网络入侵检测技术发展趋势

(青海广播电视大学青海西宁810008)

摘要网络安全需要多层次系统的管理，网络安全的目标是保护核心资产完整性，将可能发生的损失减到最小，投资回报率最大化，确保业务的连续运行。从IPS到IMS，增加了管理的概念，可以帮助用户建立一个动态的纵深防御体系，从整体上把握网络安全。

关键词IDS；IPS；IMS；网络安全管理

随着计算机网络的飞速发展，网络安全风险系数不断提高，曾经作为最主要安全防范手段的防火墙，已经不能满足人们对网络安全的需求。IDS(入侵检测系统)是一种网络安全系统，当有恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。专业上讲IDS就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。我们做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。不同于防火墙的是：IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

一、入侵检测系统(IDS)概念

入侵检测的定义为：发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为三个步骤：信息收集、数据分析、响应。

二、网络入侵检测技术的发展

网络入侵检测技术发展大致经历了三个阶段：

第一阶段：入侵检测系统(IDS)能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。

第二阶段：入侵防御系统(IPS)，相对与IDS比较成熟的技术，IPS还处于发展阶段，IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术，可以主动的、积极的防范、阻止系统入侵，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断，这样攻击包将无法到达目标，从而可以从根本上避免攻击。

第三阶段：入侵管理系统(IMS)，IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。

IDS作为网络安全架构中的重要一环，其重要地位有目共睹。随着技术的不断完善和更新，IDS正呈现出新的发展态势，IPS(入侵防御系统)和IMS(入侵管理系统)就是在IDS的基础上发展起来的新技术。

三、IDS的功能与缺陷

IDS本质上是一种监听系统，它依照一定的安全策略，对网络与系统的运行状况进行监测，尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果，以保证信息系统的机密性、完整性和可用性。

1、IDS的传统优势

(1)整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件。

(2)对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。

(3)独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证。

(4)同一网段或者一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低。

2、IDS的缺陷

(1)被动防御的监听方式限制阻断。目前IDS只能靠发阻断数据包来阻断建立在TCP基础上的攻击，对于建立在UDP基础之上的入侵则无能为力。

(2)基于特征的入侵检测技术落伍。由于缺少信息管理，难于抵挡一些欺骗工具的攻击和渗透。

(3)误报与漏报率高。有些IDS产品每天会产生大量的异常报告，其中绝大多数属于非攻击行为，需要具有相当专业水准的网络安全管理员进行甄别。

四、IPS研究与分析

IPS是针对IDS不能提供主动拒绝的特点而提出的一种新的安全技术，主要具有以下优点：

1、主动、实时预防攻击。

IPS提供对攻击的实时预防和分析，能够在任何未授权活动开始前找出攻击，并防止它进入重要的服务器资源。

2、保护每个重要的服务器。

通过配置IPS，可以设定对服务器的专门保护方案，从而为企业的重要的资源提供深层防护。

3、误报和漏报率低。

虽然仍然无法做到完全不误报漏报，但是相对于IDS已经提高了一大步。

4、深层防护。

IPS可进行深层防护。

5、可管理性。

IPS可使安全设置和政策被各种应用程序、用户组和代理程序利用。

虽然IPS相对与IDS的优势明显，但是它与IDS一样，需要解决网络性能、安全精确度和安全效率问题。首先，IPS系统需要考虑性能，即需要考虑发现入侵和做出响应的时间。IPS设备以在线方式直接部署在网络中，无疑会给网络增加负荷，给数据传输带来延时。因此，IPS系统必须具有迅速处理数据的能力，能够提供与2层或者3层交换机相同的速度，而这一点取决于IPS的软件和硬件加速装置。除了网络性能之外，IPS还需要考虑安全性，尽可能多地过滤掉恶意攻击，这就使IPS同样面临误报和漏报问题。一旦IPS做出错误判断，IPS就会放过真正的攻击而阻断合法的事务处理，从而造成损失。另外IPS还存在一些其它的弊端：IPS比较适合于阻止大范围的、针对性不是很强的攻击，但对单独目标的攻击阻截有可能失效，自动预防系统也无法阻止专门的恶意攻击者的操作；IPS还不具备足够智能识别所有对数据库应用的攻击。

五、网络安全的发展方向——IMS

IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。IMS技术是一个过程，在行为未发生前要考虑网络中有什么漏洞，判断有可能会形成什么攻击行为和面临的入侵危险；在行为发生时或即将发生时，不仅要检测出入侵行为，还要主动阻断，终止入侵行为；在入侵行为发生后，还要深层次分析入侵行为，通过关联分析，来判断是否还会出现下一个攻击行为。

IMS具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征，这些特征本身具有一个明确的层次关系。首先，大规模部署是实施入侵管理的基础条件，一个有组织的完整系统通过规模部署的作用，要远远大于单点系统简单的叠加，IMS对于网络安全监控有着同样的效用，可以实现从宏观的安全趋势分析到微观的事件控制。第二、入侵预警。检测和预警的最终目标就是一个“快”，要和攻击者比时间。只有减小这个时间差，才能使损失降低到最小。要实现这个“快”字，入侵预警必须具有全面的检测途径，并以先进的检测技术来实现高准确和高性能。入侵预警是IMS进行规模部署后的直接作用，也是升华IMS的一个非常重要的功能。第三、精确定位。入侵预警之后就需要进行精确定位，这是从发现问题到解决问题的必然途径。精确定位的可视化可以帮助管理人员及时定位问题区域，IMS要求做到对外定位到边界，对内定位到设备。第四、监管结合。监管结合就是把检测提升到管理，形成全面的保障体系。监管结合最重要的是落实到对资产安全管理，通过IMS可以实现对资产风险的评估和管理。

综上所述，网络安全需要多层次系统的管理，网络安全的目标是保护核心资产完整性，将可能发生的损失减到最小，投资回报率最大化，确保业务的连续运行。从IPS到IMS，增加了管理的概念，可以帮助用户建立一个动态的纵深防御体系，从整体上把握网络安全，这也正是网络安全的发展方向。

参考文献

[1]曾昭苏，王锋波，基于数据开采技术的入侵检测系统[J]，自动化博览，2002，8：29-31．

[2]张杰，戴英侠，入侵检测系统技术现状及其发展趋势[J]，计算机与通信，2002．6：28-32．

[3]宋献涛，纪勇．网络防护：网络防护：从IDS到IPS．计算机安全，2003．11：26-28．

作者简介

张海燕(1975-)，河南省焦作人，大学本科，讲师．