入侵检测技术研究现状

张 甜

天津师范大学计算机与信息工程学院，天津 300387

入侵检测技术，可以理解为识别或检测针对计算机网络资源以及信息的不合法意图和行为，并且对此行为做出响应的过程。能够执行并完成以上功能的独立系统就是入侵检测系统 (Intrusion Detection System，以下简称IDS)。IDS 可以识别技术未授权对象入侵系统的企图或行为，同时检测授权对象对计算机系统资源和信息的非法操作。

有效的IDS，应做的到如下几点要求。首先可以让计算机系统管理员时刻掌握网络系统的任何变更，其次应该能够为计算机网络安全策略提供帮助指南，再次，它能够做到管理配置方便简单，最后IDS 还可以根据安全需求、系统构造以及网络威胁变更而改变。

1 入侵检测技术的类别

根据检测技术类型可划分为异常行为检测技术类型和漏洞检测技术类型。根据异常或者不合法行为和使用计算机资源信息的情况检测入侵的技术类型被称为异常入侵攻击检测。漏洞入侵检测是利用已知系统和应用软件的漏洞攻击方式检测入侵。

根据IDS 结构类型区分入侵检测技术，则有以下几种类别：基于主机的入侵检测、基于网络的入侵检测以及这两种技术的混合入侵检测方式。基于主机的入侵检测技术主要是根据IDS所在主机的统计数据和系统日志识别检测可疑事件。基于网络的入侵检测则主要根据网络管理协议、协议分析、网络流量等信息检测入侵。混合入侵检测是将以上两种入侵检测技术结合在一起。

根据IDS 控制布局类型可分为集中式入侵检测和分布式入侵检测。集中式入侵检测的定义是将局域网内每个计算机收集的数据汇总到中央计算机进行集中批量处理。与此相对应，运用多个节点或多个中央处理器共同合作检测被监视的计算机就是分布式IDS。

根据系统对入侵攻击的响应方式可分为主动入侵检测和被动入侵检测。主动IDS 在检测到入侵攻击信息后，能够立即实施预先定义的措施，包括自动修补本机漏洞、强制违法用户退出本机以及关闭受保护的相关服务等响应措施。与主动IDS 不同的是被动IDS 在检测或识别出对网络资源或本机信息的入侵攻击后只是向网络系统安全管理员产生报警信息警告。

2 入侵检测技术基本结构

2.1 信息收集

信息收集是入侵检测技术的第一步。一般来说，IDS 通过以下方式获得信息。

第一种方式是通过网络检测数据包报文收集IDS 所需信息。但是这样做的缺点是只能够检测到本系统所在机器的报文，将网卡设置为混杂模式就可以解决这一问题。

第二种方式是把IDS 模块安装在主机上，由IDS 模块负责收集本主机上的信息，常用的信息包括系统调用、特定进程信息、系统日志、特定程序日志等。

在具体的计算机网络应用中，以上两种获得信息的方式是合作完成入侵检测的。

2.2 信息分析

信息分析是入侵检测技术的第二步。IDS 中的知识库负责记录事先定义的特定安全策略。IDS 在完成第一步即收集到所需的相关信息后，将这些信息与知识库中所有的安全策略逐一对比，IDS 就是通过这种方法检测出收集到的信息中是否包含违反安全策略的行为。

关于IDS 定义知识库的方法，通常做法是查看第一步网络或主机收集到的信息中是否含有特定的入侵攻击特征。IDS 知识库能够定义了哪些种类的报文包含入侵攻击信息。

IDS 的核心技术是构建知识库，其目的是准确定义入侵行为，这是IDS 与其他行为管理软件的不同之处。虽然它们都可以监视网络信息和行为，但是IDS 包含记录入侵攻击特征信息的知识库。攻击特征的准确性直接决定了IDS 检测技术的准确率。

IDS 一般应用统计分析或者模式匹配进行实施入侵检测，应用完整性分析进行事后分析。这三种方法都可以对收集到的系统数据、网络数据、及用户活动状态和行为数据等信息进行深度挖掘分析。

2.3 结果响应

在完成收集信息和信息分析之后，入侵检测的第三个步骤是结果响应。IDS 检测到入侵攻击信息后命令控制台按照系统中定义的相应的结果响应采取对应的防护安全措施，可以是IDS 主动响应安全防护，包括：防止或阻止攻击、更新路由器和防火墙配置、中断相应进程、终止或中断网络连接以及更新重要文件属性等措施，也可以是IDS 被动响应安全防护，如：记录入侵攻击事件或只是发出警告。

3 入侵检测技术现有的缺点

3.1 阻断入侵的能力低

虽然IDS 可以识别入侵进而阻断连接，并支持对内外攻击和误操作的实时保护，但只是侧重于发现和识别入侵攻击行为。未来可将IDS 与防火墙结合使用，配置 IDS 的相应安全策略，并指定对象防火墙的密钥及地址。由 IDS 与防火墙发起并建立正常连接，IDS 产生新的安全事件后随即通知防火墙，防火墙随之做出相应的安全措施响应，使安全机制从源头上识别并阻断入侵攻击行为。这样不仅提高防火墙的实时反应能力，还能提升 IDS 的阻断能力。

3.2 高误报率和高漏报率

IDS 不能有效地检测高速交换网络中的所有的数据包，并且分析信息的准确率不高，就会产生误报。IDS 检测入侵攻击规则的更新落后于入侵攻击手段的更新，就容易导致漏报。未来可将数据包报文信息直接存储到系统内核事先指定的地址空间中，并且将系统内核中存储数据包报文信息的内存直接映射到入侵检测模块的应用程序空间当中。入侵检测模块可以直接对访问这部分内存，因此减少了系统内核向用户应用程序空间的内存复制以及系统调用的开销。IDS 可以自动获取当前网络状态数据信息，并且根据网络状态的实时变化随时更新防护配置，使得IDS 中入侵检测规则只和当前网络状态相关。通过此种方式达到预防攻击，以及保护计算机网络信息的目的。

[1]戴连英，连一峰，王航.系统安全与入侵检测技术[M].北京：清华大学出版社，2002，3.

[2]壬强.计算机安全入侵检测方案的实现[J].计算机与信息技术，2007，14：288，320.

[3]张志刚，吴建设.入侵检测技术在网络安全中的应用[J].黄石理工学院学报，2008，24(5)：l3-15.

[4]夏炎，尹慧文.网络入侵检测技术研究[J].沈阳工程学院学报：自然科学版，2008，4(4)：362-363.