们之间通过通信传输构　

２．由于人侵手段的综合化、隐蔽化，使得人侵　

件传递信息；管理中心提供一个可视化界面，用于　

检测的难度增加。另外，交换式网络使ＩＤＳ仅能监　

配置ＩＤＳ构件，生成人侵分析报告等。目前人们尝　控本网段的数据包，加密、ＶＰＮ等技术使得网络　

试开发基于Ａｇｅｎｔ的分布式人侵检测系统，这些　ＩＤＳ失去作用，因而需要加强对应用层协议和数据　

Ａｇｅｎｔ具有灵活、智能的特点，它们能收集并分析　

检测的研究。　

人侵事件，从而减少了与管理中心的通信量，提高　

３．随着人侵规模的扩大化和分布化，如何应付　

了检测系统的性能。　诸如拒绝服务等攻击是必须考虑的。检测的速度亟　

综上所述，基于主机的ＩＤＳ和基于网络的ＩＤＳ　

待提高，目前的ＩＤＳ在不牺牲检测质量的前提下，　

的优缺点正好互补。在实际应用中，通常以基于网　难以处理吉比特网络数据流量。今后研究的重点是　

络的ＩＤＳ为主，而在需要重点保护的主机上安装基　

分布式人侵检测及其协同处理技术。　

于主机的ＩＤＳ，从而构造一个完整的主动防御体　

４．目前对ＩＤＳ进行标准化的组织有ＩＥＴＦ和　

系。目前，市场上的ＩＤＳ多数是基于网络的混合型　ＣＩＤＦ，但至今没有统一的检测模型、描述语言和规　

产品，国外著名的ＩＤＳ系统有Ｃｉｓｃｏ公司的Ｎｅｔ—　范。各种ＩＤＳ产品之间缺乏兼容、协调机制，数据　

Ｒａｎｇｅｒ。它的性能高、易裁剪，而且在监测数据包　

难以共享，因此应尽快制定ＩＤＳ产品的规范和标　

时能考虑上下文，从多个包中寻找人侵线索，从而　

准。　

提高了人侵检测的准确率和覆盖率。其他产品还有　

５．ＩＤＳ自我保护问题。一旦ＩＤＳ被人侵者所控　

ＩＳＳ公司的ＲｅａｌＳｅｃｕｒｅ，ＮＡＩ公司的ＣｙｂｅｒＣｏｐ等。　制，其危害程度比没有ＩＤＳ时还要严重，因为管理　

国内的ＩＤＳ产品像启明星辰公司的“天阗”，融合　人员会因ＩＤＳ存在而放松警惕。如何提高ＩＤＳ自身　

了基于行为和基于知识的方法，具有多种报警和阻　

的安全性将是一项长期的任务。只有结合多种防御　

断措施，并能实现与防火墙的联动。　措施，构筑一个全方位的安全体系，才能保证系统　

４入侵检测面临的问题与发展趋势　

的安全可靠。　

苏　成，男，１９６３年生，副教授，主要研究方向是信息与网络安全，软件工程。　

２Ｄ　

Ｚ　翻．　Ｎｏ．　

本文标签： 检测入侵系统数据