1.引言

随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点，一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection System)。入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。

2.入侵检测概述

2.1 入侵检测概念

20世纪80年代初期，安全专家认为：“入侵是指未经授权蓄意尝试访问信息、篡改信息、使系统不可用的行为。”美国大学安全专家将入侵定义为“非法进入信息系统，包括违反信息系统的安全策略或法律保护条例的动作。”我们认为，入侵应与受害目标相关联，该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是入侵的依据是：对目标的操作是否超出看目标的安全策略范围。因此，入侵是违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统，简称IDS。

2.2 入侵检测系统模型

最在的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并检测轮廓的变化差异，发现系统的入侵行为，如图1所示。

现在，入侵行为的种类在不断增多，许多攻击都是经过长时期准备的。面对这种情况，入侵检测系统的不同功能组件之间、不同IDS之间共享这类攻击信息是十分重要的。于是，一种通用的入侵检测框架模型(简称CIDF)就被提出来了。该模型认为入侵检测系统由事件产生器(event genertors)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event database)组成，如图2所示。

CIDF将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。事件产生器从整个计算环境中获得事件，并向系统的其他部分提供事件。事件分析器分析所得到的数据，并产生分析结果。响应单元对分析结果做出反应，如切断网络连接，改变文件属性，简单报警等。事件数据库存放各种中间和最终数据，数据存放的形式既可以是复杂的数据库，也可以是简单的文本文件。CIDF模型具有很强的扩展性，目前已经得到广泛认同。

2.3 入侵检测作用

表1 HIDS和NIDS性能比较

入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或违背安全策略的行为，其作用表现为以下几个方面：

1）发现受保护系统中的入侵行为或异常行为。

2）检验安全保护措施的有效性。

3）分析受保护系统所面临的威胁。

4）有利于阻止安全事件扩大，及时报警触发网络安全应急响应。

5）可以为网络安全策略的制定提供重要指导。

6）报警信息可用作网络犯罪取证。

3.入侵检测技术

3.1 基于误用的入侵检测技术

基于误用的入侵检测通常称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方式具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为可立即被检测到，如图3所示。

虽然，误用入侵检测依赖于攻击模式库，因此，这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小，则IDS的有效性就大打折扣。而如果攻击模式库过大。则IDS的性能会受到影响。

基于上述分析，误用入侵检测的前提条件是，入侵行为能够按某种方法进行特征编码，而入侵检测的过程实际上就是模式匹配的过程。根据入侵特征描述的方法或构造技术，误用检测方法可以进一步细分。

3.2 基于异常的入侵检测技术

异常检测方法通过对计算机或网络资源的统计分析，建立系统正常行为的“轨迹”，定义一组系统正常情况的阈值，然后将系统运行时的数值与定义的“正常”情况相比较，得出是否有被攻击的迹象，如图4所示。

但是，异常检测的前提是异常行为包括入侵行为。理想情况下，异常行为集合等同于入侵行为集合，此时，如果IDS能够检测所有的异常行为，就表明能够检测所有的入侵行为。但是在现实中，入侵行为集合通常不等同于异常行为集合。事实上，行为有以下4种状况：

1)行为是入侵行为，但不表现异常；

2)行为不是入侵行为，却表现异常；

3)行为既不是入侵行为，也不表现异常；

4)行为是入侵行为，且表现异常。

异常检测方法的基本思路是构造异常行为集合，从中发现入侵行为。异常检测依赖于异常模型的建立，不同模型可构成不同的检测方法。

4.入侵检测系统的组成与分类

4.1 入侵检测系统的组成

一个入侵检测系统主要由以下功能模块组成：数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。数据采集模块的功能是为入侵分析引擎模块提供分析用的数据，包括操作系统的审计日志、应用程序的运行日志和网络数据包等。入侵分析引擎模块的功能是一句辅助模块提供的信息（如攻击模式），根据一定的算法对手机系统的核心模块。管理配置模块的功能是为其他模块提供配置服务，是IDS系统中的模块与用户的借口。应急吃力模块的功能是发生入侵后，提供紧急响应服务，例如关闭网络提供响应的信息，例如攻击特征库、漏洞信息等。图5给出了一个通用的入侵检测系统结构。

