摘 要：隨著互聯(lián)網(wǎng)絡的廣泛應用，網(wǎng)絡信息量迅速增長，網(wǎng)絡安全問題日趨突出。入侵檢測作為網(wǎng)絡安全的重要組成部分，已成為目前研究的熱點，本文介紹了入侵檢測系統(tǒng)的概念、功能、模式及分類，指出了當前入侵檢測系統(tǒng)存在的問題并提出了改進措施。在基于網(wǎng)絡的計算機應用給人們生活帶來方便的同時，網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長，因此，保證計算機系統(tǒng)、網(wǎng)絡以及整個信息基礎設施的安全已經(jīng)成為刻不容緩的重要課題。

關鍵詞：入侵檢測；入侵檢測系統(tǒng)；網(wǎng)絡安全

1 入侵檢測系統(tǒng)的概念

防火墻作為一種邊界安全的手段，在網(wǎng)絡安全保護中起著重要作用，其主要功能石控制對網(wǎng)絡的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結構，另一方面對內(nèi)屏蔽外部危險站點，以防范外對內(nèi)的非法訪問。然而，由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，為了彌補防火墻存在缺陷，引入了入侵檢測IDS（ Intrusion Detection System ）技術。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網(wǎng)絡性能的情況下，通過對網(wǎng)絡的檢測，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

入侵檢測定義為識別為被授權使用的計算機系統(tǒng)和有合法權利使用系統(tǒng)但卻濫用特權的過程。即通過對計算機網(wǎng)絡或系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為和被入侵的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IDS）。一個入侵檢測產(chǎn)品通常由兩部分組成，即傳感器與控制臺。傳感器負責采集數(shù)據(jù)、分析數(shù)據(jù)并生成安全時間；控制臺主要起到中央管理作用。商品化的產(chǎn)品通常提供圖形界面的控制臺，這些控制臺基本上都支持Windows NT平臺。

入侵檢測系統(tǒng)的主要功能有：

1、監(jiān)視、分析用戶及系統(tǒng)活動；2、核查系統(tǒng)配置和漏洞；3、識別已知進攻并向相關人員報警；4、統(tǒng)計分析異常行為；5、評估重要系統(tǒng)和數(shù)據(jù)的完整性；6、操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。

2 入侵檢測系統(tǒng)模型及分類

隨著技術的發(fā)展，后來人們又提出了基于規(guī)則的檢測方法。通用入侵檢測架構（CIDF）組織，試圖將現(xiàn)有的入侵檢測系統(tǒng)標準化，闡述了一個入侵檢測系統(tǒng)分為以下4個組件：事件產(chǎn)生器、事件分析器、相應單元和事件數(shù)據(jù)庫，同時將需要分析的數(shù)據(jù)統(tǒng)稱為事件。事件可以是基于網(wǎng)絡的數(shù)據(jù)包，也可以是基于主機的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個計算機環(huán)境中獲得事件，并向系統(tǒng)其他部分提供此事件；事件分析器分析得到的事件并產(chǎn)生分析結果；響應單元則是隊分析結果做出反應的功能單元，它可以做出切斷連接、修改文件屬性等強烈反應；事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)地方的通稱，它可以是復雜的數(shù)據(jù)庫也可以是簡單的文本文件。

對入侵檢測系統(tǒng)主要從數(shù)據(jù)源、檢測方法、分布形式、響應方式等方面分類，其中前兩種為主要的分類方式。

按照數(shù)據(jù)來源分類

1、網(wǎng)絡型

網(wǎng)絡型入侵檢測系統(tǒng)部署在網(wǎng)絡設備節(jié)點上，優(yōu)點是能夠檢測基于協(xié)議的攻擊，攻擊者不易轉(zhuǎn)移證據(jù)；檢測實時性強，無需改動網(wǎng)絡拓撲，對外透明，能降低本身守攻擊的可能性；可在幾個關鍵點上配置并觀察多個系統(tǒng)。主要缺點是對于加密信道和某些基于加密信道的應用層協(xié)議無法實現(xiàn)數(shù)據(jù)解密，不能起到監(jiān)視作用；無法得到主機系統(tǒng)的實時狀態(tài)信息，檢測復雜攻擊的準確率低；在實時檢測中，需對每個數(shù)據(jù)包都進行協(xié)議解析和模式匹配，系統(tǒng)開銷大。

2、主機型

主機型入侵檢測系統(tǒng)部署在主機上，監(jiān)視分析主機審計記錄以檢測入侵，效率高，能準確定位入侵并進一步分析。有點是不需要額外的硬件，可用于加密以及交換環(huán)境，對網(wǎng)絡流量不敏感，檢測粒度細，目標明確集中，可監(jiān)測敏感文件、程序或端口。缺點是占用主機資源，依賴于系統(tǒng)可靠性，可移植性差，只能檢測針對本機的攻擊，不適合檢測基于網(wǎng)絡協(xié)議的攻擊，數(shù)據(jù)源主要包括系統(tǒng)審計信息、系統(tǒng)日志信息、內(nèi)核信息、應用審計信息、系統(tǒng)目標信息。

3、混合型

混合型入侵檢測結合了網(wǎng)絡入侵檢測和主機入侵檢測二者的優(yōu)點，在關鍵主機上采用主機入侵檢測，在網(wǎng)絡關鍵節(jié)點上采用網(wǎng)絡入侵檢測。

