陈　杰

[摘要]计算机互联网的爆炸式增长以及基于因特网的电子商务的增加使得网络安全成为网络设计的一个重要因素。因此，开展网络安全特别是入侵攻击与防范技术的研究，开发急需的、高效实用的网络入侵检测系统，对计算机网络的发展和网络信息的建设与应用都具有重要意义。入侵检测系统作为安全防御的第二道防线，是网络防火墙的有益补充，它能够用于检测出各种形式的入侵行为，是安全防御体系的一个重要组成部分。

[关键词]入侵检测 网络安全 分布式

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0520047－01

一、引言

随着Internet的发展，网络丰富的信息资源给用户带来了极大的方便，但同时也给上网用户带来了安全问题。目前，网络的攻击手段越来越多，入侵手段也不断更新。由于网络的攻击造成的损失是难以估量的，计算机网络安全状况不容乐观。

为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。入侵检测正是其中之一，入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

计算机网络入侵检测技术的发展

20世纪80年代已经展开了对入侵检测技术的研究，发展至今已有近30年的历程。根据所检测数据的来源不同，入侵检测技术经历了基于主机的入侵检测技术、基于网络的入侵检测技术和分布式入侵检测技术三个发展时期。1980年，Jamesp. Anderson先生在《Computer Security Threat Monitoring and Surveiliance》中首次提出了入侵检测的概念，由此开始了对入侵检测技术的研究[1]。

二、主机的入侵检测技术

1987年，Dorothy Denning博士提出了入侵检测系统（IDS）的抽象模型，模型主要由主体、对象、审计记录、行为轮廓、异常记录及活动规则组成，这是一个入侵检测系统的通用框架。在这篇文章中将入侵检测技术与加密、认证、访问控制等安全技术相比，肯定了入侵检测对于保证系统安全的重要作用。这篇文献可以看成是在入侵检测技术的发展历史中具有里程碑意义的重要论著。

1988年，Denning博士提出的模型由SRI International公司实现，称之为入侵检测专家系统。该系统可以用于检测主机系统上发生的入侵行为，是一个与系统平台无关的专家检测系统。这也是日后的误用检测方法的系统原型。

后来入侵检测的原型系统被陆续开发，如下一代入侵检测系统、Haystack系统等。在入侵检测技术发展的初期，所检测的数据都是主机系统的待审计数据，然而随着网络技术的发展和网络应用的普及，针对网络的攻击事件不断发生，对入侵检测技术的研究也随之进入了第二阶段，即网络入侵检测技术。

三、网络的入侵检测技术

1990年，由L.T. Heberlein 开发了第一个网络入侵检测系统网络安全监视器，通过在共享网段上对通信数据的监听和采集，检测所有数据包的包头信息，分析可能出现的攻击现象，从而达到对整个网段的入侵检测和保护[2]。

网络入侵检测技术通过分析数据包包头信息、网络流量和网络连接的各个特征属性来检测网络中存在的入侵行为，区分正常网络应用和恶意攻击。这种方法扩展了入侵检测技术的应用范围，同时由于采用的是监听的方式获取待检测数据，没有增加网络负担，也不会占用网络上其他主机的资源。然而不论是基于主机的入侵检测系统还是基于网络的入侵检测系统，早期的结构都是集中式的，数据采集模块和数据分析模块都位于同一台机器上，这和网络逐渐走向分布式、异构性的趋势并不符合。而且随着分布式网络攻击的出现，分布式入侵检测技术也应运而生。

四、分布式入侵检测技术

1991年提出的分布式入侵检测系统是第一个分布式的系统，它将主机入侵检测和网络入侵检测结合，能适应异构环境。该系统由三个部分组成：主机管理单元、网络管理单元和中央管理单元[3]。该系统利用位于不同地点的数据采集单元收集待检测数据，进行统一分析后，判断被保护系统是否受到攻击。虽然DIDS存在很多不足之处，但它毕竟是对分布式入侵检测技术研究的有益尝试。

为了克服分布检测存在系统瓶颈的问题，1996年提出的合作式安全管理器(Cooperating Security Manager，CSM)通过运行于每台主机之上的CSM单元合作检测入侵行为。每个CSM单元都由本地入侵检测单元、安全管理器、图形用户界面、入侵处理单元、命令监视器和通信处理器组成。CSM实现了分布采集，分布决策的思想[4]。随着网络规模的不断扩大和攻击行为的协同性和分布式的趋势，入侵检测技术必然向着分布式检测方向发展。

五、入侵检测技术的发展趋势

目前，入侵检测系统的研究还处于一个不完善的阶段，IDS远远没有发展成熟，然而正是因为存在这些问题需要解

决，IDS的发展非常迅速，已经出现了各种各样的新技术，推动今后的入侵检测技术大致可朝下述三个方向发展：宽带高速网络的实时入侵检测技术；大规模分布式入侵检测技术；智能化入侵检测技术。

参考文献：

[1]唐正军，入侵检测技术导论[M].北京：机械工业出版社，246-263.

[2]GenyDozier，DouglasBrown，JohnHurley.Vulnerability Analysis of AIS-BasedIntr Usio Deteetion Systems via Genetie and Partiele Swann Red Teams The Congresson Evolutionary ColnPutation，2004,l:111-116.

[3]信息技术研究中心，网络信息安全新技术与标准规范实用手册[M].第1版，北京：电子信息出版社，2004.

[4]Fabio A.Gonzalez,Dipankar Dasgupta.Anomaly Detection Using Real-Valued Negative Selection.GPEM2003resubm.tex,2003,(6):1-20.

作者简介：

陈杰（1981-），男，河南郑州人，塔里木大学计算机科学与技术工作，助教。