赵 勃

(营口职业技术学院，辽宁 营口115000)

1 入侵检测系统的界定

入侵检测系统(IDS INTRUSION DETECTION SYSTEM)通过分析计算机系统与网络中的诸多关键点的信息，来识别对计算机系统和网络系统的非法攻击，包括检测内部用户的非法操作和外界入侵者的试探与恶意攻击[1].

入侵检测是把传统的电子数据处理、安全审计、最优模式匹配及统计技术融合在一起发展而来的[2]，随着人们对网络安全性能要求的不断提高，对审计技术的改进和完善，再加上对其他安全技术的借鉴，于是就出现了IDS(Intrusion Detection System入侵检测系统).

2 入侵检测的分类

研究一种技术或者系统的基本方法就是分类，分而治之也是人类学习的一种习惯.根据不同的着眼点，对入侵检测系统进行如下的分类.

2.1 根据信息来源分类

入侵检测系统根据不同的信息来源，可分为基于网络的和基于主机的两种.

表1 基于网络的IDS与基于主机的IDS对比

基于网络的IDS.基于网络的入侵检测产品(NIDS)安装在一个较重要的设备上，不断地监视网段中的数据来源，对每个数据来源进行细致地特征分析．如与产品内置的规则匹配，NIDS则会报警，必要时断开网络连接.目前，入侵检测产品大多数是基于Web的.

基于主机的IDS.基于主机的入侵检测产品(HIDS)通常安装在测试主机上，对实时连接到主机的系统审计日志和网络进行智能分析和判断.如果行为十分可疑，IDS就会采取相应的措施.

基于网络与基于主机的IDS的比较.基于网络与基于主机的IDS有着各自的特点和优势，也有其不足之处.这两种类型的IDS是现在入侵检测系统中的主要代表，我们将两者进行对比，将更能清楚的说明他们的功能和不足之处，见表1.

2.2 根据检测方法来分类

根据入侵检测系统信息来源的不同，又可以把IDS分为异常检测型与误用检测型.

异常检测是先总结正常操作应有的特征，得出正常操作的模型；当发现偏离正常统计意义上的行为时，就发生报警.

误用检测是先收集入侵行为的特征并建立相应的特征库；检测中将收到的数据与特征库中的代码进行比对，判断是否入侵.

2.3 根据分布方式分类

根据IDS模块之间分布方式的不同，可分为集中式与分布式.

集中式入侵检测系统.适用于较简单的网络环境中，将多个模块放在一台主机上，对采集的数据进行分析及响应.但随着internet的迅速发展，人们发现集中式的IDS暴露出很多缺点，如只搜集网络中一部分节点的信息，只能对一台机器发挥作用等，所以，为了使IDS发挥更大的作用，就出现了分布式体系结构的IDS.

分布式入侵检测系统.将主机和网络中的IDS结合起来，分布性主要体现在数据采集模块上，通过主机上的传感器(Sensor)和网络中的代理(Agent)采集有用数据，然后将数据送至中央处理器作全局的入侵检测.

分布式的IDS是结合网络的分布结构而来的，能更全面的发挥入侵检测与响应的功能，对全网的安全有着重要的意义.

2.4 根据时效性分类

根据数据分析发生的时间不同，可以将入侵检测系统分为实时型与事后型.

实时分析入侵检测系统.实时分析入侵检测系统是检查数据产生或者发生改变的同时并发现攻击行为，与入侵响应密切相联，需要比较高的系统资源.

事后分析入侵检测系统.事后分析入侵检测系统是在行为发生后，对产生的数据进行分析.事后进行的分析，采集到的信息更全面，做出的判断也就更准确一些，但是实时性就会差一点.

3 现有的主要入侵检测技术

IDS的核心功能是对各种事件进行分析，从中发现违反安全策略的行为.入侵检测从技术上主要分为两类：一种基于特征检测(signature-based)的入侵检测系统，另一种基于异常检测(anomaly-based)的入侵检测系统.

3.1 特征检测

特征检测(Signature-based)又称Misuse detection(误用检测)，用一种模式来表示假设入侵者的活动，入侵者频繁地利用系统和应用软件的漏洞和弱点来进行入侵，而这些已存在的漏洞和弱点可以被编成某种模式[1，2].是否符合这些模式是系统检测主体活动的目标，能将已有的入侵方法检查出来，但对新的入侵方法束手无策.如何设计模式既能发现“入侵”现象又不会把正常的活动包含进来是特征检测的难点.

