浅析当前网络入侵检测系统的方案研究

刘秀平甘肃大学



浅析当前网络入侵检测系统的方案研究

刘秀平
甘肃大学

摘要：随着互联网络的广泛应用，网络信息量迅速增长，网络安全问题日趋突出。入侵检测作为网络安全的重要组成部分，已成为目前研究的热点，本文介绍了入侵检测系统的概念、功能、模式及分类，指出了当前入侵检测系统存在的问题并提出了改进措施。在基于网络的计算机应用给人们生活带来方便的同时，网上黑客的攻击活动正以每年1O倍的速度增长，因此，保证计算机系统、网络以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1　入侵检测系统的概念

防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用，其主要功能石控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，为了弥补防火墙存在缺陷，引入了入侵检测IDs(Intrusion Detection System)技术。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的检测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测定义为识别为被授权使用的计算机系统和有合法权利使用系统但却滥用特权的过程。即通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从而发现是否有违反安全策略的行为和被入侵的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。一个入侵检测产品通常由两部分组成，即传感器与控制台。传感器负责采集数据、分析数据并生成安全时间；控制台主要起到中央管理作用。商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持Windows NT平台。

入侵检测系统的主要功能有：1、监视、分析用户及系统活动；2、核查系统配置和漏洞；3、识别已知进攻并向相关人员报警；4、统计分析异常行为：5、评估重要系统和数据的完整性；6、操作系统日志管理，并识别违反安全策略的用户活动。

2　入侵检测系统模型及分类

随着技术的发展，后来人们又提出了基于规则的检测方法。通用入侵检测架构(CIDF)组织，试图将现有的入侵检测系统标准化，阐述了一个入侵检测系统分为以下4个组件：事件产生器、事件分析器、相应单元和事件数据库，同时将需要分析的数据统称为事件。事件可以是基于网络的数据包，也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件，并向系统其他部分提供此事件：事件分析器分析得到的事件并产生分析结果；响应单元则是队分析结果做出反应的功能单元，它可以做出切断连接、修改文件属性等强烈反应；事件数据库是存放各种中间和最终数据地方的通称，它可以是复杂的数据库也可以是简单的文本文件对入侵检测系统主要从数据源、检测方法、分布形式、响应方式等方面分类，其中前两种为主要的分类方式。

按照数据来源分类：

1、网络型：网络型入侵检测系统部署在网络设备节点上，优点是能够检测基于协议的攻击，攻击者不易转移证据；检测实时性强，无需改动网络拓扑，对外透明，能降低本身守攻击的可能性；可在几个关键点上配置并观察多个系统。主要缺点是对于加密信道和某些基于加密信道的应用层协议无法实现数据解密，不能起到监视作用；无法得到主机系统的实时状态信息，检测复杂攻击的准确率低；在实时检测中，需对每个数据包都进行协议解析和模式匹配，系统开销大。

2、主机型：主机型入侵检测系统部署在主机上，监视分析主机审计记录以检测入侵，效率高，能准确定位入侵并进一步分析。有点是不需要额外的硬件，可用于加密以及交换环境，对网络流量不敏感，检测粒度细，目标明确集中，可监测敏感文件、程序或端口。缺点是占用主机资源，依赖于系统可靠性，可移植性差，只能检测针对本机的攻击，不适合检测基于网络协议的攻击，数据源主要包括系统审计信息、系统日志信息、内核信息、应用审计信息、系统目标信息。

3、混合型：混合型入侵检测结合了网络入侵检测和主机入侵检测二者的优点，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测。

按照检测方法分类：

1、异常检测(Anomaly Detection)：异常检测志根据用户行为或者资源状况正常程度，将当前情况和轮廓(Profile)比较以发现入侵，不依赖具体行为，可发现未知攻击。异常检测认为入侵是异常的子集，有统计分析、非参量统计分析、专家系统、量化分析和基于规则的检测，但关键在正常模式(Normal Profile)的建立及利用该模式与当前状况比较。

2、滥用检测(Misuse Detection)：滥用检测方法定义入侵模式，通过模式是否出现来判断，也称基于知识的检测(Knowledge Based Detection)。它依据具体攻击特征细微变化就会使之无能为力，漏报率较高，对系统依赖性高，一致性较差，检测范围守已知知识局限，难以检测内部入侵，而且将具体入侵手段抽象成知识也很困难，该方法主要有简单模式匹配、专家系统、状态转移法、条件概率、击键监控、信息反馈批处理分析等。

3、特征检测(Specificati0n—Based Detection)：特征检测定义系统轮廓，将系统行为与轮廓比较，不属于正常行为的事件定义为入侵，该方法常采用某种特征语言定义系统的安全策略，当系统特征不能准确囊括所有的状态时就会漏报或误报。

3　入侵检测系统存在的问题和改进措施

3.1面临的主要问题

(1)误报

误报是入侵检测系统将正常或合法操作作为入侵事件进行报警。假警报不但令人讨厌，并且降低了入侵检测系统的效率；而且攻击者往往可以利用包结构伪造无威胁“正常”假警报，以诱使被攻击方把入侵检测系统关掉。

由于不同的网络及主机存在不同的安全问题，不同的入侵检测系统有各自的功能；因此没有一个入侵检测系统可以完全避免误报。

(2)漏报

漏报是指入侵检测系统将本来的入侵事件作为合法操作而放过，从而让受保护的网络和计算机受到攻击。

(3)有组织的攻击

攻击可以来自四方八面，特别是要检测出攻击者花费很长时间组织策划的高技术攻击是一件很难的事。此外，高速网络技术，尤其是交换技术以及加密信道技术的发展，产生的巨大通信量对数据分析也提出了新的要求。

3.2相应改进措施

从总体上讲，目前除了完善常规的、传统的技术外，入侵检测统应重点加强与统计分析相关技术的研究。许多学者也在尝试研究新的检测方法，如采用自动代理主动防御方法，将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为：

(1)分布式入侵检测与CIDF。传统的入侵检测系统一般局限于单一的主机或网络架构，对异构系统及大规模网络的检测明显不足，同时不同的入侵检测系统之间不能协同工作。为此需要分布式入侵检测技术与CIDF。

(2)应用层入侵检测。许多入侵的语义只有在应用层才能理解，而目前的入侵检测系统仅能检测Web之类的通用协议，不能处理～Lotus Notes数据库系统等其他的应用系统。许多基于客户／服务器结构、中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

(3)智能入侵检测。目前，入侵方法越来越多样化与综合化，尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域，但这些只是一些尝试性的研究工作，需要对智能化的入侵检测系统进一步研究，以解决其自学习与自适应能力。

(4)与网络安全技术相结合。结合防火墙、PKIX、安全电子交易(SET)等网络安全与电子商务技术，提供完整的网络安全保障。

(5)建立入侵检测系统评价体系。设计通用的入侵检测测试、评估方法和平台，实现对多种入侵检测系统的检测，己成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行，评价指标有：能否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。

4　结束语

入侵检测系统(IDS)是近十多年发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应于一体的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。

关键字：入侵检测 入侵检测系统 网络安全