图5中的系统是一个广泛的概念，可以使工作站、网段、服务器、防火墙、Web、服务器、企业网等。虽然每一种IDS在概念上是一致的，但在具体实现是，它在采用的分析数据方法、采集数据以及保护对象等关键方面还是有所区别。根据IDS的检测数据来源和它的安全作用范围，可将IDS分为三大类：第一类是基于主机的入侵检测系统(简称HIDS)，即统统分析主机的信息来检测入侵行为；第二类是基于网络的入侵检测系统(简称NIDS)，即通过获取网络通信中的数据包，然后对这些数据包进行攻击特征扫描或异常建模来发现入侵行为；第三类是分布式入侵检测系统(简称DIDS)，DIDS从多台主机、多个网段采集检测数据，或者手机单个IDS的报警信息，然后根据手机到的信息进行综合分析，以发现入侵行为。

图1 入侵检测模型

图2 CIDF各组之间的关系到图

图4 异常检测原理图

图5 通用的入侵检测系统示意图

图6 基于主机的入侵检测系统

图7 基于网络的入侵检测系统

4.2 基于主机的入侵检测系统

基于主机的入侵检测系统，简称HIDS。HIDS手机主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，然后分析这些信息是否包含攻击特征或异常情况，并依此来判断该主机是否受到入侵。由于入侵行为会引起主机系统的变化，因此在实际的HIDS产品中，CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。图6为基于主机的入侵检测系统的结构示意图。

4.3 基于网络的入侵检测系统

基于网络的入侵检测系统，简称NIDS。NIDS通过侦听网络系统，捕获网络数据包，并依据网络数据包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。NIDS通常由一组用途单一的计算机组成，其构成多分为两部分：检测器和管理控制器。检测器分布在网络中的不同区域，通过侦听（嗅探）方式获取网络包，探测器将检测到的攻击行为形成一个报警时间。向管理控制器发送报警信息。报告发生入侵行为。管理控制器可监控不同网络区域的探测器，接收来自探测器的报警信息。图7为基于网络的入侵检测系统的结构示意图。

4.4 分布式入侵检测系统

随着网络系统结构的复杂化和大型化，带来许多新的入侵检测问题：

1）系统的漏铜分散在网络中的各个主机上，这些漏洞有可能被攻击者一起用来攻击网络，仅依靠基于主机或网络的IDS不会发现入侵行为。

2）入侵行为不再是单一的行为，而是相互协作的入侵行为。

3）入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。如交换型网络使监听网络数据包受到限制。

4）网络速度传输加快，网络的流量增大，集中处理原始数据的方式往往造成检测瓶颈，从而导致漏检。

面对这些新的入侵检测问题，分析式入侵检测系统应运而生，它可以跨越多个子网检测攻击行为，特别是大型网络。分布式入侵检测系统可以分成两种类型，即基于主机检测的分布式入侵检测

系统和基于网络的分布式入侵检测系统。下面分别叙述。

4.4.1 基于主机检测的分布式入侵检测系统

基于主机检测的分布式入侵检测系统，简称HDIDS，其结构分为两个部分；主机探测器和入侵管理控制器。HDIDS将主机探测器按层次、分区域地配置和管理、把它们集成为一个可用于监控、保护分布在网络区域中的主机系统。HDIDS用于保护网络的关键服务器或其他具有监控、保护分布在网络区域中的主机系统。HDIDS用于保护网络的关键服务器或其他具有敏感信息的系统，利用主机的系统资源、系统调用、审计日志等信息，判断主机系统的运行是否遵循安全规则，在实际工作过程中，主机探测器多以安全代理（Agent）形式直接安装在每个被保护的主机系统上，并通过网络中的系统管理控制台进行远程控制。这种集中式的控制方式，便于对系统进行状态监控、管理以及对检测模块的软件进行更新。HDIDS的典型配置如图8所示。

图8 基于主机入侵检测系统典型配置

4.4.2 基于网络的分布式入侵检测系统

HDIDS只能保护主机的安全，而且要在每个受保护主机系统上都配置一个主机的探测器，如果当网络中血药保护的主机系统比较多时，其安装配置工作非常大。此外，对于一些复杂攻击，主机探测器无能为力。因此，需要使用基于网络的分布式入侵检测系统，简称NDIDS。NDIDS结构分为两部分：网络探测器和管理控制器，如图9所示。

