网络安全与保密(第二版)第11章

安全策略
数
信
信息
据
息
预
源 收集
处
理
检 测 模 型
检 测 结 果
响 应 处 理
图11-2 入侵检测的一般过程
其中，信息源是指包含有最原始的入侵行为信息的数据， 主要是网络、系统的审计数据或原始的网络数据包。数据预 处理是指对收集到的数据进行预处理，将其转化为检测模型 所接受的数据格式，也包括对冗余信息的去除即数据简约。 这是入侵检测研究领域的关键，也是难点之一。检测模型是 指根据各种检测算法建立起来的检测分析模型，它的输入一 般是经过数据预处理后的数据，输出为对数据属性的判断结 果，数据属性一般是针对数据中包含的入侵信息的断言。
本章将对入侵检测的相关理论进行系统的介绍和阐述， 为深入进行这方面的研究提供必要的理论支持。
11.1 引言
计算机网络的迅猛发展给当今社会所带来的各种便利是 毋庸置疑的，它把人们的工作、生活、学习紧密地联系在了 一起，也使得人们对计算机网络的依赖性在不断增强，所以 我们必须确保计算机网络的安全。
而计算机安全的三大中心目标是：保密性 (Confidentiality)、完整性(Integrity)、可用性(Availability)。 人们在实现这些目标的过程中不断进行着探索和研究。其中 比较突出的技术有：身份认证与识别、访问控制机制、加密 技术、防火墙技术等。但是这些技术的一个共同特征就是集 中在系统的自身加固和防护上，属于静态的安全防御技术， 它对于网络环境下日新月异的攻击手段缺乏主动的反应。针 对日益严重的网络安全问题和越来越突出的安全需求，自适 应网络安全技术(动态安全技术)和动态安全模型应运而生， 典型的就是P2DR模型(如图11-1所示)。
检测结果即检测模型输出的结果，由于单一的检测模型的检 测率不理想，往往需要利用多个检测模型进行并行分析处理， 然后对这些检测结果进行数据融合处理，以达到满意的效果。 安全策略是指根据安全需求设置的策略。响应处理主要是指 综合安全策略和检测结果所作出的响应过程，包括产生检测 报告、通知管理员、断开网络连接或更改防火墙的配置等积 极的防御措施。
第11章 入侵检测系统
11.1 引言 11.2 入侵检测基本原理 11.3 入侵检测系统分类 11.4 入侵检测系统模型 11.5 分布式入侵检测系统 11.6 小结 参考文献
传统的安全防御技术是静态的安全策略，相对于网络环 境下日新月异的攻击手段缺乏主动的反应能力。为此，一种 新型的安全理念——动态安全防御技术应运而生。而入侵检 测作为动态安全防御技术的核心技术之一，是防火墙的合理 补充，被誉为防火墙之后的最后一道安全防线。
入侵检测作为动态安全技术的核心技术之一，是防火墙 的合理补充，帮助系统对付网络攻击，扩展了系统管理员的 安全管理能力(包括安全审计、监视、进攻识别和响应)，提 高了信息安全基础结构的完整性，是安全防御体系的一个重 要组成部分。
入侵检测的诞生是网络安全需求发展的必然，它的出现 给计算机安全领域研究注入了新的活力。关于入侵检测的发 展历史最早可追溯到1980年，当时James P. Anderson在一份 技术报告中提出审计记录可用于检测计算机误用行为的思想， 这可谓是入侵检测的开创性的先河。而另一位对入侵检测同 样起着开创作用的人就是Dorothy E.Denning，他在1987年的 一篇论文[3]中提出了实时入侵检测系统模型，它成为后来的 入侵检测研究和系统原型的基础。早期的入侵检测系统是基 于主机的系统，它是通过监视和分析主机的审计记录来检测 入侵的。
ቤተ መጻሕፍቲ ባይዱ
11.2.2 入侵检测系统 入侵检测系统(Intrusion Detection System，简称IDS)是
实现入侵检测功能的一系列的软件、硬件的组合。它是入侵 检测的具体实现。作为一种安全管理工具，它从不同的系统 资源收集信息，分析反映误用或异常行为模式的信息，对检 测的行为做出自动的反应，并报告检测过程的结果。简单地 说，入侵检测系统至少包括这几个功能部件：
入侵检测(Intrusion Detection)就是通过从计算机网络或 计算机系统中若干关键点收集信息并对其进行分析，从中发 现网络或系统中是否有违反安全策略的行为和遭到攻击的迹 象，同时做出响应。
从上述的定义可以看出，入侵检测的一般过程是：信息 收集、信息(数据)预处理、数据的检测分析、根据安全策略 做出响应，如图11-2所示。
Re s p o n s e (响应)
(防护) n
De t e ct
i o n (检测)
Pr ot ect io Policy (策略)
图11-1 P2DR模型
P2DR模型由Policy(安全策略)、Protection(防护)、 Detection(检测)、Response(响应)这几个功能部件组成。首 先，在整体安全策略的控制和指导下，在综合运用防护(如 防火墙、操作系统身份认证、加密等手段)的同时，利用检 测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安 全状态，通过适当的响应将系统调整到“最安全”和“风险 最低”的状态。防护、检测和响应构成了一个完整的、动态 的安全循环。
另外，入侵检测发展史上又一个具有重要意义的里程碑 就是NSM(Network Security Monitor)的出现，它是由L. Todd Heberlien在1990年提出的。NSM与此前的入侵检测系统相 比，其最大的不同在于它并不检查主机系统的审计记录，而 是通过监视网络的信息流量来跟踪可疑的入侵行为。
从此，入侵检测的研究和开发呈现一股热潮，而且多学 科多领域之间知识的交互使得入侵检测的研究异彩纷呈。本 章我们将对入侵检测的基本理论进行介绍，为大家深入学习 和研究起到抛砖引玉的作用。
11.2 入侵检测基本原理
11.2.1 入侵检测的基本概念 从计算机安全的目标来看，入侵的定义是：企图破坏资源
的完整性、保密性、可用性的任何行为，也指违背系统安全策 略的任何事件。入侵行为不仅仅是指来自外部的攻击，同时内 部用户的未授权行为也是一个重要的方面，有时内部人员滥用 他们特权的攻击是系统安全的最大隐患。从入侵策略的角度来 看，入侵可分为企图进入、冒充其它合法用户、成功闯入、合 法用户的泄漏、拒绝服务以及恶意使用等几个方面。