邵學(xué)海

摘要：入侵檢測系統(tǒng)(Intrusion DetectionSystem。IDS)是一種不同于防火墻的、主動保護網(wǎng)絡(luò)資源的安全系統(tǒng)，是防火墻合理和必要的補充。它完全改變了傳統(tǒng)網(wǎng)絡(luò)安全防護體系被動防守的局面，使網(wǎng)絡(luò)安全防護變得更積極、主動，特別是IDS的網(wǎng)絡(luò)安全預(yù)警的通報，給網(wǎng)絡(luò)安全防護工作帶來了極大的變化。

關(guān)鍵詞：入侵檢測；安全防護；主動保護

1引言

隨著信息化的高速發(fā)展和網(wǎng)絡(luò)在人們生活、工作中的應(yīng)用、普及，人們的安全意識也太太提高，對網(wǎng)絡(luò)安全產(chǎn)品的需要也日益緊迫和嚴(yán)格。用戶對于安全管理系統(tǒng)的要求已不滿足于僅僅在出錯時彈出一個對話框，而是希望系統(tǒng)在監(jiān)控過往信息的同時能夠?qū)?shù)據(jù)進行分析、消化。并以一種更加入性化的方式將網(wǎng)絡(luò)上存在的安全風(fēng)險準(zhǔn)確地告知用戶。

入侵檢測系統(tǒng)(Intrus Jon Detection system，IDS)是近十幾年來發(fā)展起來的一種主動安全防范技術(shù)。所謂入侵檢測就是監(jiān)視分析用戶和系統(tǒng)的行為，審計系統(tǒng)配置和漏洞，評估敏感系統(tǒng)和數(shù)據(jù)的完整性，識別攻擊行為，對異常行為進行統(tǒng)計，自動地收集和系統(tǒng)相美的補丁，進行審計跟蹤識別違反安全法規(guī)的行為，使用專用服務(wù)器記錄黑客行為等功能的總稱。

IDS為計算機系統(tǒng)的完整性?？捎眯约翱尚判蕴峁┓e極主動的保護，并在計算機系統(tǒng)受到危害之前進行攔截防衛(wèi)。IDS對網(wǎng)絡(luò)的控制手段有：黑名單斷開、灰名單報警、阻塞HTTP請求、通知防火墻阻斷和通過SN-MPTrap報警等。

2技術(shù)的分析

入侵檢測技術(shù)是通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)。從方式上可分為三種：異常、誤用和模式的發(fā)現(xiàn)技術(shù)。

(1)異常

異常發(fā)現(xiàn)技術(shù)的前提是假定所有入侵行為都是與正常行為不同的。首先通過訓(xùn)練過程建立起系統(tǒng)正常行為的軌跡，然后在實際運用中把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑。例如。通過流量統(tǒng)計分析將異常時問的異常網(wǎng)絡(luò)流量視為可疑。

但異常發(fā)現(xiàn)技術(shù)的缺點是并非所有的入侵都表現(xiàn)為異常。

(2)誤用

誤用發(fā)現(xiàn)技術(shù)的入侵檢測是指通過預(yù)先精確定義的入侵模式，對觀察到的用戶行為和資源使用情況進行檢測。如入侵簽名說明了導(dǎo)致誤用事件弱點的特征、條件、序列和關(guān)系，還包含系統(tǒng)狀態(tài)。

(3)模式

假定所有入侵行為和手段都能夠表達為一種模式或特征，那么所有已知的入侵方法都可以用匹配發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達入侵的模式，定義發(fā)現(xiàn)入侵的規(guī)則庫，把真正的入侵與正常行為區(qū)分開來。

3設(shè)計的實現(xiàn)

基于不同的結(jié)構(gòu)和偵聽的策略，IDS可分為兩類：主機型(Host-based IDS)和網(wǎng)絡(luò)型(Network-based IDS)。

3.1主機型IDS

主機型IDS為早期的結(jié)構(gòu)，是基于系統(tǒng)日志，應(yīng)用程序日志或者通過操作系統(tǒng)的底層支持來進行分析，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查以及特定應(yīng)用的執(zhí)行過程。主要用于保護自身所在的關(guān)鍵服務(wù)器。

在主機型IDS中，每一臺被監(jiān)控的服務(wù)器上都安裝入侵檢測代理。入侵檢測代理的任務(wù)就是通過收集被監(jiān)控服務(wù)器中的系統(tǒng)、網(wǎng)絡(luò)及用戶活動的狀態(tài)和行為等數(shù)據(jù)，達到跟蹤并記錄這臺服務(wù)器上的非授權(quán)訪問企圖或其他惡意行為之目的，如圖01所示。

