入侵检测系统的研究

入侵检测系统的研究

【摘要】近几年来，随着网络技术以及网络规模的不断扩大，此时对计算机系统的攻击已经是随处可见。现阶段，安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。

【关键词】入侵检测系统研究情况

一、前言

目前的安全防护主要有防火墙等手段，但是由于防火墙本身容易受到攻击，并且内部网络中存在着一系列的问题，从而不能够发挥其应有的作用。面对这一情况，一些组织开始提出了通过采用更强大的主动策略以及方案来增强网络的安全性。其中一个最有效的解决方法那就是入侵检测。入侵检测采用的是一种主动技术，从而弥补防火墙技术的不足，并且也可以防止入侵行为。

二、入侵检测系统的概述

（一）入侵检测系统的具体功能

入侵检测就是要借助计算机和网络资源来识别以及响应一些恶意使用行为。检测的内容主要分为两个部分：外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为

止，入侵检测成为继防火墙之后的第二道安全闸门。在网络安全体系中，入侵检测是成为一个非常重要的组成部分。总之，入侵检测的功能主要包括了以下几个功能：第一，对用户活动进行监测以及分析；第二，审计系统构造变化以及弱点；第三，对已知进攻的活动模式进行识别反映，并且要向相关人士报警；第四，统计分析异常行为模式，保证评估重要系统以及数据文件的完整性以及准确性；第五，审计以及跟踪管理操作系统。

（二）入侵检测系统的模型

在1987年正式提出了入侵检测的模型，并且也是第一次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分：第一部分，主体。主体就是指在目标系统上进行活动的实体，也就是一般情况下所说的用户。第二部分，对象。对象就是指资源，主要是由系统文件、设备、命令等组成的。第三部分，审计记录。在主体对象中，活动起着操作性的作用，然而对操作系统来说，这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动，比如：违反系统读写权限。资源使用情况主要指的是在系统内部，资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分，活动档案。活动档案就是指系统正常行为的模型，并且可以将系统正常活动的相关信息保存下来。第五部分，异常记录。异常记录主要

是可以将异常事件的发生情况表现出来。第六部分，活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下，通过将系统的正常活动模型作为准则，并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录，如果已经发生了入侵，那么此时就应该采用相应的处理措施。

（三）入侵检测系统的具体分类

通过研究现有的入侵检测系统，可以按照信息源的不同将入侵检测系统分为以下几类：

第一，以主机为基础的入侵检测系统。通过对主机的审计记录来进行监视以及分析，从而可以达到了入侵检测。这一监视主要发生在分布式、加密以及交换的环境中，从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点，那就是该系统与具体操作系统平台有联系，从而很难将来自网络的入侵检测出来，并且会占有一定的系统资源。

第二，以网络为基础的入侵检测系统。通过采集在共享网段上对通信数据进行侦听，对存在的可疑现象进行分析。这一类系统不要严格审计主机，并且也不会占用主机的资源，并且可以为网络提供保护，并且也不会考虑到主机的架构。

三、入侵检测系统的结构化以及标准化

为了能够使得IDS产品、组件与其他安全产品之间的互

操作性得以提高，此时入侵工作组开始发起制订一系列建议草案，并且从体系结构、API、通信机制以及语言格式等方面来对IDS的标准进行合理的规范。DARPA所提出的建议就是指公共入侵检测框架。

（一）1CIDF框架结构

为了能够对不同入侵检测系统的互操作性以及共存性进行解决，CIDF组织提出了一个入侵检测系统的通用框架模型，这一通用框架模型主要是由Denning 的模型演化而来的。现阶段，这一通用框架模型得到了广泛的应用。这一通用框架模型将这一入侵检测系统分为了以下几个组件：第一，事件产生器；第二，事件分析器；第三，响应单元；第四，事件数据库。CIDF将入侵检测系统需要分析的数据库称为事件，这一事件分为：网络中的数据包、系统日志以及审计记录等相关信息。事件产生器的功能那就是从整个计算机环境中来获得相关的事件，并且将此事件提供给系统的其他组件。事件分析器的作用就是对所得到的数据进行分析，并且要对所产生的结果进行分析。响应单元就是要针对分析结果做出了一定的反应，并且也可以做出切断连接、改变文件属性这一强烈反应，除此之外还可以进行简单的报警。事件数据库主要是由各种中间数据以及最终数据存放的地方，这些数据被称为复杂的数据库。CIDF框架想要通过统一的模块来对IDS进行划分，与此同时通过采用统一的入侵描述

语言、描述IDS之间、IDS的各个部件之间的入侵信息的交换，从而可以促使在IDS之间实现协同工作。

（二）IDEF标准

在IDS系统组件之间需要通信，不同的厂商IDS系统之间中也存在着通信。目前，为了能够对入侵检测系统中缺乏统一的通信协议这一问题解决掉，入侵检测工作小组定义了一种通信格式，那就是IDEF，这一通信格式可以分为以下几个部分：第一，入侵检测消息交换格式，这一格式主要描述的是入侵检测系统将信息输出的一种数据模型，并且对使用这一模型的基本原理进行合理的解释。这一数据模型通过XML可以更好的实现，并且也设计了一个XML文档类型的定义。第二，入侵检测交换协议，这一协议是一个作用于入侵检测实体之间交换数据的应用层协议，并且主要运行在TCP之上的应用层协议，从而可以完成非结构文本以及二进制数据之间的交换，并且可以保证了协议之上的双方具有完整性以及保密性。第三，入侵警报协议，这一协议主要的作用就是入侵报警信息可以进行交换，并且主要运行在TCP上的应用层协议。

（三）分析

CIDF主要是以Denning模型发展起来的，通过提出了CIDF的标准，从而可以很好的解决以下几个问题：第一，IDS 之间组件的共享问题，也就是一个IDS系统的组件可以被另