图9 网络入侵检测系统功能模块的分布式配置及管理

网络探测器部署在重要的网络区域，如服务器所在的网段，对于手机网络通信数据和业务数据流，通过采用异常和无用两种方法对收集到信息进行分析，若出现攻击或异常网络行为，就向管理控制器发送报警信息。NDIDS一般适用于大规模网络或者是地理区域分散的网络，采用这种结构有利于实现网络的分布式安全管理。现在市场上的网络入侵系统一般支持分布式结构。

综上所述，分布式IDS系统结构能够将基于主机和网络的系统结构结合起来，检测所用到的数据源丰富，可以克服前两者的弱点。但是，由于是分布式的结构，所以带来了新的弱点。例如，传输安全事件过程中增加了通信的安全问题处理，安全管理配置复杂度增加等。

5.入侵检测系统的评估指标

入侵检测系统的评估指标有：

1）可靠性。由于入侵检测系统血药不间断地检测受保护系统，因策，要求入侵检测系统具有容错能力，可以连续运行。

2）可用性。入侵检测系统运行开销要尽量小，特别是基于主机的入侵检测系统，不能影响到主机和网络的系统性能。

3）可扩展性。该指标主要评价入侵检测系统配置修改和安装部署的能力。以适应新的攻击技术方法不断出现和系统环境的变迁要求。

4）时效性。时效性要求入侵检测系统必须尽快的分析报警数据，并将分析结果传送到报警控制台，以使系统安全管理者能够入侵攻击尚未造成更大危害以前做出反应，组织攻击者破坏审计系统甚至入侵检测系统的企图。和上面的处理性能因素相比，该指标的及时性要求更高。它不仅要求入侵检测系统的处理速度要尽可能地快，而且要求传播、反应检测结果信息的时间尽可能少，能实时发现入侵企图，以便及时制止入侵活动和限制破坏程度。

5）准确性。准确性是指入侵检测系统能正确检测出系统入侵活动的能力。当一个人入侵检测系统的检测部准确时，它就可以吧系统中的合法活动当做入侵行为，或者把入侵行为作为正常行为，这是就出现误报警和漏报警现象。使用的入侵检测系统应具有低的误报警率和漏报警率。

6）安全性。与其他系统一样，入侵检测系统本身也往往存在安全漏洞。若对入侵检测系统攻击成功，则直接导致报警生灵，使攻击者的攻击行为无法被记录。因此，入侵检测系统的安全性要求具有保护自身的安全功能，具有抗攻击干扰能力。

6.入侵检测系统的发展方向

在入侵检测技术发展的同时，入侵技术也在更新，攻击者将试图绕过入侵检测系统（IDS）或攻击IDS系统。交换技术的发展以及通过加密信道的数据通信使通过共享网段侦听的网络数据采集方法显得不足，而大通信量对数据分析也提出了新的要求。入侵技术的发展与演化主要反映在下列几个方面：

(1)入侵的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

(2)入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

(3)入侵的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

(4)入侵技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

(5)攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

入侵检测系统还存在相当多的问题，这些问题大多是目前入侵检测系统的结构所难以克服的。

(1)攻击者不断增加的知识，日趋成熟多样自动化工具，以及越来越复杂细致的攻击手法。入侵检测系统必须不断跟踪最新的安全技术，才能不致被攻击者远远超越。

(2)恶意信息采用加密的方法传输。网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是通过明文传输的，因此对信息的稍加改变便可能骗过入侵检测系统的检测。

(3)不能知道安全策略的内容。必须协调、适应多样性的环境中的不同的安全策略。网络及其中的设备越来越多样化，入侵检测系统要能有所定制以更适应多样的环境要求。

(4)不断增大的网络流量。用户往往要求入侵检测系统尽可能快的报警，因此需要对获得的数据进行实时的分析，这导致对所在系统的要求越来越高，商业产品一般都建议采用当前最好的硬件环境。尽管如此，对百兆以上的流量，单一的入侵检测系统系统仍很难应付。可以想见，随着网络流量的进一步加大(许多大型ICP目前都有数百兆的带宽)，对入侵检测系统将提出更大的挑战，在PC机上运行纯软件系统的方式需要突破。

