入侵检测系统发展简述

入侵检测系统发展简述
作者：马骏
来源：《电脑知识与技术》2008年第34期
摘要：入侵检测系统是目前信息安全系统中的一个重要组成部分，该文简述了其二十多年的主要发展历程，对其使用的技术以及未来的发展方向进行了简要介绍。

关键词：入侵检测；入侵检测系统；IDES；DIDS
中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)34-1942-02
Review on the Development of Intrusion Detection System
MA Jun
(School of Electronics and Information,Jiangsu University of Science and Technology,Zhenjiang 212003,China)
Abstract: Intrusion detection system is one of the critical compositions in information assurance system. In this paper we give a review of the development of the intrusion system in that 20 years. We also take a brief introduction on the intrusion detection techniques and the development in the future.
Key words: intrusion detection; intrusion detection system;IDES;DIDS
1 引言
在当前的信息时代，随着互联网技术的高速发展，计算模式由传统的以单机为主的模式向基于网络的分布式模式转化，而由此引发的网络入侵的风险性也随之大大增加，网络安全与信息安全问题成为了人们高度重视的问题。

早期对于网络安全主要采取的是保护的手段，其核心思想是构建一个绝对安全的系统，所采取的主要技术手段有数据加密、认证授权、访问控制、安全审计、安全内核等，但是这些技术存在有以下不足：
1) 设计和实现绝对安全的系统是不可能的，即不可能构建绝对安全的系统，同时，对于已经投入使用的系统，将其升级为“安全”的系统也是代价极高且不可能实现的；
2) 数据加密方法有其自身的弱点，同时，密码有可能丢失或被有入侵企图的用户破译；
3) 即便是一个真正安全的系统，也无法阻止系统的合法用户滥用授权；
4) 对于访问控制策略，系统实施的访问控制策略的层次与系统的效率成反比关系，即访问控制机制越严格，系统的效率就越低。

因为保护手段存在有上述种种的局限性，所以近年来，在重视保护技术发展的同时，入侵检测技术得到了人们更多的关注，得到了长足的发展。

2 入侵检测系统的发展历程
入侵检测技术就是采取技术手段发现入侵和入侵企图，以便采取有效的措施来堵塞漏洞和修复系统，使用入侵检测技术具有入侵检测功能的网络安全系统称为入侵检测系统。

2.1 入侵检测概念的提出
1980年，James Anderson在为美国空军所做的技术报告中首次提出了入侵检测的概念，提出可以通过审计踪迹来检测对文件的非授权访问，并给出了一些基本术语的定义，包括威胁、攻击、渗透、脆弱性等等。

Anderson报告将入侵划分为外部闯入、内部授权用户的越权使用和滥用三种，同时提出使用基于统计的检测方法，即针对某类会话的参数，例如连接时间、输入输出数据量等，在对大量用户的类似行为作出统计的基础上得出平均值，将其作为代表正常会话的阈值，检测程序将会话的相关参数与对应的阈值进行比较，当二者的差异超过既定的范围时，这次会话将被当作异常。

Anderson报告实现的是基于单个主机的审计，在应用软件层实现，其覆盖面不大，并且完整性难以保证，但是其提出的一些基本概念和分析，为日后入侵检测技术的发展奠定了良好的基础。

2.2 入侵检测模型的建立
1987年，Dorothy E. Denning在她的论文《An intrusion-detection model》中首次提出了入侵检测系统的抽象模型，称为IDES系统，并且首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。

Denning所提出的模型是一个通用的检测模型，其不依赖于特定的系统和应用环境，也不假定被检测的攻击类型。

在此之后开发的IDS系统基本上都沿用了这个结构模型，可以用图1表示Denning提出的模型。

Denning所提出的模型采用基于规则的模式匹配进行检测，根据主机审计记录数据，生成有关系统的若干轮廓，并对轮廓的变化差异进行监测以发现系统的入侵行为。

Denning模型并不关心目标系统所采用的安全机制，因此也不检测攻击者针对已知的系统弱点进行攻击的特征行为，这也被认为是其一个重大缺陷。

2.3 基于主机的入侵检测系统
Denning提出她的通用检测检测模型后，很多机构在上世纪80年代后期推出了一系列基于主机的入侵检测系统，其中有代表性的主要有Haystack、MIDAS、IDES等。

