2023年7月8日发(作者：)

入侵检测及其技术分析

摘

要：介绍入侵检测系统，并对其和其他信息安全技术进行比较，入侵检测的不同体系结构，主流的分析方法。

关键词：入侵检测 信息安全技术 体系结构 分析方法

一． 当前国内外入侵检测技术情况介绍：

入侵检测技术是继“防火墙”、“数据加密”等传统的安全保护措施后新一代的安全保障技术。计算机系统各部分在设计、实现和部署使用中会给系统带来漏洞，因为没有经济可行的手段完全消除这些隐患，有效的入侵检测手段对于保证系统安全是必不可少的。即使一个系统中不存在某个特定的漏洞，入侵检测系统仍然可以检测到相应的攻击事件，并调整系统的状态，对未来可能发生的侵入做出警告。传统上，一般采用防火墙作为安全的第一道屏障。但是随着攻击者技术的日趋成熟，攻击手法的日趋多样，单纯的防火墙已经不能很好的完成安全防护工作。在这种情况下，入侵检测技术成为市场上新的热点。入侵检测是防火墙的合理补充，帮助系统对付攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：

· 监视、分析用户及系统活动；

· 系统构造和弱点的审计；

· 识别反映已知进攻的活动模式并向相关人士报警；

· 异常行为模式的统计分析；

· 评估重要系统和数据文件的完整性；

· 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

二． 入侵检测技术和其他安全技术的关系

信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制；确保信息的保密性、完整性、可用性、可控性。为达到以上的目的，在实践经验和一些理论研究的基础上，提出了一些安全模型，其中比较有代表性的就是PDR模型。

防护(Protection)：安全的第一步，它的基础是响应与检测的结果检测(Detection)：根据输入的数据，判断是否有入侵。

响应(Response)：发现了攻击企图或者攻击之后，需要系统及时地进行反应。

防护，检测，响应这三者虽然是一个平面的循环，但实际上应该是一个螺旋上升的过程。经过了一个PDR循环之后，进行防护的水平显然是提高的。

入侵检测就是模型中的检测，它的作用在于承接防护和响应的过程。

防火墙一般应用于网络中，它是静态的基于规则的安全防范手段。所谓防火墙技术，就是象征

性地比喻将危害信息系统安全的火阻挡在网络之外，为网络建一道安全的屏障。它可能由一个硬件和软件组成，也可以是一组硬件和软件构成的保护屏障。它是阻止国际互联网络黑客攻击的一种有效手段。简单地讲，它的作用就是在可信网络（用户的内部网络）和非可信网络（国际互联网、外部网）之间建立和实施特定的访问控制策略。所有进出的信息包都必须通过这层屏障，而只有授权的信息包（由网络的访问控制策略决定）才能通过。

访问控制是指拒绝非法用户使用系统资源和防止非法用户窃取，破坏系统资源。它是网络安全的一项实用技术，主要通过如下方式：

（1） 身份验证

身份验证是指对用户身份的识别和验证，例如利用口令或密码进行验证，利用信物进行验证（如IC卡），利用人类生物特征进行验证（如指纹识别，声音识别等）。

（2） 报文验证

报文验证是指在两个通信实体之间建立了通信联系后，对每个通信实体接收到的信息进行验证以保证所收到的信息是真实的。

除了入侵检测技术，其他几项都立足于防。从发展趋势看，只有防护是不够的。

三． 入侵检测系统的三种不同体系结构及优缺点分析：根据不同的数据来源，在网络环境中主要存在三种入侵检测体系结构：基于主机（HIDS）、基于网络（NIDS）和混合分布式（DIDS）。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机采集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机器的网卡设于混杂模式，监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。基于主机的入侵检测系统历史最久，多用户计算机系统出现不久已有雏形。最早用于审计用户的活动，比如用户的登录、命令操作、应用程序、使用资源情况等。此类系统一般主要使用操作系统的审计跟踪日志作为输入，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息。其所采集的信息集中在系统调用和应用层审计上，试图从日志判断滥用和发现入侵事件的线索。由于来自网络的攻击事件逐渐成为信息系统的最大威胁，因而基于网络的入侵检测系统具有重要价值。基于网络的入侵检测系统在网络中的某一点被动地监听网络上传输的原始流量，通过线路窃听的手段对捕获的网络分组进行处理，从中获取有用的信息。基于网络的入侵检测系统通过对流量分析提取特征模式，再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。与基于主机的入侵检测不同，基于网络的IDS非常适用于检测系统应用层以下的底层攻击事件。虽然基于网络的入侵检测系统实现的功能可以很强大，如要适应现代千兆比特的高速网络和交换式网络方面也有许多难以克服的困难。而且基于主机的入侵检测系统也有其

独特功能，所以未来的入侵检测系统要想取得成功必须将基于主机和基于网络的两种入侵检测系统无缝的结合起来，这就是混合分布式入侵检测系统，在基于主机和基于网络的两种入侵检测系统都发展到一定成熟度后，混合分布式系统就自然出现了，它兼两种入侵检测系统各自的优点。混合分布式入侵检测系统可以从不同的主机系统、网络部件和通过网络监听方式采集数据，这些系统可以利用网络数据也可采集分析来自主机系统的高层事件发现可疑行为。

四． 前入侵检测主流技术分析：谈到分析方法，入侵检测目前主要通过三种技术手段进行分析：模式匹配，异常检查（统计分析）和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

1． 模式匹配

模式匹配首先根据已知的入侵定义由独立的事件、事件的序列、事件临界值等通用规则组成入侵模式，然后观察能与入侵模式相匹配的事件数据，达到发现入侵的目的。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。在模式匹配实施中，首先是模式数据库的建立，通过转化知识和实践经验结合形成具有一定及时性的入侵模式数据，并且存在着定期更新的需要；其次需要注意对资源进行及时的回收，在大量的模式提交于分析器进行匹配检验时，有相当的一部分模式部分地匹配了数据库中的模式，但不能完全匹配，对这些匹配所分配的内存要及时回收，以免大量资源浪费导致分析系统失效。

2． 异常检查（统计分析 ）

异常检查是检查统计量的偏差，从而检测出不正常的行为。其实现的方法是通过历史数据或期望值为基础，为各个主体、对象的行为定义变量与该变量的基值，利用加权函数组合变量，得出综合变量值；并在此基础上，将入侵定义为出现了任何与期望值相比较有不可接受的偏差。在实施过程中，首先对系统对象（如用户、目录、文件等）建立一个统计值，统计正常使用时的一些测量属性（如访问次数、时间、操作次数等）。这个测量属性的统计值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析可能有一个非正常的行为，因为它发现一个在晚十二点至早三点从不登录的用户却在凌晨一点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。基于以上分析，可以看出，如果说异常检查是量化的入侵检测分析手段，那么模式匹配就是一种质化的入侵检测分析手段。

3．

完整性分析研究

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数，它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应，用于事后分析。目前在主机型入侵检测系统中大量使用。客观地讲，攻击和入侵检测是一对不可调和的矛盾，没有一种一劳永逸的解决方案。各种不同机制的入侵检测系统之间也没有绝对的优劣之分，只能对一个已经建立起来的入侵检测系统进行攻防比较测试，通过实验的方法在实践中检验其有效性。

他们继续往前走。走到了沃野，他们决定停下。