浅析入侵检测技术

Te5tB99

随着互联网使用在我们日常工作生活中的使用日益频繁以及相关网络技术的飞速发展，网络入侵技术已经得到了相当程度的普及，越来越多的人使用黑客工具对网络上的其他用户进行攻击，由此引发的网络安全问题也随之越来越严重，很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性，传统的各种静态安全防御体系，如防火墙、身份认证及数据加密技术虽然已经比较成熟，但这些技术并不能够组建成完整的安全防御体系。因此，入侵检测技术就应运而生，在入侵检测之前，大量的安全机制都是根据从主观的角度设计的，他们没有根据网络攻击的具体行为来决定安全对策。因此，它们对入侵行为的反应非常迟钝，很难发现未知的攻击行为，不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测能够根据网络攻击行为的踪迹和规律发现入侵行为，是一种动态的网络安全系统，它不仅可以发现已知入侵行为，还能够发现未知的入侵行为，并可以通过自我学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。

一、入侵检测的定义

入侵检测是对防火墙的合理补充或补偿，处于防火墙之后对网络活动进行实时检测，从系统(网络)的关键点采集信息并分析信息，察看系统(网络)中是否有违法安全策略的行为，保证系统(网络)的安全性，完整性和可用性。[1]它是帮助系统对付网络攻击的积极防御技术，扩展系统管理员的安全管理能力，提高信息安全基础架构的完整性。

二、入侵检测的系统功能构成

一个入侵检测系统的功能结构至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。

入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹，将授权的正常访问行为和非授权的不正常访问行为区分开，分析出入侵行为并对入侵者进行定位。入侵响应功能在分析出入侵行为后被触发，根据入侵行为产生响应。由于单个入侵检测系统的检测能力和检测范围的限制，入侵检测系统一般采用分布监视集中管理的结构，多个检测单元运行于网络中的各个网段或系统上，通过远程管理功能在一台管理站点上实现统一的管理和监控。[2]

三、入侵检测的技术分类

入侵检测系统按照数据来源收集方式的不同，分为基于网络的入侵检测系统和基于主机的入侵检测系统两种。

1.基于网络的入侵检测系统

基于网络的入侵检测系统通过分析主机之间网线上传输的信息来工作的，它一般是利用一个工作在“混杂模式”下的网卡来实时监视并分析通过网络的数据流。在Internet中，任何一台主机发送的数据包，都会在所经过的网络中进行广播，也就是说，任何一台主机接收和发送的数据都可以被同一网络内的其他主机接收。在正常设置下，主机的网卡对每一个到达的数据包进行过滤，只将目的地址是本机的或广播地址的数据包放入接收缓冲区，而将其他数据包丢弃，因此，正常情况下网络上的主机表现为只关心与本机有关的数据包，但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略，使网卡能够接收经过本网段的所有数据包，无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式，目前绝大部分网卡都提供这种设置，因此，在需要的时候，对网卡进行合理的设置就能获得经过本网段的所有通信信息，从而实现网络监视的功能。在其他网络环境下，虽然可能不采用广播的方式传送报文，但目前很多路由设备或交换机都提供数据报文监视功能。

2.基于主机的入侵检测系统

基于主机的入侵检测系统是比较早期的入侵检测系统结构，它的检测目的主要是主机系统和系统本地用户，检测原理是根据主机的审计日志信息发现不正常的事件，检测系统可以运行在被检测的主机上，还可以运行在单独的主机上。

检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。

基于主机日志的安全审计，通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高，分析代价小，分析速度快的特点，能够迅速并准确地定位入侵者，并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。[3]目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是：首先它在一定程度上依赖于系统的可靠性，它要求系统本身应该具备基本的安全功能并具有合理的设置，然后才能提取入侵信息;即使进行了正确的设置，对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去，从而不被发觉;并且主机的日志能够提供的信息有限，有的入侵手段和途径不会在日志中有所反映，日志系统对有的入侵行为不能做出正确的响应，例如利用网络协议栈的漏洞进行的攻击，通过ping命令发送大数据包，造成系统协议栈溢出而死机，或是利用ARP欺骗来伪装成其他主机进行通信，这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。[4]

四、入侵检测的技术发展方向

如今，入侵检测系统的技术发展方向有以下几个：

1.分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。[5]

2.应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测如WEB之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。[6]许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

3.智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。

入侵检测技术作为一种主动的安全防护技术，对网络系统的安全提供全方位的保护。但是，由于网络技术的快速发展以及目前检测方法还不是十分有效，因此，在以后相当长的一个时期内，入侵检测系统仍会是网络信息安全领域内的一个相当重要的研究课题，其主要目标还是尽量降低以至消除误报和漏报。

Bat

来捧场了！

ruguoruo

学习学习技术，加油！

Lucifer

感谢楼主的分享~

borall

感谢楼主的分享~

admin1964

r00tc4

54hacker

wilist

感谢楼主的分享~

a136