張 甜

天津師范大學(xué)計算機與信息工程學(xué)院，天津 300387

入侵檢測技術(shù)，可以理解為識別或檢測針對計算機網(wǎng)絡(luò)資源以及信息的不合法意圖和行為，并且對此行為做出響應(yīng)的過程。能夠執(zhí)行并完成以上功能的獨立系統(tǒng)就是入侵檢測系統(tǒng) (Intrusion Detection System，以下簡稱IDS)。IDS 可以識別技術(shù)未授權(quán)對象入侵系統(tǒng)的企圖或行為，同時檢測授權(quán)對象對計算機系統(tǒng)資源和信息的非法操作。

有效的IDS，應(yīng)做的到如下幾點要求。首先可以讓計算機系統(tǒng)管理員時刻掌握網(wǎng)絡(luò)系統(tǒng)的任何變更，其次應(yīng)該能夠為計算機網(wǎng)絡(luò)安全策略提供幫助指南，再次，它能夠做到管理配置方便簡單，最后IDS 還可以根據(jù)安全需求、系統(tǒng)構(gòu)造以及網(wǎng)絡(luò)威脅變更而改變。

1 入侵檢測技術(shù)的類別

根據(jù)檢測技術(shù)類型可劃分為異常行為檢測技術(shù)類型和漏洞檢測技術(shù)類型。根據(jù)異常或者不合法行為和使用計算機資源信息的情況檢測入侵的技術(shù)類型被稱為異常入侵攻擊檢測。漏洞入侵檢測是利用已知系統(tǒng)和應(yīng)用軟件的漏洞攻擊方式檢測入侵。

根據(jù)IDS 結(jié)構(gòu)類型區(qū)分入侵檢測技術(shù)，則有以下幾種類別：基于主機的入侵檢測、基于網(wǎng)絡(luò)的入侵檢測以及這兩種技術(shù)的混合入侵檢測方式。基于主機的入侵檢測技術(shù)主要是根據(jù)IDS所在主機的統(tǒng)計數(shù)據(jù)和系統(tǒng)日志識別檢測可疑事件?；诰W(wǎng)絡(luò)的入侵檢測則主要根據(jù)網(wǎng)絡(luò)管理協(xié)議、協(xié)議分析、網(wǎng)絡(luò)流量等信息檢測入侵?；旌先肭謾z測是將以上兩種入侵檢測技術(shù)結(jié)合在一起。

根據(jù)IDS 控制布局類型可分為集中式入侵檢測和分布式入侵檢測。集中式入侵檢測的定義是將局域網(wǎng)內(nèi)每個計算機收集的數(shù)據(jù)匯總到中央計算機進行集中批量處理。與此相對應(yīng)，運用多個節(jié)點或多個中央處理器共同合作檢測被監(jiān)視的計算機就是分布式IDS。

根據(jù)系統(tǒng)對入侵攻擊的響應(yīng)方式可分為主動入侵檢測和被動入侵檢測。主動IDS 在檢測到入侵攻擊信息后，能夠立即實施預(yù)先定義的措施，包括自動修補本機漏洞、強制違法用戶退出本機以及關(guān)閉受保護的相關(guān)服務(wù)等響應(yīng)措施。與主動IDS 不同的是被動IDS 在檢測或識別出對網(wǎng)絡(luò)資源或本機信息的入侵攻擊后只是向網(wǎng)絡(luò)系統(tǒng)安全管理員產(chǎn)生報警信息警告。

2 入侵檢測技術(shù)基本結(jié)構(gòu)

2.1 信息收集

信息收集是入侵檢測技術(shù)的第一步。一般來說，IDS 通過以下方式獲得信息。

第一種方式是通過網(wǎng)絡(luò)檢測數(shù)據(jù)包報文收集IDS 所需信息。但是這樣做的缺點是只能夠檢測到本系統(tǒng)所在機器的報文，將網(wǎng)卡設(shè)置為混雜模式就可以解決這一問題。

第二種方式是把IDS 模塊安裝在主機上，由IDS 模塊負責(zé)收集本主機上的信息，常用的信息包括系統(tǒng)調(diào)用、特定進程信息、系統(tǒng)日志、特定程序日志等。

在具體的計算機網(wǎng)絡(luò)應(yīng)用中，以上兩種獲得信息的方式是合作完成入侵檢測的。

2.2 信息分析

信息分析是入侵檢測技術(shù)的第二步。IDS 中的知識庫負責(zé)記錄事先定義的特定安全策略。IDS 在完成第一步即收集到所需的相關(guān)信息后，將這些信息與知識庫中所有的安全策略逐一對比，IDS 就是通過這種方法檢測出收集到的信息中是否包含違反安全策略的行為。

