入侵检测

摘要：为了保障信息安全,除了要进行信息的安全保护,还应该重视提高系统的入侵检测能力、系统的事件反应能力以及系统遭到入侵破坏后的快速恢复能力。它有别于传统的加密、身份认证、访问控制、防火墙、安全路由等安全技术，信息保障强调信息系统整个生命的周期的防御和恢复。入侵检测，作为信息安全保障中的一个重要环节。很好的弥补了访问控制、身份认证等传统保护机制所不能解决的问题。入侵检测是一个全新的、迅速发展的领域，已成为网络安全中极为重要的一个课题。

  鉴于入侵检测的重要性，本文就入侵检测的产生、分类、方法、步骤、现状及面临的挑战作些介绍。希望对大家认识了解入侵检测有所裨益。

关键字：

  入侵检测（Intrusion Detection）是对入侵行为的发觉。他从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.负责入侵检测的软硬件组合体称为入侵检测系统(IDS).入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。检测时，通过对系统中用户行为或系统行为的可疑程度进行评估，并根据评价结果来鉴别系统中行为的正常性，从而帮助系统管理员进行安全管理或对系统所受到的攻击采取相

应的对策。

1         入侵检测的产生

  入侵检测的概念最早由Anderson在1980年提出，他提出了入侵监测系统的三种分类方法。Denning对Anderson的工作进行了扩展，他详细探讨了基于异常和误用检测方法的优缺点，于1987年提出了一种通用的入侵检测模型。这个模型独立于任何特殊的系统、应用系统、系统脆弱性和入侵的种类，因此提供了一个通用的入侵检测专家系统框架，并由IDES原型系统实现。

  IDES原型系统采用的是一个混合结构，包含了一个异常检测器和一个专家系统，如图1.1所示。异常检测器采用统计技术刻画异常行为，专家系统采用基于规则的方法检测已知的危害行为。异常检测器对行为的渐变是自适应的，因此引入专家系统能有效防止逐步改变的入侵行为，提高准确率。该模型为入侵检测技术的研究提供了良好的框架结构，为后来各种模型的发展奠定了基础

  直到1990年，大部分入侵监测系统还都是基于主机，他们对活动性的检查局限于操作系统审计跟踪数据以及其他以主机为中心的信息源泉。1988年Internet蠕虫事件的发生使人们开始对计算机安全高度关注，分布式入侵监测系统（DIDS）随之产生。他最早试图将基于主机和网络监视的方法集成在一起，解决了大型网络环境中跟踪网络用户和文件以及从发生在系统不同的抽象层次的事件中发现相关数据或事件的两大难题。

图1.1 IDES原型系统

  从20世纪80年代后期开始，数家机构开发了入侵检测工具，其中有一些是对信息安全新技术的尝试。

2         入侵检测的分类

根据入侵检测系统所检测对象的区别可分为基于主机的入侵检测系统和基于网络的入侵检测系统。

2.1        基于主机的入侵检测系统

  基于主机的入侵检测系统通过监视与分析主机的审计记录检测入侵。这些系统的实现不全在目标主机上，有一些采用独立的外围处理机，如Haystack。另外NIDES使用网络将主机信息传到中央处理单元。但它们全部是根据目标系统的审计记录工作。能否及时采集到审计纪录是这些系统的难点之一，从而有的入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。

  基于主机的入侵检测系统具有检测效率高，分析代价小，分析速度快的特点，能够迅速准确地定位入侵者，并可以结合操作系统和应用程序的行为特征对如进行进一步分析。目前，基于主机日志体制分析的入侵检测系统很多。基于主机的入侵检测系统存在的问题是：首先它在一定程度上依赖系统的可靠性，他要求系统本身应该具备基本的安全功能并具有合理的设置，然后才能提取入侵信息；及时进行了正确的设置，对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去，从而不被发觉；并且主机的日志能够提供的信息有限，有的入侵手段和途径不在日志中有所反映，日志系统对有的入侵行为不能做出正确的响应。典型的基于主机的入侵系统结构入图2.1.1所示。

图2.1.1基于主机的入侵检测系统模型

  在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。

2．2 基于网络的入侵检测系统

  基于网络的入侵检测系统入图2.2.1所示，通过在共享网段上对通信数据进行侦听采集数据，分析可疑现象。

----------------------------------------