1988年，Smaha发表《Haystack: An Intrusion DetectionSystem》，其中使用了两种检测方法：异常检测、基于入侵特征的检测，后者弥补了Denning模型的不足，提高了入侵检测的准确率。

通过两种检测方法的结合，克服了两种方法各自的缺陷。

同年，美国政府和军方基于Multics主机开发了MIDAS系统，应用于对与美国国家计算机安全中心联网的大型主机进行入侵检测，它使用了启发式的入侵检测方法，形成了一个入侵检测的专家系统。

MIDAS系统将规则集分为高低两层，由低层规则对特定类型的事件进行归纳，并将得到的可疑事件传递给高层规则集，以进一步判断是否需要向管理员报警。

仍是在1988年，Teresa Lunt等对Denning的入侵检测模型进行了改进，提出了与系统平台无关的实时检测思想，并开发出了一套IDES系统。

该系统的结构与此前的系统有较大差异，被检测的目标系统需要将自己产生的审计记录通过网络传递到运行IDES的另一台主机，由该主机通过系统内部的DBMS管理审计数据库。

虽然该系统在结构上具有了基于网络的入侵检测系统的特征，但是由于其所分析的数据全部来自于主机的审计数据，因此，一般仍将其视为基于主机的入侵检测系统。

2.4 基于网络的入侵检测系统
随着上世纪80年代中后期计算机网络开始快速发展，信息系统的安全已不再局限于单个主机的范围。

1990年，加州大学Davis分校的L. Todd. Heberlein等开发出了NSM(Network Security Monitor)系统，NSM系统第一次直接将局域网上的网络信息流作为审计数据来源。

由于局域网上的通讯是广播型，并且使用TCP/IP等标准协议，因此，不会出现针对异构主机内部审计数据进行检测会因格式不同造成系统效率下降的情况。

所以，NSM系统对局域网上网络通讯进行检测，并从中检测出有入侵企图的行为，不但改善了检测效果，也提高了效率。

NSM系统的出现，也正式标志着入侵检测系统的两个主要类别：基于网络的入侵检测系统和基于主机的入侵检测系统正式形成。

2.5 分布式入侵检测系统
基于网络的入侵检测系统与基于主机的入侵检测系统相比具有明显的优点，如实时检测、操作系统独立性、对目标主机影响较小、隐蔽性较强等等，但同时其也具有较大的缺陷，如检测范围仅限于某一个广播网段、对加密通信难以处理、易受信息欺骗等。

因此，从上世纪90年代开始，基于网络的入侵监测系统与基于主机的入侵检测系统被结合起来，逐渐形成了分布式入侵检测系统。

1988年的Morris蠕虫事件引发了公众对于网络安全的重视，美国空军、国家安全局(NSA)和能源部(DOE)共同资助空军密码支持中心(AFCSC)、Lawrence-Livermore国家实验室、加州大学Davis分校、Haystack实验室，开展对分布式入侵检测系统(DIDS)的研究，将基于网络和基于主机的入侵检测方法集成到了一起。

1991年，DIDS基本完成。

DIDS是入侵检测系统发展史上一个里程碑式的产品。

DIDS对数据采用分布式监视、集中式分析，通过收集、合并来自多个主机的审计数据和检查网络通讯，能够检测出多个主机发起的协同攻击。

3 入侵检测技术
虽然在几十年的发展过程中，入侵检测系统的结构随着信息系统的结构变化而不断变化，但入侵检测的方式却基本沿用至今，主要分为两种：异常检测(Anomaly detection)和误用检测(Misuse detection)，异常检测是抽取系统的静态形式和可接受的行为特征，然后检测对静态形式的错误改动和可疑的动态行为，误用检测是假设入侵活动可以用一种模式来表示，检测系统将检测系统内部发生的活动是否符合这些模式。

