基于网络的入侵检测系统

摘要

入侵检测系统（Intrusion Detection System ,简称IDS）是指用于计算机和网络上的违反安全规则的行为进行识别和响应的系统。它把原来消极的安全保障变成积极主动的检测和统计，在不影响网络性能的情况下对网络进行监测，能对黑客入侵和内部人员违反操作等行为进行实时的警报和阻断，从而降低计算机和网络遭受的到的风险。入侵检测系统是防火墙的合理补充，被认为是防火墙之后的第二道安全闸门，ID S扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS是近年来网络安全研究的热点。

目录

摘要 (1)

第一章入侵检测系统

1.1入侵检测系统的概念 (1)

1..2入侵检测系统分类 (1)

1..3入侵检测系统的检测方法 (1)

1..4入侵检测系统的通用模型 (3)

第二章入侵检测系统的性能检测标准及缺陷

2.1测试评估IDS性能的标准 (4)

2.2目前IDS存在的缺陷 (4)

第三章系统设计

3.1系统需求和应用背景 (6)

3.2 系统总体设计 (6)

3.3系统部署结构 (9)

3.4系统优点 (11)

第四章结束语 (12)

参考文献 (13)

第一章入侵检测系统

1.1入侵检测系统的概念

1.1.1入侵和入侵检测

入侵是指威胁计算机或网络的安全机制（包括机密性、完整性、可用性）的行为。入侵可能是来自互联网的攻击者对系统的非法访问，也可能是系统的授权用户对未授权的内容进行的非法访问。

从入侵策略的角度看，入侵可分为：冒充其他用户，违反安全策略，合法用户的泄露，独占资源和恶意使用等。

入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。它对发生在计算机系统或者网络上的事件进行监视、分析是否出现入侵的过程。甚至可以抵御以部分可能的入侵。

1.1.2 入侵检测系统

入侵检测系统是入侵检测的具体实现，是由计算机软件和硬件共同组成的计算机安全系统。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。一旦发现异常或入侵情况，发出警报并采取相应的保护措施。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

1.2入侵检测系统的分类

入侵检测系统的分类及各类检测系统的特点如表1所示

1.3入侵检测系统的检测方法

入侵检测系统常用的检测方法有特征检测、统计检测、专家系统与文件完整性检查。

1.3.1特征检测

特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。

1.3.2统计检测

统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。

表1 入侵检测系统的分类及各类检测系统的特点

1.3.3专家系统

用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间

往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

1.3.4文件完整性检查

文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。

1.4网络入侵检测系统的通用模型

通用的入侵检测系统是由四部分组成，它包括事件产生器、事件分析器、事件响应单元和事件数据库。其结构如图1所示：

图1入侵检测系统的通用模型

事件产生器负责从网络的不同关键点监视收集网络数据信息，根据协议规范分析出具体的数据内容（包括包头信息和正文等），然后根据CISL（Common Intrusion Specification Language，通用入侵规范语言，CISL是CIDF组件间彼此通信的语言）的要求生成GIDOs(这些组件之间通信的数据使用统一的标准格式：gidos—generalized instruction detection object)将生成的GIDOs交给分析器进行实时分析，分析后将原始信息和分析结果存储到事件数据库，并将相应的分析结果传输给事件响应单元。为了防止分布式攻击和慢攻击，在一定的时间段后我们要对数据库进行总体事件分析，以发现实时分析无法发现的攻击，如果发现攻击则由事件分析器通知事件响应单元做出相应的响应。

第二章入侵检测系统的性能检测标准及现状

随着入侵检测系统的广泛应用，人们安全意识的逐步提高，入侵检测系统的应用范围也越来越广，各种各样的IDS也越来越多。所以对入侵检测系统的性能要求也越来越高。本章介绍了入侵检测系统测试评估的标准以及其中存在的一些问题。

2.1测试评估IDS性能的标准

评价IDS

准确性（Accuracy）：指IDS从各种行为中正确地识别入侵的能力，当一个IDS的检测不准确时，就有可能把系统中的合法活动当作入侵行为并标识为异常（虚警现象）。

处理性能（Performance）：指一个IDS处理数据源数据的速度。显然，当IDS的处理性能较差时，它就不可能实现实时的IDS，并有可能成为整个系统的瓶颈，进而严重影响整个系统的性能。

完备性（Completeness）：指IDS能够检测出所有攻击行为的能力。如果存在一个攻击行为，无法被IDS检测出来，那么该IDS就不具有检测完备性。也就是说，它把对系统的入侵活动当作正常行为（漏报现象）。

容错性（Fault Tolerance）：由于IDS是检测入侵的重要手段，所以它也就成为很多入侵者攻击的首选目标。IDS自身必须能够抵御对它自身的攻击，特别是拒绝服务（Denial-of-Service）攻击。

及时性（Timeliness）：及时性要求IDS必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止入侵者进一步的破坏活动，和上面的处理性能因素相比，及时性的要求更高。它不仅要求IDS的处理速度要尽可能地快，而且要求传播、反应检测结果信息的时间尽可能少。 2.2目前IDS存在的缺陷

入侵检测系统作为网络安全防护的重要手段，有很多地方需要我们进一步完善。目前的IDS还存在很多问题。

1.高误警率