2023年7月8日发(作者：)

科　潜赢　信ｌ息ｌ科Ｉ学　入侵检测系统浅析　王祖晖　（中国石油天然气股份有限公司黑龙江哈尔滨销售分公司，黑龙江哈尔滨１５００００）　摘要：入侵检测技术是近十几年发展爽涞的一种主动计算机网络安全防范技术。是为保证计算机系统的安全而设计与配置的一种能够及时　发现并报告系统中来授权或异常现象的技术。入侵检测系统通过监视运行系统的状态与活动，检测计算机网络中违反安全策略的行为，及时产生入　侵告警，为分析入侵行为提供有效的支持。现从网络入侵检测概念入手，重点对入侵检测系统的种类和入侵检测方法进行分析与阐述，其中对目前　主流的入侵检测系统做了总结。最后对入侵检测系统的发展方向做了展望。　关键词：入侵检测；入侵检测系统；计算机网络安全　要取决于用户定义“正常活动数据库”的完备性　泛应用。　（３）分布式人侵检测：采用分布式智能代理　和监控的频率。它的最大优点是不需要对每种　行为进行定义就可检测出未知的入侵，并具有　结构，由—个中央智能代理和多个分布在网络　简单的学习功能。异常检测模式明显降低了漏　各地的本地代理组成。其中每个本地代理都负　报率，但误报率随之增高。此外，这种模式的系　责监控网络信息流的—个方面，多个本地代理　分布检测共同完成一项监测任务；中　统还可根据用户行为的改变进行自我调整和优　相互协作、化，随着检测模型的逐步精确，异常检测将消耗　央代理负责调控各个本地代理工作，以及从整　体上完成对网络事件进行综合分析的工作。　较多的系统资源。　（３）协议分析：它是根据针对协议分析攻击　总结　行为实现的，首先把各种可能针对协议的攻击　综上所述，入侵检测系统还存在着许多不　足，例如：入侵检测还不够智能、检测方法不可　行为描述出来，其次建立用于分析的规则库，利　用传感器检查协议中的有效荷载，并详细解析，　能十全十美、仍需要太多的人力介入等，这些都　实现入侵检测。协议分析的优点是效率高，能检　需要不断完善和发展。随着网络技术的不断发　测出特殊漏洞脚本。　展，将会有更多的新技术应用到入侵检澳ｌ系统　３．２按数据来源可分为基于主机的入侵检　中。但是如果打造理想的网络安全环境单靠入　测、基于网络的人侵检测和分布式结构的人侵　侵检测系统是远远不够的，必须采用安全工作　风险管理的理论来处理问题，将网络安全作为　检测。　（１）基于主机的入侵检测（也称ＨＩＤＳ）：安　个整体工程，从管理、网络结构、防火墙、防病　装在被保护的主机上用于保护单台主机不受网　毒、人侵检测、漏洞扫描等多方面综合进行防　进程记录等对　护。　不从心，而人侵检测系统则通过对网络进行监　络攻击侵害。它通过对系统文件、责任编辑：孙卫国　测，提供对内部、外部攻击和错误操作的实时检　象的检测，帮助系统管理员发现入侵行为或人　测并采取相应的手段，主动地保护系统免受攻　侵企图，及时采取措施加以补救。ＨＩＤＳ检测准　击，恰恰弥补了防火墙的不足。因此，人侵检测　确度高，可检测到没有明显行为特征的入侵，能　系统被认为是防火墙之后的第二道安全闸门。　够对不同操作系统进行有针对性的检测，适用　（上接６９页ｌ密码存储、信息完整性校验等。　２入侵检测系统的结构　非对称加密的安全性和对称加密的快速性　于加密和交换环境，具有较低的成本，并且不受　入侵检测系统主要由事件产生器、事件分　网络流量影响。但ＨＩＤＳ的缺点也不容忽视，它　结合典型加密算法应用有：　析器、事件数据库和响应单元四部分组成。　（１）ＲＳＡ＋ＤＥＳ，满足保密性要求，应用在数　检测的实时性较差，占用主机资源，能检测出攻　事件产生器负责原始数据采集，然后将收　击类型有限，检测效果取决于日志系统，且隐蔽　据和通信年代；　集到的原始数据转换为事件向事件分析器提　性较差，这些缺陷大大限制了ＨＩＤＳ的广泛应　（２）Ｅｃｃ＋ＡＥＳ，满足认证性要求，应用在信　供；事件分析器接收事件信息后，通过模式匹　用。　