3.1 异常检测
异常检测分为静态异常检测和动态异常检测两种，静态异常检测在检测前保留一份系统静态部分的特征表示或者备份，在检测中，若发现系统的静态部分与以前保存的特征或备份之间出现了偏差，则表明系统受到了攻击或出现了故障。

动态异常检测所针对的是行为，在检测前需要建立活动简档文件描述系统和用户的正常行为，在检测中，若发现当前行为和活动简档文件中的正常行为之间出现了超出预定标准的差别，则表明系统受到了入侵。

3.2 误用检测
误用检测主要针对使用已知的攻击技术进行攻击的情况，使用一个行为序列，称为“入侵场景”来确切地描述一个已知的入侵方式，若系统检测到该行为序列完成，则意味着一次入侵发生。

早期的误用检测系统使用规则来描述所要检测的入侵，但由于规则组织上存在缺陷，所以造成规则数量过大，且难以解释和修改。

为了克服这一缺点，后来的入侵检测系统使用了基于模型和基于状态转化的规则组织方法。

4 入侵检测系统的发展方向
4.1 体系结构由集中式向分布式转变
随着网络系统的日趋大型化、复杂化，以及入侵行为的协作性，入侵检测系统的体系结构由基于主机和基于网络的集中式向分布式发展，重点需要解决不同入侵检测系统之间检测信息的协同处理与入侵攻击的全局信息的提取。

4.2 入侵检测系统的标准化
具有标准化接口将是入侵检测系统的下一步发展方向之一，这将有利于不同类型的入侵检测系统之间进行数据交换与协同处理以及入侵检测系统与其它安全产品之间的信息交互。

IETF(Internet engineering task force)下属的入侵检测工作组(IDWG)已经制定了入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)、入侵报警(IAP)等标准，以适应入侵检测系统之间安全数据交换的需要。

4.3 安全技术综合集成
入侵检测系统能够及时识别并记录攻击，但并不能实时阻止攻击，因此，针对网络的实际安全需求，需要将入侵检测系统与防火墙、应急响应系统等逐渐融合，组成一个综合性的信息安全保障系统。

4.4 面向应用的入侵检测
面向应用层的入侵检测也将是入侵检测系统的下一步发展方向之一。

因为由应用程序所解释的各种不同类型的数据，其语义只有在应用层才能被理解，因此，只有入侵检测系统面向应用层，才能对其进行理解和并进行分析。

5 结束语
该文对入侵检测系统的主要发展过程进行了简述，对其使用的技术以及未来的发展方向进行了简要介绍。

随着计算机网络的快速发展，入侵检测系统也面临着许多新的课题，例如高效识别算法、协同入侵检测体系、入侵实时响应、数据关联分析等。

参考文献：
[1] Anderson J puter Security Threat Monitoring and Surveillance[R].James P Anderson Company, Fort Washington, Pennsylvania, April 1980.
[2] Dorothy E. Denning, an intrusion-detection model[J].IEEE Transactions on Software Engineering,1987,13(2):222-232.
[3] 卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报,2004(7):21-31.
[4] 张相锋,孙玉芳.入侵检测系统发展的研究综述[J].计算机科学,2003(8):47-51,157.
[5] 张然,钱德沛,张文杰,等.入侵检测技术研究综述[J].小型微型计算机系统,2003(7):10-15.
[6] 徐兴元,郭兆丰,潘晓东.入侵检测系统研究进展[J].电光与控制,2007(10):184-187.
[7] 李昀,李伟华.分布式入侵检测系统的研究与实现[J].计算机工程与应用,2003(4):4-6,11.
[8] 周建国,等.计算机网络入侵检测系统的研究[J].计算机工程,2003,29(2):9-12.。