摘要：從入侵檢測系統(tǒng)（IDS）的概念入手，介紹它在網(wǎng)絡(luò)中的位置、工作過些及數(shù)據(jù)分析方法等幾個方面，后闡述了IDS目前面臨的挑戰(zhàn)。

關(guān)鍵詞：IDS；網(wǎng)絡(luò)安全；異常檢測；誤用檢測

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 24-0147-02

1 引言

隨著Internet高速發(fā)展，無論是個人還是企事業(yè)單位，包括政府部門都把網(wǎng)絡(luò)作為傳遞信息的主要載體，可是網(wǎng)絡(luò)的開放性和共享性使它非常容易受到外界的攻擊與破壞，信息的安全保密性受到嚴重影響?；诰W(wǎng)絡(luò)連接的安全問題也日益突出，黑客攻擊日益猖獗，防范問題日趨嚴峻。入侵檢測系統(tǒng)已經(jīng)成為計算機網(wǎng)絡(luò)安全系統(tǒng)保護的一道保障。

2 入侵檢測系統(tǒng)

2.1 入侵檢測系統(tǒng)概述

入侵檢測系統(tǒng)（Intrusion detetion system，簡稱IDS）是運行于被檢測的主機或網(wǎng)絡(luò)之上，通過查詢、監(jiān)聽當前系統(tǒng)或網(wǎng)絡(luò)的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)資源被非法使用和修改的事件，進行上報和處理，它是通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對“系統(tǒng)的闖入或闖入的企圖”的設(shè)備。

入侵檢測技術(shù)系統(tǒng)能很好的彌補防火墻的不足，防火墻是一種網(wǎng)絡(luò)邊界設(shè)備，對某些攻擊的保護很弱，而且并不是所有的威脅都來至防火墻的外部，據(jù)統(tǒng)計85%以上的網(wǎng)絡(luò)攻擊都來自網(wǎng)絡(luò)內(nèi)部。而IDS則可以有效的防范防火墻開放的服務(wù)入侵，以旁路監(jiān)聽的方式，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作，防范網(wǎng)絡(luò)內(nèi)部威脅?？傊拖褚粋€智能網(wǎng)絡(luò)攝像機，不但能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，而且能夠分析這些數(shù)據(jù)并把可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)進行提煉，發(fā)送給網(wǎng)絡(luò)管理員進行下一步的處理。

入侵檢測系統(tǒng)是一個網(wǎng)絡(luò)攝像機，因此它所處的位置應(yīng)該是能夠所有“被關(guān)注的流量”都必須經(jīng)過的位置，也就是說要盡可能的靠近攻擊源和受保護源，可以部署到以下幾個位置如圖1所示。

（1）部署在邊界防火墻之外，它的目的是為了實時捕獲來自網(wǎng)絡(luò)外部的攻擊企圖，攻擊數(shù)目和攻擊類型。（2）部署在邊界防火墻之內(nèi)，它的目的主要是為了查看保護區(qū)域主機受攻擊的狀態(tài)及DMZ區(qū)域中被黑客攻擊的重點是什么，防火墻的策略設(shè)置的是否合理等。（3）部署在要求高的主要網(wǎng)絡(luò)中樞，它的目的就是通過大量監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)，來判斷攻擊的可能性，并且通過特定的權(quán)限用戶操作來發(fā)現(xiàn)用戶的一些行為。（4）對于一些安全級別比較高的子網(wǎng)，為了避免對系統(tǒng)或資源的破壞也需要部署入侵檢測系統(tǒng)。

圖1 入侵檢測系統(tǒng)的部署

2.2 入侵檢測系統(tǒng)工作流程

入侵檢測系統(tǒng)主要包括三個功能部件，其工作過程為

第一步：信息收集。要想監(jiān)測網(wǎng)絡(luò)狀態(tài)，首先就是要收集網(wǎng)絡(luò)中的信息和資源，而且信息的正確性和可靠性決定了入侵檢測系統(tǒng)的使用性。我們要在網(wǎng)絡(luò)中的不同關(guān)鍵點收集信息，可以收集系統(tǒng)或網(wǎng)絡(luò)的日志文件、網(wǎng)路的流量、文件的異常變化、程序執(zhí)行中的異常行為等。