息和安全年代。　配、统计分析、完整性分析等方法对其进行分　满足可控性要求。应用在知识安全年代的　（２）基于网络的入侵检测（ＮＩＤＳ）：用于防　析，判断是否为人侵行为或异常现象，最后将判　止对某网络的入侵，放置在防火墙附近，使用原　加密算法，正在研究和探索中。我国也在国际上　断结果转变为警告信息，并由响应单元作出反　始的网络分组数据包作为进行攻击分析的数据　公布了自己的ＳＭＳ４算法。采用国家商业密码　应。事件数据库则负责存储整个分析过程中的　源，利用网络适配器来实时监视和分析所有通　委员会认证的硬件加密产品。采用ＲＳＡ＋ＤＥＳ　所有数据。　过网络进行传输的通信。当检测到攻击行为时，　典型加密方法，建立的电子公文传输系统就是　３人侵检测的分类　入侵检测系统应答模块通过通知、报警、中断连　我国电子政务应用中最成功的案例。　３．１从技术上讲入侵检测分为误用检测、异　接等方式做出反应。ＮＩＤＳ可对网络上的端口扫　参考文献　常检测和协议分析三类：　【１】关振胜．公钥基础设施ＰＫＩ及其应用【Ｍ】．北　描、ＩＰ欺骗等常见的攻击行为进行检测，与　（Ｉ）误用检测：是基于模式匹配原理，它首　ＨＩＤＳ相区别的是它可以同时保护多台主机而　京：电子工业出版社．　先把各种可能入侵活动均用某种模式表示出　不影响被保护主机的性能，并且具有良好的隐　【２】谢冬青，冷建．ＰＫＩ原理与技术【　．北京：蔚华　来，建立模式数据库，并对主体活动进行监视，　蔽性，可有效地保护人侵证据。虽然ＮＩ大学出版社．　ＤＳ与　当主体活动违反了事先定义的模式规则时。根　ＨＩＤＳ相比有了许多优点，但它自身也存在着许　ｆ３１全国组织机构代码管理中心．全国组织机构　据模式匹配原则判断是否发生攻击。误用检测　多不足之处，表现在：防人侵欺骗能力较差，根　代码ＣＡ认证实用教材ＩＭ｝．北京：．中国标准出　　具有较低的误报率，但漏报率较高，攻击特征的　据网络系统结构特点精心策划和组织的数据包　版社．力。　４】袁科等．信息安全与通信保密们．锇罗斯密码　可导致ＮＩＤＳ和被保护主机所收到的数据包完　【（２）异常检测：是基于统计分析的原理，它　全不同，从而绕过ＮＩＤＳ的检测；检测受硬件条　服务体系，２ｏ０８（１２）．　首先把主体的各种正常活动用定量的方式加以　件限制较大，检测端口处理速度严重影响着检　作者简介：姜岚（１９６２一），女，高级工程师，　描述，并建立“正常活动数据库”，当出现某种活　测的效率；不能对加密后的数据进行处理，而目　现为同济大学软件学院软件工程硕士研究生。　动与分析所描述的正常活动存在差异时，则认　前网络上需要保护的数据大部分都是经加密过　王宏滨（１９６３一），男，高级工程师。　责任编辑：孙卫国　为是入侵行为，进而被检测识别。其检测效率主　后再传输的。ＮＩＤＳ的这些缺陷也限制了它的广　随着Ｉｎｔｅｍｅｌ和网络的迅猛发展，广大用　户借助网络进行信息共享和交流，极大地提高　了工作效率。但另一方面，由于网络的开放性存　在着极大的安全隐患，随之而来的非法入侵、资　源被非法调用、数据被破坏等恶意事件时有发　生，这都已经向广大用户敲响了网络安全的警　钟。因此，在网络化、信息化进程不可逆转的形　式下，如何减少信息的泄漏、破坏，从而为广大　用户营造—个安全的网络环境是目前亟待解决　的问题。下面将从入侵检测方面作简要分析。　１入侵检测系统的定义及其发展的必然性　人侵检测技术是一种网络信息安全新技　术，它通过计算机网络或计算机系统中的若干　关键点收集信息并进行分析，从中发现网络或　系统中是否有违反安全策略的行为和遭遇袭击　的迹象。而这种能够分析系统安全相关数据来　检测入侵活动的系统则称作入侵检测系统。　由于网络本身的复杂性，再加上防火墙自　身存在的局限性和脆弱性，被动式防御显得力　一一６８—