特征检测的检测方法主要有：基于专家系统的入侵检测方法;基于条件概率的入侵检测方法;基于状态迁移的入侵检测方法;模式匹配检测方法.

模式匹配是现有的主流入侵检测商用系统中最主要的检测方法.

3.2 异常检测

异常检测(Anomaly detection)的假设是入侵者活动和正常主体的活动相异常.先建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，如违反其统计规律，则认为该活动是“入侵”行为.用户的正常行为被异常检测用定量的方式描绘出来，借此来标记出非法的、潜在的入侵行为[1，3].如何建立“活动简档”以及如何设计统计算法区分正常和异常的“入侵”行为是异常检测的难题.

异常检测的检测方法主要有：统计的检测方法;神经网络异常检测方法;数据挖掘异常检测方法.

4 入侵检测的发展趋势

面对着日新月异的飞速发展的网络技术，以及黑客技术的不断提高，人们对入侵检测系统的性能及本身的安全要求越来越高.最突出的问题就是：入侵检测系统是否能对入侵行为准确、及时的发现并做出相应的反应.

近年来入侵技术发展迅猛，规模与方法上都进步很大.新手段与新技术的应用促进其壮大，其发展与演化越来越复杂化和隐蔽化，规模也随之扩大化.

入侵检测技术未来发展的三个方向：

(1)分布式入侵检测：根据当前IDS的不足，分布式IDS会向两个方向发展：协同探测方向，管理型入侵检测方向，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取[4].

(2)智能化入侵检测：对入侵行为使用智能化的方法与手段进行检测.目前常用的智能化方法:免疫原理、遗传算法、模糊技术、神经网络等方法，主要用于入侵特征的辨识与泛化.具有智能检测功能的检测软件或模块与高效常规意义下的入侵检测系统的结合使用是当今入侵检测的主流[5].

(3)全面的安全防御方案：把网络安全视为一个整体工程，对网络安全问题使用安全工程风险管理的思想与方法来处理.从多方位对关注的网络进行评估，例如网络结构、加密通道、防火墙、病毒防护、管理、入侵检测等，然后提出全面可行的解决方案.

5 入侵检测与防火墙的配合

防火墙主要是基于各种形式的静态禁止策略，对于改善网络安全有很实际的意义，而且也是对所有网络安全问题最基本的响应措施.但是作为被动型的防御机制防火墙有着自己的局限性.入侵检测技术正好能在此发挥它的长处，入侵检测系统够自动识别系统中异常操作和未授权访问、检测各种已知网络攻击的技术.它主要是通过监控网络、系统状态和使用情况，来检测系统用户的未经授权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图.和传统的预防性安全机制相比，入侵检测具有容易配置、实时检测、动态响应、智能监控等特点.

防火墙和IDS有良好的互补性.这体现在两个层面上：静态的和动态的.静态方面指的是可以知晓IDS防火墙策略，更有效的分析网络的安全性，以实现准确的报警;动态方面指的是入侵行为被IDS发现时，可以通知防火墙断开已经建立的连接，有效地阻止联动，自动修改策略，以防止潜在的攻击，这种入侵检测系统与防火墙的合作联动性，充分的体现出了网络安全软件的自适应性与自动性，是一个必然的发展方向.

因此，在应用网络安全产品时，一般都在有重要数据的计算机上同时安装有防火墙和入侵检测系统.

6 结束语

入侵检测系统，其实质就是一个关于系统行为和事件的分类系统，考虑如何把对系统具有恶意的行为(或事件)从大量的信息中区分出来.核心问题就是将从网络上读取的数据包与已知攻击模式库的匹配过程.要想在入侵检测技术上有进一步的发展，就必须有自己的核心技术(OS和网络技术等)，必须先在人工智能上有所发展.

参考文献：

[1]潘利群，郝锦胜.入侵检测系统中检测分析模块的研究[J].武汉理工大学学报，2003(8)：67-70.

[2]唐正军，等.网络入侵检测系统的设计与实现[M].北京:电子工业出版社，2002.

[3]张丽红，赵俊忠.网络入侵检测技术分析[J].交通与计算机，2003(6)：53-56.

[4]苏砫，李化.分布式入侵检测系统[J].数据通信，2003(6)：26-28.

[5]唐正军，李建华.入侵检测技术[M].北京：清华大学出版社，2008.