入侵检测系统在企业网络中的应用

入侵检测系统在企业网络中的应用

【摘要】企业网络维护一般采用集中监控和管理，为了保障网络的安全运行需要一种能够动态地适应网络变化的安全技术。入侵检测技术是当今一种非常重要的动态安全技术，与传统的静态防火墙技术共同使用，可以大幅度提高系统的安全防护水平。本文在对入侵检测技术研究的基础上，结合企业网络的特点，详细分析了企业网络应用入侵检测系统的系统需求，设计企业网络入侵检测系统，建立入侵检测系统在企业网络中的应用模型。

【关键词】入侵检测系统；入侵检测模型；数据挖掘；企业网络

1. IDS策略

1.1 IDS的体系结构与功能

1.1.1入侵检测系统的体系结构

IDS通用模型中，将IDS需要分析的数据统称为事件，事件可以是网络中的数据包，也可以是从系统日志等途径得到的信息。通过实时检测网络系统状态，判断入侵行为发生，并产生报警。

IDS分为四个组件：

1）检测器，它的工作是检测事件并发出报告；

2）分析器，接到报告后进行分析，产生分析结果；

3）数据库，存放入侵攻击特征和入侵IP地址；

4）控制器，接到前面三个组件的信息后对事件进行反应。

1.1.2入侵检测的功能

随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统技术的研究和开发。各种网络安全工具的比较见表1-1。入侵检测系统可以弥补现网防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。

表1-1 网络安全工具的特点

优点局限性

防火墙可简化网络管理，产品成熟无法处理网络内部的攻击

IDS 实时监控网络安全状态误报警，缓慢攻击，新的攻击模式

Scanner 简单可操作，帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞

VPN 保护公网上的内部通信可视为防火墙上的一个漏洞

防病毒针对文件与邮件，产品成熟功能单一

1.2 IDS的系统设计

入侵检测系统在企业网络中的应用，能使在入侵攻击对企业系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击，如图1-2。入侵检测技术是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有：入侵—非法用户的违规行为；滥用—用户的违规行为。

图1-2 企业网络入侵检测示意图

结合企业网络的特点，设计企业网络中应用入侵检测系统（见图1-3）。企业网络入侵检测系统采用先进的检测技术，包括数据挖掘技术、入侵响应技术。企业网络入侵检测利用的信息一般来自以下四个方面：系统或网络的日志文件；网络流量：通过网络流量及其变化，收集信息；系统目录和文件的异常变化；程序执行中的异常行为。企业网络IDS通过三种技术手段进行信息分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

一个成功的企业网络IDS要满足以下五个主要功能要求：实时性要求；可扩展性要求；适应性要求；安全性与可用性要求；有效性要求。

1.3 IDS功能模块设计

企业网络IDS除了要识别众多的攻击特征外，还应该具备知识的自我更新，以及对网络行为的详细日志记录保留和统计分析能力。一个完整的企业网络入侵检测系统应该具有以下几个功能模块：数据收集，通讯模块，检测模块，数据库模块，管理模块。

图1-5描述了一种运用数据挖掘技术的企业网络入侵检测系统的结构。

图1-5 引入数据挖掘的入侵检测系统结构

数据挖掘技术非常适用于处理海量数据，从中提取特征，建立入侵模式知识库。网络安全是企业企业在竞争中取得优势的重要手段，非常适用于企业这样数据密集型的企业。根据企业网络数据的来源，我们可以将输入的待检测数据分成

来源于网络的数据和来源于主机系统的系统调用日志两种，进行审计数据的挖掘处理。当出现新的攻击类型和新的正常使用模式时系统能够有效识别并自动扩充规则库，以提高其扩展性和环境适应性，使检测具有智能性。

2. IDS的实现

从功能实现的角度可以把企业网络入侵检测系统划分为三大模块：信息收集模块，信息处理与通讯模块，入侵判断与反应模块。其中信息收集模块与特定的环境，监视的对象有比较密切的关系；信息处理与通讯模块（包括内部组件间的通信和各IDS及与其它安全产品之间的通信），是对所收集到的数据进行预处理和分类，把处理的结果按照一定的格式传输给检测判断模块。最后由检测判断模块根据一定的安全策略判断入侵行为做出响应。一般地，企业网络入侵检测系统由以下组件组成（见图2-1）。

图2-1 企业网络入侵检测系统实现组件

互联网的发展趋势表明：网络攻击正逐渐从简单的网络层攻击向应用层转变，单纯的防火墙功能已经不能满足当下应用安全的需求。旁路的入侵检测方式又不能满足对攻击源实时屏蔽的需求，与防火墙联动的入侵检测一直没有标准的联动协议来支撑。入侵检测解决方案正在被入侵防御取代。安全漏洞、安全隐患的发生似乎是不可避免的，互联网的应用和业务却正在爆炸式的增长。应用类型在增加，应用特征却更复杂，比如现在有很多应用都是基于HTTP等基础协议，让传统基于端口来识别应用的入侵防御解决方案已经不能适用。如何识别出这些新的应用，从而去检测防御针对这些应用的攻击，是新一代入侵检测网关需要解决的问题。网络带宽在增加，应用类型在增加，应用协议在复杂化，攻击类型在增加，攻击方式在隐蔽化。传统入侵防御设备受限于自身处理能力，已经不能胜任这样的趋势，如何去进行深度应用分析、深度攻击原理分析，也许所有的单位都知道简单的攻击特征匹配已经不能满足时下用户对入侵防御漏判误判的要求，却受限于设备自身的处理能力，从而误判漏判的行为时有发生。Hillstone 入侵防御和TippingPoint的主动式入侵防御系统两个软件也许能够解决单位局域网的网络安全问题。

参考文献：

[1] 陈伟，彭文灵，杨敏. 基于数据挖掘的入侵检测系统中挖掘效率的研究[J]赣南师范学院学报，2003，（06）.

[2] 覃爱明，胡昌振，谭惠民. 数据挖掘技术在网络攻击检测中的应用[J]计算机工程与应用，2002，（11）.

[3] 盛思源，战守义，石耀斌. 基于数据挖掘的入侵检测系统[J]计算机工程，2003，（01）.