按照檢測方法分類

1、異常檢測（Anomaly Detection）

異常檢測志根據(jù)用戶行為或者資源狀況正常程度，將當前情況和輪廓（Profile）比較以發(fā)現(xiàn)入侵，不依賴具體行為，可發(fā)現(xiàn)未知攻擊。異常檢測認為入侵是異常的子集，有統(tǒng)計分析、非參量統(tǒng)計分析、專家系統(tǒng)、量化分析和基于規(guī)則的檢測，但關鍵在正常模式（Normal Profile）的建立及利用該模式與當前狀況比較。

2、濫用檢測（Misuse Detection）

濫用檢測方法定義入侵模式，通過模式是否出現(xiàn)來判斷，也稱基于知識的檢測（Knowledge Based Detection）。它依據(jù)具體攻擊特征細微變化就會使之無能為力，漏報率較高，對系統(tǒng)依賴性高，一致性較差，檢測范圍守已知知識局限，難以檢測內(nèi)部入侵，而且將具體入侵手段抽象成知識也很困難，該方法主要有簡單模式匹配、專家系統(tǒng)、狀態(tài)轉(zhuǎn)移法、條件概率、擊鍵監(jiān)控、信息反饋批處理分析等。

3、特征檢測（Specification-Based Detection）

特征檢測定義系統(tǒng)輪廓，將系統(tǒng)行為與輪廓比較，不屬于正常行為的事件定義為入侵，該方法常采用某種特征語言定義系統(tǒng)的安全策略，當系統(tǒng)特征不能準確囊括所有的狀態(tài)時就會漏報或誤報。

3 入侵檢測系統(tǒng)存在的問題和改進措施

1. 面臨的主要問題

（1）誤報

誤報是入侵檢測系統(tǒng)將正?；蚝戏ú僮髯鳛槿肭质录M行報警。假警報不但令人討厭，并且降低了入侵檢測系統(tǒng)的效率；而且攻擊者往往可以利用包結構偽造無威脅“正?！奔倬瘓?，以誘使被攻擊方把入侵檢測系統(tǒng)關掉。

由于不同的網(wǎng)絡及主機存在不同的安全問題，不同的入侵檢測系統(tǒng)有各自的功能；因此沒有一個入侵檢測系統(tǒng)可以完全避免誤報。

（2）漏報

漏報是指入侵檢測系統(tǒng)將本來的入侵事件作為合法操作而放過，從而讓受保護的網(wǎng)絡和計算機受到攻擊。

（3）有組織的攻擊

攻擊可以來自四方八面，特別是要檢測出攻擊者花費很長時間組織策劃的高技術攻擊是一件很難的事。

此外，高速網(wǎng)絡技術，尤其是交換技術以及加密信道技術的發(fā)展，產(chǎn)生的巨大通信量對數(shù)據(jù)分析也提出了新的要求。

2. 相應改進措施

從總體上講，目前除了完善常規(guī)的、傳統(tǒng)的技術外，入侵檢測統(tǒng)應重點加強與統(tǒng)計分析相關技術的研究。許多學者也在嘗試研究新的檢測方法，如采用自動代理主動防御方法，將免疫學原理應用到入侵檢測的方法等。其主要發(fā)展方向可以概括為：

（1）分布式入侵檢測與CIDF。傳統(tǒng)的入侵檢測系統(tǒng)一般局限于單一的主機或網(wǎng)絡架構，對異構系統(tǒng)及大規(guī)模網(wǎng)絡的檢測明顯不足，同時不同的入侵檢測系統(tǒng)之間不能協(xié)同工作。為此需要分布式入侵檢測技術與CIDF。

（2）應用層入侵檢測。許多入侵的語義只有在應用層才能理解，而目前的入侵檢測系統(tǒng)僅能檢測Web之類的通用協(xié)議，不能處理如Lotus Notes數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。許多基于客戶/服務器結構、中間件技術及對象技術的大型應用，需要應用層的入侵檢測

保護。

（3）智能入侵檢測。目前，入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體系、神經(jīng)網(wǎng)絡與遺傳算法應用在入侵檢測領域，但這些只是一些嘗試性的研究工作，需要對智能化的入侵檢測系統(tǒng)進一步研究，以解決其自學習與自適應能力。

（4）與網(wǎng)絡安全技術相結合。結合防火墻、PKIX、安全電子交易（SET）等網(wǎng)絡安全與電子商務技術，提供完整的網(wǎng)絡安全保障。

（5）建立入侵檢測系統(tǒng)評價體系。設計通用的入侵檢測測試、評估方法和平臺，實現(xiàn)對多種入侵檢測系統(tǒng)的檢測，已成為當前入侵檢測系統(tǒng)的另一重要研究與發(fā)展領域。評價入侵檢測系統(tǒng)可從檢測范圍、系統(tǒng)資源占用、自身的可靠性等方面進行，評價指標有：能否保證自身的安全、運行與維護系統(tǒng)的開銷、報警準確率、負載能力以及可支持的網(wǎng)絡類型、支持的入侵特征數(shù)、是否支持IP碎片重組、是否支持TCP流重組等。

4 結束語

入侵檢測系統(tǒng)（IDS）是近十多年發(fā)展起來的新一代安全防范技術，它通過對計算機網(wǎng)絡或系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測、記錄、報警、響應于一體的動態(tài)安全技術，不僅能檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權活動。

參考文獻

[1]謝仁希.計算機網(wǎng)絡[M].北京；電子工業(yè)出版社，2003。

[2]戴英俠，連一峰等.系統(tǒng)安全與入侵檢測[M].北京：清華大學出版社.2002。

[3]趙俊忠、游林等.入侵檢測系統(tǒng)中檢測技術的研究[J].計算機工程與應用.2005.2。

作者簡介

劉秀平（1976-），女，山東，本科，助教，研究方向：信號與信息處理。