(5)缺乏广泛接受的术语和概念框架。标准的缺乏使得互通、互操作几乎不可能。

(6)不恰当的自动反应存在风险。一般的IDS都有入侵响应的功能，如记录日志，发送告警信息给console、发送警告邮件，防火墙互动等，敌手可以利用IDS的响应进行间接攻击，使入侵日志迅速增加，塞满硬盘；发送大量的警告信息，使管理员无法发现真正的攻击者，并占用大量的cpu资源；发送大量的告警邮件，占满告警信箱或硬盘，并占用接收警告邮件服务器的系统资源；发送虚假的警告信息，使防火墙错误配置，如攻击者假冒大量不同的IP进行模拟攻击，而入侵检测系统系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，造成一些正常的IP无法访问等。

（7）自身的安全问题。入侵检测系统本身也往往存在安全漏洞。因为IDS是安装在一定的操作系统之上，操作系统本身存在漏洞或IDS自身防御力差，就可能受到smurf、synflood等攻击。此类攻击很有可能造成IDS的探测器丢包、失效或不能正常工作。

（8）存在大量的误报和漏报。采用当前的技术及模型，完美的入侵检测系统无法实现。这种现象存在的主要原因是：入侵检测系统必须清楚的了解所有操作系统网络协议的运作情况，甚至细节，才能准确的进行分析。而不同操作系统之间，甚至同一操作系统的不同版本之间对协议处理的细节均有所不同。而力求全面则必然违背入侵检测系统高效工作的原则。

（9）缺乏客观的评估与测试信息的标准。

今后的入侵检测技术大致可朝下述几个方向发展：

（1）分布式入侵检测：传统的IDS局限于单一的主机或网络架构，对异构系统及大规模的网络检测明显不足，不同的IDS系统之间不能协同工作。为解决这一问题，需要发展分布式入侵检测技术与通用入侵检测架构。第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

（2）智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。目前尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但这只是一些尝试性的研究工作，仍需对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。

（3）应用层入侵检测：许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测如Web之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。

（4）高速网络的入侵检测：在IDS中，截获网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源，因此大部分现有的IDS只有几十兆的检测速度，随着百兆、甚至千兆网络的大量应用，需要研究高速网络的入侵检测。

（5）入侵检测系统的标准化：在大型网络中，网络的不同部分可能使用了多种入侵检测系统，甚至还有防火墙、漏洞扫描等其他类别的安全设备，这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息，共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。例如，漏洞扫描程序例行的试探攻击就不应该触发IDS的报警；而利用伪造的源地址进行攻击，就可能联动防火墙关闭服务从而导致拒绝服务，这也是互动系统需要考虑的问题。可以建立新的检测模型，使不同的IDS产品可以协同工作。

7.结束语

目前，国内外有很多家研究机构在从事IDS的研究工作，不少厂家也开发出了IDS产品。但总的看来，现在对IDS的研究还不够深入，产品的性能也有待提高。随着用户对网络带宽、高速流量等需求不断增加，入侵检测技术迫切需要进一步创新和性能改进以适应高速环境下的安全防护。同时目前入侵检测随着功能的增强角色也在悄悄变化，其本身独特的技术优势也更多为安全审计，入侵管理平台等提供支撑，因此融合多种功能、功能更强是IDS重要生命力。技术是保障IDS顺利发展的核心。总之，入侵检测系统作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。随着网络通信技术安全性的要求越来越高，为给电子商务等网络应用提供可靠服务，而由于入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务，必将进一步受到人们的高度重视。

[1]马利,姚永雷.计算机网络安全[M].清华大学出版社,2010,8,1.

[2]鲜永菊.入侵检测[M].西安电子科技大学出版社,2009,8,1.

[3]魏红霞.入侵检测系统探讨[J].硅谷,2012,2.

[4]中国计算机学会计算机安全专业委员会.信息与网络安全研究新进展——全国计算机安全学术论文集(第二十五卷)[M].中国科学技术大学出版社,2010,9,1.

[5]庄建忠.李蕊基于入侵检测系统IDS构建的研究[J].农业网络信息,2009,7.