入侵检测系统的技术发展及应用前景

入侵检测系统的技术发展及应用前景

摘要

当今世界，人们的日常生活越来越离不开网络。随着网络的发展，人们也越来越重视网络信息安全的问题，特别是网络中涉及商业机密以及国家安全的信息。单纯的采用防火墙已经不足以保护这些重要信息，还要能够及时的发现恶意行为，并在恶意行为实施前做好保护措施，如断开连接，发出警告，过滤IP，甚至发起反击，这就是入侵检测技术。本文主要介绍入侵检测技术的发展概况及其分类的情况，并就入侵检测技术的应用前景及发展趋势作简单分析。

关键字：网络安全; 入侵检测; IDS; 发展趋势; 网络攻击

一、入侵检测技术简介

1、入侵检测的发展概况

入侵检测可追溯到1986年，SRI的Dorothy E.Denning发表的一篇论文《AnIntrusion-Detection Model》，该文深入探讨了入侵检测技术，检索了行为分析的基本机制，首次将入侵检测的概念作为一种计算机安全防御措施提出，并建立了一个独立于系统、程序应用环境和系统脆弱性的通用入侵检测系统模型。90年代以前，SRI以及Los Alamos实验室都主要是针对主机IDS 进行研究，分别开发了IDES、Haystack等入侵检测系统。1990年，UCD设计的网络安全监视器标志着入侵检测系统的研究进入网络领域。网络IDS的研究方法主要有两种：一是分析各主机的审计数据，并分析各主机审计数据之间的关系；二是分析网络数据包。由于90年代因特网的发展及通信和网络带宽的增加，系统的互连性已经有了显著提高，于是人们开始试图将主机和网络IDS集成。分布式入侵检测系统（DIDS）最早试图将基于主机的方法和网络监视方法集成在一起。可见，入侵检测系统的发展主要经历了三个阶段：主机IDS的研究、网络IDS的研究、最后将主机和网络IDS集成。

2、入侵检测的概念

入侵检测是对入侵行为的检测，通过收集和分析网络行为、安全日志、审计数据、以及其它网络上可以获得的信息以及计算机系统中若干关键点的信息，来检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。将入侵检测的软件与硬件相结合后便是入侵检测系统（Intrusion Detection System）。入侵检测是防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它能够在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

3、入侵检测的作用

对一个成功的入侵检测系统来讲，它不但可以使系统管理员时刻了解网络系统的任何变更，还能给安全策略的制定提供指南。总的来说，IDS 的作用和功能主要有：监控、分析用户和系统的活动；审计系统的配置和脆弱性；评估关键系统和数据文件的一致性；识别攻击的活动模式；对异常活动进行统计分析；对操作系统进行审计跟踪管理，识别违反政策的用户活动。

二、入侵检测系统

1、入侵检测系统的基本结构

如图所示为入侵检测系统的基本结构。主要由以下四个部分组成：

1、事件产生器

事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后将搜集到的原始数据转换为事件，并向

系统的其他部分提供此事件。

2、事件分析器

事件分析器接收事件信息，然后对信息进行分析，判断所接收信息是否为入侵行为或异常现象，最后将判断的结构转变为警告信息。

3、事件数据库

事件数据库是存放各种中间和最终数据的地方，它从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。

4、响应单元

响应单元根据警告信息作出反应，其可以做出切断连接、改变文件属性等强烈反应，也可以指示简单的报警，是入侵检测系统中的主动武器。

2、当前主要入侵检测系统的分类

1）根据入侵检测方法分类

根据入侵检测所采用的技术，可以分为异常检测系统和误用检测系统。

i.异常入侵检测系统：异常检测是指根据使用者的行为或资源使用状

况来判断是否发生入侵事件，而不依赖于具体行为是否出现来检测，

因此是基于行为的检测。其主要思想是根据系统的正常活动建立一

个特征文件，通过统计那些不同于用户已建立的特征文件的所有系

统状态来识别入侵。

ii.误用入侵检测系统：误用检测的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，并根据这些模式或特征建立一个数

据库，然后将搜集到的信息与已知的网络入侵和系统误用模式数据

库进行比较，从而发现违背安全策略的行为。因此是基于知识的检

测技术或模式匹配检测技术。如果说异常检测是量化的入侵检测分

析手段，那么误用检测应该是一种质化的检测手段。

2）根据目标系统的类型分类

根据目标系统的类型可以分为基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）。

②基于主机的入侵检测系统：该系统通过监视和分析主机上的审计日

志，来检查主机上是否发生入侵行为。该系统需要准确的定义哪些是

不合法的行为，并将其转换成入侵检测规则。它的优点的能够精确判

断入侵事件，并及时响应。缺点是会占用宝贵的主机资源。

③基于网络的入侵检测系统：该系统主要使用原始网络数据包作为数

据源，被动地在共享网段上进行侦听，通过分析数据包来检测是否发

生入侵行为。它的优点是检测速度快、具有较好的隐蔽性、不容易遭

到攻击、对主机资源消耗较少、还能够对网络提供通用的保护，缺点

是只能够监听本网段的数据包，精确度较差，在交换网络环境的情况

下难以配置。

三、入侵检测系统的发展趋势及应用前景

1、当前入侵检测系统面临的问题

在入侵检测技术不断发展的同时，入侵技术也在更新。因此入侵技术的发展和演化应该是当前入侵检测系统面临的主要问题：

①入侵的综合化与复杂化。由于网络防范技术的多重化，使得入侵者在

实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功

几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

②入侵技术的分布化。以往常用的入侵与攻击行为往往由单机执行，由

于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务

（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击

的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易

被确认。分布式攻击是近期最常用的攻击手段。

③入侵主体对象的间接化。通过一定的技术，可掩盖攻击主体的源地址

及主机位置。即使用了隐蔽技术后，对于被攻击对象而言攻击的主体

是无法直接确定的。

④攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近来的攻击

行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，

且有愈演愈烈的趋势。攻击者详细地分析了IDS的审计方式、特征描

述、通信模式找出IDS的弱点，然后加以攻击。