邵学海

摘要：入侵检测系统(Intrusion DetectionSystem。IDS)是一种不同于防火墙的、主动保护网络资源的安全系统，是防火墙合理和必要的补充。它完全改变了传统网络安全防护体系被动防守的局面，使网络安全防护变得更积极、主动，特别是IDS的网络安全预警的通报，给网络安全防护工作带来了极大的变化。

关键词：入侵检测；安全防护；主动保护

1引言

随着信息化的高速发展和网络在人们生活、工作中的应用、普及，人们的安全意识也太太提高，对网络安全产品的需要也日益紧迫和严格。用户对于安全管理系统的要求已不满足于仅仅在出错时弹出一个对话框，而是希望系统在监控过往信息的同时能够对数据进行分析、消化。并以一种更加入性化的方式将网络上存在的安全风险准确地告知用户。

入侵检测系统(Intrus Jon Detection system，IDS)是近十几年来发展起来的一种主动安全防范技术。所谓入侵检测就是监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为，对异常行为进行统计，自动地收集和系统相美的补丁，进行审计跟踪识别违反安全法规的行为，使用专用服务器记录黑客行为等功能的总称。

IDS为计算机系统的完整性。可用性及可信性提供积极主动的保护，并在计算机系统受到危害之前进行拦截防卫。IDS对网络的控制手段有：黑名单断开、灰名单报警、阻塞HTTP请求、通知防火墙阻断和通过SN-MPTrap报警等。

2技术的分析

入侵检测技术是通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。从方式上可分为三种：异常、误用和模式的发现技术。

(1)异常

异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹，然后在实际运用中把所有与正常轨迹不同的系统状态视为可疑。例如。通过流量统计分析将异常时问的异常网络流量视为可疑。

但异常发现技术的缺点是并非所有的入侵都表现为异常。

(2)误用

误用发现技术的入侵检测是指通过预先精确定义的入侵模式，对观察到的用户行为和资源使用情况进行检测。如入侵签名说明了导致误用事件弱点的特征、条件、序列和关系，还包含系统状态。

(3)模式

假定所有入侵行为和手段都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配发现。模式发现的关键是如何表达入侵的模式，定义发现入侵的规则库，把真正的入侵与正常行为区分开来。

3设计的实现

基于不同的结构和侦听的策略，IDS可分为两类：主机型(Host-based IDS)和网络型(Network-based IDS)。

3.1主机型IDS

主机型IDS为早期的结构，是基于系统日志，应用程序日志或者通过操作系统的底层支持来进行分析，实时监视可疑的连接、系统日志检查以及特定应用的执行过程。主要用于保护自身所在的关键服务器。

在主机型IDS中，每一台被监控的服务器上都安装入侵检测代理。入侵检测代理的任务就是通过收集被监控服务器中的系统、网络及用户活动的状态和行为等数据，达到跟踪并记录这台服务器上的非授权访问企图或其他恶意行为之目的，如图01所示。

主机型入侵检测软件可以提供比网络型工具更好的应用层安全性，因为主机型软件可以检测到失败的访问企图，它可以监视用户访问文件或目录的次数。将代理软件加载到众多服务器和桌面上是一项费用高且耗时的工作。另外，一旦发现软件有新的问题l代理必须随之进行升级。

主机型IDS驻留在被检测的主机中，网络传输加密对入侵检测代理的工作不会产生影响。因为入侵检测代理是通过操作系统来读取相关信息，而操作系统已经在收到到来的数据时将其解密了。另外，主机型IDS还具有接近于实时的检测和应答响应时间。

(1)特点：

假如入侵者突破网络中的安全防线，已经进入主机操作，那么Host-Based IDS对于监测重要的服务器安全状态具有十分重要的价值。

(2)弱点：

①信息审计如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来骗过审计；

②审计与网络不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等)；

③攻击类型受限Host-Based IDS只能对服务器的特定的用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制，但提供预警报告。

3.2网络型IDS

网络型IDS则主要用于实时监控网络上的数据包，其输入数据来源于网络的信息流，能够检测该网段上发生的全部网络入侵。因此，网络型IDS可以保护整个网段内的所有主机。

网络型IDS利用网络侦听技术收集在网络上传输的分组数据包，并对这些数据包的内容、源地址。目的地址等进行分析，从中发现入侵行为，如图02所示。

(1)特点：

①服务器平台独立网络型IDS监视通信流量而不影响服务器平台的变化与更新；

②一个接口便可访问配置简单的网络型IDS的环境只需要一个普通的网络访问接口；

③防攻击类型多样众多的攻击标识可以监视多种多样的攻击，包括协议和特定环境的政击。

(2)弱点：

①无访问控制措施不像防火墙那样采取访问控制措施，但防火墙并不是入侵检测设备；

②攻击阻止差网络型IDS不能去阻止攻击，而采用预警方式。

现在一些产品扩展了IDS的功能，提供具有中断入侵会话的过程和非法修改访问控制列表对抗攻击。

4结束语

这两种方式的IDS都能发现对方无法检测到的一些入侵行为。例如，网络型的入侵检测检查所有的数据包头的标志位，而主机型的入侵检测并不查看包头的首部；如本地服务器发起的攻击可能不通过网络，无法通过网络型的入侵检测来发现，只能使用主机型的入侵检测来判断：网络型的入侵检测可以研究负载的内容，查找特定攻击中使用的命令或语法，而主机型的无法看到负载，也无法识别嵌入式的攻击。因此，网络型和主机型的入侵检测各有优势，两者相互补充才能使网络系统预警通报的实现更加可靠、准确。