论述入侵检测系统探讨

论述入侵检测系统探讨

符海彪

宏景科技股份有限公司 广东广州 510000

摘要：Internet蓬勃发展到今天，计算机系统已经从独立的主机发展到复杂、互连的开放式系统，这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息，早已成为人们重要的沟通方式之一，随之而来的各种攻击事件与入侵手法更是层出不穷，引发了一系列安全问题。本文从专利文献的视角对入侵检测技术的发展进行了全面的分析与研究，总结了与入侵检测技术相关的专利申请基本情况，介绍了入侵检测技术分支及其发展路线。

关键词：入侵；检测；系统

引言：在当今信息化的现代社会中，计算机网络已经成为了人们生活中必不可少的一部分，人们对网络的安全性的要求也越来越高．入侵检测系统可以保证网络的安全运行，简化系统的管理，构成了一个主动的、智能的安全防护体系．因此，入侵检测系统越来越成为网络安全的关键。

一、入侵检测系统（IDS）的定义

随着网络技术的发展，越来越多的计算机连接到了网络上：互联网或本地的局域网，这给予了黑客通过网络对计算机进行攻击和非法获取资源和数据提供了方便。因此迫切需要提供一种安全措施来检测、防范攻击或对系统资源和数据的未授权访问。当然完全避免此类安全事件是不可能的，所能做到的是尽可能地发现入侵的企图和入侵的行为，然后采用有效的措施阻止入侵、向有关人员报警，然后尽可能的恢复系统、修补漏洞。这种系统就叫做入侵检测系统（Intrusion detection system，IDS）。

入侵检测系统（IDS）是近年来发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。

二、入侵检测系统的工作流程

1、信息收集。入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的原因就是从一个信息源有可能看不出疑点，但从多个来源的信息的不一致性来看就是可疑行为或入侵的最好标识。入侵检测利用的信息一般来自这四个方面：网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为以及物理形式的入侵信息。

2、信号分析。对上述收集到的4类信息，有关系统、网络、数据及用户活动的状态和行为等信息，一般要通过三种技术手段对其进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

3、检测办法。当收集到证据后，系统就要判断它是否就是入侵。一般来说，IDS有一个知识库，知识库记录了特定的安全策略，IDS获得信息后，与知识库中的安全策略进行比较，进而发现违反规定的安全策略的行为。要定义知识库有很多种方式，最普遍的做法是检测报文中是否含有攻击特征，知识库中给出何种报文是攻击的定义。

三、入侵检测系统的分类

根据IDS的发展历史，检测原理、体系结构和系统特征的分析，以及对多个有重大学术影响力的IDS研究原型的研究，入侵检测系统可以按以下几个方面进行分类：

1、按照控制策略分类。控制策略描述了IDS的各元素是如何控制的，以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为，集中式IDS、部分分布式IDS和全部分布式IDS。

2、按照同步技术分类。同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分，IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中，信息源是以文件的形式传给分析器，一次只处理特定时间段内产生的信息，并在入侵发生时将结果反馈给用户。

3、按照信息源分类。按照信息源分类是目前最通用的划分方法，它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS，能够同时分析来自主机系统日志和网络数据流，系统由多个部件组成，采用分布式结构。

4、按照分析方法分类。按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中，首先建立一个对过去各种入侵方法和系统缺陷知识的数据库，当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法，因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的，即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库，由于库的有限性使得虚警率比较高。

5、按照响应方式分类。按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时，主动IDS会采用以下三种响应：收集辅助信息；改变环境以堵住导致入侵发生的漏洞；对攻击者采取行动。被动响应IDS则是将信息提供给系统用户，依靠管理员在这一信息的基础上采取进一步的行动。

此外，对IDS的部署唯一的要求是IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

四、入侵检测系统部署

对于入侵检测系统来说，其类型不同、应用环境不同，部署方案也就会有所差别。对于基于主机的入侵检测系统来说，它一般用于保护关键主机或服务器，因此只要将它部署到这些关键主机或服务器中即可。但是基于网络的入侵检测系统来说，各种网络环境千差万别，根据网络环境的不同，其部署方案也就会有所不同。

1、共享部署。在共享介质的环境下，传感器能够监听到整个冲突域内的流量，所以只需要把传感器的监听端口接到Hub上即可。

2、交换环境。在交换环境下，每个交换机的端口都是一个独立的冲突域，因此传感器不能直接监听到交换机其他端口的流量，通常可以采用以下几种方法解决。

方法1：在Switch和Router之间接入一个Hub，从而把一个交换环境转换为共享环境。这样做的优点是简单易行，成本低廉。如果客户对网络的传输速度和可靠性要求不高，建议采用这种方式。

方法2：如果交换机支持端口镜向的功能，建议采用这种方式，可以在不改变原有网络拓扑结构的基础上完成传感器的部署，配置简单、灵活，使用方便，不需要中断网络，是比较常用的一种方式。

方法3：如果交换机不支持端口镜像功能，或者出于性能的考虑不便启用该功能，可以采用TAP（分支器），即将其接在所有监测的线路上，它的优点是能够支持全双工100Mbps或者全双工1000Mbps的网络流量，缺点是必须购买额外的设备（TAP)

结束语：从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术外，应重点加强统计分析的相关技术研究。

参考文献：

[1] 蹇诗婕,卢志刚,杜丹,等. 网络入侵检测技术综述[J]. 信息安全学报,2020,5(4):96-122.

[2] 张维. 入侵检测技术[J]. 数字化用户,2018,24(10):36.

[3] 石峰. 关于入侵检测技术分析[J]. 中国新通信,2019,21(5):128.