第二步：信息分析。收集信息的目的是為了使用，入侵檢測系統(tǒng)的第二步就是分析收集到的信息，我們可以采用多種技術(shù)來分析收集到的信息，主要包括：

模式匹配IDS有一個知識庫，知識庫中有很多特點的安全策略，我們可以通過字符串匹配或者數(shù)學表達式等方式將收集到的信息與庫中的入侵模式進行比較，進而發(fā)現(xiàn)是否存在入侵行為。

統(tǒng)計分析方法首先要統(tǒng)計一下用戶、目錄等常用的系統(tǒng)對象在正常使用時的一些測量屬性，比如用戶的訪問次數(shù)、對文件或目錄的訪問失敗次數(shù)，對文件或設(shè)備的使用延時等。然后用數(shù)學的方法獲得測量屬性的平均值和偏差，最后利用這些數(shù)值與收集到的網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，若在正常范圍內(nèi)，認為是正常訪問，否則認為是入侵行為。完整性分析就是分析數(shù)據(jù)在傳輸和存儲過程中，是否不被未授權(quán)的篡改，也就是數(shù)據(jù)是否正確，可以通過分析文件或目錄的內(nèi)容及屬性來實現(xiàn)。

第三步：結(jié)果處理（響應(yīng)）。通過信息分析，若發(fā)現(xiàn)網(wǎng)絡(luò)中有安全隱患，存在攻擊行為，入侵檢測系統(tǒng)就會做出響應(yīng)，主要有兩種處理方法即主動響應(yīng)，阻止攻擊，切斷網(wǎng)絡(luò)連接；或者被動響應(yīng)，只是記錄事件和報警。

2.3 入侵檢測系統(tǒng)的分析方法

根據(jù)采用的分析方法，可以把IDS劃分為異常檢測型IDS和誤用檢測型IDS。

異常檢測（Anomaly Detection）的工作原理是第一步為系統(tǒng)或用戶的正常行為創(chuàng)建特征輪廓，第二步是分析當前系統(tǒng)或用戶的行為是否偏離了正常的行為特征輪廓來判斷是否發(fā)生了入侵行為。即異常檢測是根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，所以異常檢測又稱基于行為的入侵檢測。該方法的關(guān)鍵是異常閾值的選擇，其優(yōu)點是能夠發(fā)現(xiàn)未知入侵行為，對攻擊的變種和新的攻擊非常有效，缺點是由于識別能力不足容易產(chǎn)生誤報。

誤用檢測（Misuse Detection，又稱為特征分析檢測）它是先要收集非正常操作的行為特征，并且建立相應(yīng)的特征庫，當發(fā)現(xiàn)的用戶行為與庫中的數(shù)據(jù)相一致時，就認為有入侵行為發(fā)生。這種技術(shù)的關(guān)鍵是如何把入侵表達為入侵特征，并且能與正常行為區(qū)分開來。這種方法的準確率高，但由于需要先建立入侵行為特征庫，因此只能發(fā)現(xiàn)已知的入侵方式，漏報率高、特征庫的維護與實時更新困難。

基于行為的入侵檢測和特征分析檢測這兩種方法優(yōu)缺點互補，所以，大多數(shù)的入侵檢測系統(tǒng)都是綜合使用了這兩種方法。如果只是作為研究系統(tǒng)，大多用異常檢測方法，如果是一個實用的入侵檢測系統(tǒng)主要采用誤用檢測方法。

3 總結(jié)

作為一種主動的安全防御技術(shù)，入侵檢測系統(tǒng)實現(xiàn)了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，保證了網(wǎng)絡(luò)在受到攻擊之前就可以對入侵行為響應(yīng)，為網(wǎng)絡(luò)安全增加一道屏障。然而關(guān)于入侵檢測方法的研究仍在進行中，而且各種監(jiān)測方式都存在不同的問題，僅依靠單一的監(jiān)測也不可能檢測所有的入侵行為。

因此要想更好的保護網(wǎng)路安全就要形成人侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化的立體縱深、多層次防御系統(tǒng)。

參考文獻：

[1]陳健，張亞平，李艷.基于流量分析的入侵檢測系統(tǒng)研究[J].天津理工學院學報，2008.

[2]陳鵬，呂衛(wèi)鋒，單征.基于網(wǎng)絡(luò)的入侵檢測方法研究[J].計算機工程與應(yīng)用，2007.

[3]鐘湘東.基于網(wǎng)絡(luò)異常數(shù)據(jù)包/數(shù)據(jù)流量的入侵檢測系統(tǒng)的設(shè)計與實現(xiàn).東北大學，2007，1.