主機型入侵檢測軟件可以提供比網(wǎng)絡(luò)型工具更好的應(yīng)用層安全性，因為主機型軟件可以檢測到失敗的訪問企圖，它可以監(jiān)視用戶訪問文件或目錄的次數(shù)。將代理軟件加載到眾多服務(wù)器和桌面上是一項費用高且耗時的工作。另外，一旦發(fā)現(xiàn)軟件有新的問題l代理必須隨之進行升級。

主機型IDS駐留在被檢測的主機中，網(wǎng)絡(luò)傳輸加密對入侵檢測代理的工作不會產(chǎn)生影響。因為入侵檢測代理是通過操作系統(tǒng)來讀取相關(guān)信息，而操作系統(tǒng)已經(jīng)在收到到來的數(shù)據(jù)時將其解密了。另外，主機型IDS還具有接近于實時的檢測和應(yīng)答響應(yīng)時間。

(1)特點：

假如入侵者突破網(wǎng)絡(luò)中的安全防線，已經(jīng)進入主機操作，那么Host-Based IDS對于監(jiān)測重要的服務(wù)器安全狀態(tài)具有十分重要的價值。

(2)弱點：

①信息審計如易受攻擊，入侵者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來騙過審計；

②審計與網(wǎng)絡(luò)不能通過分析主機審計記錄來檢測網(wǎng)絡(luò)攻擊(域名欺騙、端口掃描等)；

③攻擊類型受限Host-Based IDS只能對服務(wù)器的特定的用戶、應(yīng)用程序執(zhí)行動作、日志進行檢測，所能檢測到的攻擊類型受到限制，但提供預(yù)警報告。

3.2網(wǎng)絡(luò)型IDS

網(wǎng)絡(luò)型IDS則主要用于實時監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)包，其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，能夠檢測該網(wǎng)段上發(fā)生的全部網(wǎng)絡(luò)入侵。因此，網(wǎng)絡(luò)型IDS可以保護整個網(wǎng)段內(nèi)的所有主機。

網(wǎng)絡(luò)型IDS利用網(wǎng)絡(luò)偵聽技術(shù)收集在網(wǎng)絡(luò)上傳輸?shù)姆纸M數(shù)據(jù)包，并對這些數(shù)據(jù)包的內(nèi)容、源地址。目的地址等進行分析，從中發(fā)現(xiàn)入侵行為，如圖02所示。

(1)特點：

①服務(wù)器平臺獨立網(wǎng)絡(luò)型IDS監(jiān)視通信流量而不影響服務(wù)器平臺的變化與更新；

②一個接口便可訪問配置簡單的網(wǎng)絡(luò)型IDS的環(huán)境只需要一個普通的網(wǎng)絡(luò)訪問接口；

③防攻擊類型多樣眾多的攻擊標(biāo)識可以監(jiān)視多種多樣的攻擊，包括協(xié)議和特定環(huán)境的政擊。

(2)弱點：

①無訪問控制措施不像防火墻那樣采取訪問控制措施，但防火墻并不是入侵檢測設(shè)備；

②攻擊阻止差網(wǎng)絡(luò)型IDS不能去阻止攻擊，而采用預(yù)警方式。

現(xiàn)在一些產(chǎn)品擴展了IDS的功能，提供具有中斷入侵會話的過程和非法修改訪問控制列表對抗攻擊。

4結(jié)束語

這兩種方式的IDS都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。例如，網(wǎng)絡(luò)型的入侵檢測檢查所有的數(shù)據(jù)包頭的標(biāo)志位，而主機型的入侵檢測并不查看包頭的首部；如本地服務(wù)器發(fā)起的攻擊可能不通過網(wǎng)絡(luò)，無法通過網(wǎng)絡(luò)型的入侵檢測來發(fā)現(xiàn)，只能使用主機型的入侵檢測來判斷：網(wǎng)絡(luò)型的入侵檢測可以研究負(fù)載的內(nèi)容，查找特定攻擊中使用的命令或語法，而主機型的無法看到負(fù)載，也無法識別嵌入式的攻擊。因此，網(wǎng)絡(luò)型和主機型的入侵檢測各有優(yōu)勢，兩者相互補充才能使網(wǎng)絡(luò)系統(tǒng)預(yù)警通報的實現(xiàn)更加可靠、準(zhǔn)確。