邵學海

摘要：入侵檢測系統(tǒng)(Intrusion DetectionSystem。IDS)是一種不同于防火墻的、主動保護網絡資源的安全系統(tǒng)，是防火墻合理和必要的補充。它完全改變了傳統(tǒng)網絡安全防護體系被動防守的局面，使網絡安全防護變得更積極、主動，特別是IDS的網絡安全預警的通報，給網絡安全防護工作帶來了極大的變化。

關鍵詞：入侵檢測；安全防護；主動保護

1引言

隨著信息化的高速發(fā)展和網絡在人們生活、工作中的應用、普及，人們的安全意識也太太提高，對網絡安全產品的需要也日益緊迫和嚴格。用戶對于安全管理系統(tǒng)的要求已不滿足于僅僅在出錯時彈出一個對話框，而是希望系統(tǒng)在監(jiān)控過往信息的同時能夠對數(shù)據進行分析、消化。并以一種更加入性化的方式將網絡上存在的安全風險準確地告知用戶。

入侵檢測系統(tǒng)(Intrus Jon Detection system，IDS)是近十幾年來發(fā)展起來的一種主動安全防范技術。所謂入侵檢測就是監(jiān)視分析用戶和系統(tǒng)的行為，審計系統(tǒng)配置和漏洞，評估敏感系統(tǒng)和數(shù)據的完整性，識別攻擊行為，對異常行為進行統(tǒng)計，自動地收集和系統(tǒng)相美的補丁，進行審計跟蹤識別違反安全法規(guī)的行為，使用專用服務器記錄黑客行為等功能的總稱。

IDS為計算機系統(tǒng)的完整性?？捎眯约翱尚判蕴峁┓e極主動的保護，并在計算機系統(tǒng)受到危害之前進行攔截防衛(wèi)。IDS對網絡的控制手段有：黑名單斷開、灰名單報警、阻塞HTTP請求、通知防火墻阻斷和通過SN-MPTrap報警等。

2技術的分析

入侵檢測技術是通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應。從方式上可分為三種：異常、誤用和模式的發(fā)現(xiàn)技術。

(1)異常

異常發(fā)現(xiàn)技術的前提是假定所有入侵行為都是與正常行為不同的。首先通過訓練過程建立起系統(tǒng)正常行為的軌跡，然后在實際運用中把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑。例如。通過流量統(tǒng)計分析將異常時問的異常網絡流量視為可疑。

但異常發(fā)現(xiàn)技術的缺點是并非所有的入侵都表現(xiàn)為異常。

(2)誤用

誤用發(fā)現(xiàn)技術的入侵檢測是指通過預先精確定義的入侵模式，對觀察到的用戶行為和資源使用情況進行檢測。如入侵簽名說明了導致誤用事件弱點的特征、條件、序列和關系，還包含系統(tǒng)狀態(tài)。

(3)模式

假定所有入侵行為和手段都能夠表達為一種模式或特征，那么所有已知的入侵方法都可以用匹配發(fā)現(xiàn)。模式發(fā)現(xiàn)的關鍵是如何表達入侵的模式，定義發(fā)現(xiàn)入侵的規(guī)則庫，把真正的入侵與正常行為區(qū)分開來。

3設計的實現(xiàn)

基于不同的結構和偵聽的策略，IDS可分為兩類：主機型(Host-based IDS)和網絡型(Network-based IDS)。

3.1主機型IDS

主機型IDS為早期的結構，是基于系統(tǒng)日志，應用程序日志或者通過操作系統(tǒng)的底層支持來進行分析，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查以及特定應用的執(zhí)行過程。主要用于保護自身所在的關鍵服務器。

在主機型IDS中，每一臺被監(jiān)控的服務器上都安裝入侵檢測代理。入侵檢測代理的任務就是通過收集被監(jiān)控服務器中的系統(tǒng)、網絡及用戶活動的狀態(tài)和行為等數(shù)據，達到跟蹤并記錄這臺服務器上的非授權訪問企圖或其他惡意行為之目的，如圖01所示。

主機型入侵檢測軟件可以提供比網絡型工具更好的應用層安全性，因為主機型軟件可以檢測到失敗的訪問企圖，它可以監(jiān)視用戶訪問文件或目錄的次數(shù)。將代理軟件加載到眾多服務器和桌面上是一項費用高且耗時的工作。另外，一旦發(fā)現(xiàn)軟件有新的問題l代理必須隨之進行升級。

主機型IDS駐留在被檢測的主機中，網絡傳輸加密對入侵檢測代理的工作不會產生影響。因為入侵檢測代理是通過操作系統(tǒng)來讀取相關信息，而操作系統(tǒng)已經在收到到來的數(shù)據時將其解密了。另外，主機型IDS還具有接近于實時的檢測和應答響應時間。

(1)特點：

假如入侵者突破網絡中的安全防線，已經進入主機操作，那么Host-Based IDS對于監(jiān)測重要的服務器安全狀態(tài)具有十分重要的價值。

(2)弱點：

①信息審計如易受攻擊，入侵者可通過使用某些系統(tǒng)特權或調用比審計本身更低級的操作來騙過審計；

②審計與網絡不能通過分析主機審計記錄來檢測網絡攻擊(域名欺騙、端口掃描等)；

③攻擊類型受限Host-Based IDS只能對服務器的特定的用戶、應用程序執(zhí)行動作、日志進行檢測，所能檢測到的攻擊類型受到限制，但提供預警報告。

3.2網絡型IDS

網絡型IDS則主要用于實時監(jiān)控網絡上的數(shù)據包，其輸入數(shù)據來源于網絡的信息流，能夠檢測該網段上發(fā)生的全部網絡入侵。因此，網絡型IDS可以保護整個網段內的所有主機。

網絡型IDS利用網絡偵聽技術收集在網絡上傳輸?shù)姆纸M數(shù)據包，并對這些數(shù)據包的內容、源地址。目的地址等進行分析，從中發(fā)現(xiàn)入侵行為，如圖02所示。

(1)特點：

①服務器平臺獨立網絡型IDS監(jiān)視通信流量而不影響服務器平臺的變化與更新；

②一個接口便可訪問配置簡單的網絡型IDS的環(huán)境只需要一個普通的網絡訪問接口；

③防攻擊類型多樣眾多的攻擊標識可以監(jiān)視多種多樣的攻擊，包括協(xié)議和特定環(huán)境的政擊。

(2)弱點：

①無訪問控制措施不像防火墻那樣采取訪問控制措施，但防火墻并不是入侵檢測設備；

②攻擊阻止差網絡型IDS不能去阻止攻擊，而采用預警方式。

現(xiàn)在一些產品擴展了IDS的功能，提供具有中斷入侵會話的過程和非法修改訪問控制列表對抗攻擊。

4結束語

這兩種方式的IDS都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。例如，網絡型的入侵檢測檢查所有的數(shù)據包頭的標志位，而主機型的入侵檢測并不查看包頭的首部；如本地服務器發(fā)起的攻擊可能不通過網絡，無法通過網絡型的入侵檢測來發(fā)現(xiàn)，只能使用主機型的入侵檢測來判斷：網絡型的入侵檢測可以研究負載的內容，查找特定攻擊中使用的命令或語法，而主機型的無法看到負載，也無法識別嵌入式的攻擊。因此，網絡型和主機型的入侵檢測各有優(yōu)勢，兩者相互補充才能使網絡系統(tǒng)預警通報的實現(xiàn)更加可靠、準確。