關(guān)于IDS 定義知識庫的方法，通常做法是查看第一步網(wǎng)絡(luò)或主機收集到的信息中是否含有特定的入侵攻擊特征。IDS 知識庫能夠定義了哪些種類的報文包含入侵攻擊信息。

IDS 的核心技術(shù)是構(gòu)建知識庫，其目的是準確定義入侵行為，這是IDS 與其他行為管理軟件的不同之處。雖然它們都可以監(jiān)視網(wǎng)絡(luò)信息和行為，但是IDS 包含記錄入侵攻擊特征信息的知識庫。攻擊特征的準確性直接決定了IDS 檢測技術(shù)的準確率。

IDS 一般應(yīng)用統(tǒng)計分析或者模式匹配進行實施入侵檢測，應(yīng)用完整性分析進行事后分析。這三種方法都可以對收集到的系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、及用戶活動狀態(tài)和行為數(shù)據(jù)等信息進行深度挖掘分析。

2.3 結(jié)果響應(yīng)

在完成收集信息和信息分析之后，入侵檢測的第三個步驟是結(jié)果響應(yīng)。IDS 檢測到入侵攻擊信息后命令控制臺按照系統(tǒng)中定義的相應(yīng)的結(jié)果響應(yīng)采取對應(yīng)的防護安全措施，可以是IDS 主動響應(yīng)安全防護，包括：防止或阻止攻擊、更新路由器和防火墻配置、中斷相應(yīng)進程、終止或中斷網(wǎng)絡(luò)連接以及更新重要文件屬性等措施，也可以是IDS 被動響應(yīng)安全防護，如：記錄入侵攻擊事件或只是發(fā)出警告。

3 入侵檢測技術(shù)現(xiàn)有的缺點

3.1 阻斷入侵的能力低

雖然IDS 可以識別入侵進而阻斷連接，并支持對內(nèi)外攻擊和誤操作的實時保護，但只是側(cè)重于發(fā)現(xiàn)和識別入侵攻擊行為。未來可將IDS 與防火墻結(jié)合使用，配置 IDS 的相應(yīng)安全策略，并指定對象防火墻的密鑰及地址。由 IDS 與防火墻發(fā)起并建立正常連接，IDS 產(chǎn)生新的安全事件后隨即通知防火墻，防火墻隨之做出相應(yīng)的安全措施響應(yīng)，使安全機制從源頭上識別并阻斷入侵攻擊行為。這樣不僅提高防火墻的實時反應(yīng)能力，還能提升 IDS 的阻斷能力。

3.2 高誤報率和高漏報率

IDS 不能有效地檢測高速交換網(wǎng)絡(luò)中的所有的數(shù)據(jù)包，并且分析信息的準確率不高，就會產(chǎn)生誤報。IDS 檢測入侵攻擊規(guī)則的更新落后于入侵攻擊手段的更新，就容易導(dǎo)致漏報。未來可將數(shù)據(jù)包報文信息直接存儲到系統(tǒng)內(nèi)核事先指定的地址空間中，并且將系統(tǒng)內(nèi)核中存儲數(shù)據(jù)包報文信息的內(nèi)存直接映射到入侵檢測模塊的應(yīng)用程序空間當中。入侵檢測模塊可以直接對訪問這部分內(nèi)存，因此減少了系統(tǒng)內(nèi)核向用戶應(yīng)用程序空間的內(nèi)存復(fù)制以及系統(tǒng)調(diào)用的開銷。IDS 可以自動獲取當前網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)信息，并且根據(jù)網(wǎng)絡(luò)狀態(tài)的實時變化隨時更新防護配置，使得IDS 中入侵檢測規(guī)則只和當前網(wǎng)絡(luò)狀態(tài)相關(guān)。通過此種方式達到預(yù)防攻擊，以及保護計算機網(wǎng)絡(luò)信息的目的。

[1]戴連英，連一峰，王航.系統(tǒng)安全與入侵檢測技術(shù)[M].北京：清華大學(xué)出版社，2002，3.

[2]壬強.計算機安全入侵檢測方案的實現(xiàn)[J].計算機與信息技術(shù)，2007，14：288，320.

[3]張志剛，吳建設(shè).入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].黃石理工學(xué)院學(xué)報，2008，24(5)：l3-15.

[4]夏炎，尹慧文.網(wǎng)絡(luò)入侵檢測技術(shù)研究[J].沈陽工程學(xué)院學(xué)報：自然科學(xué)版，2008，4(4)：362-363.