2023年7月8日发(作者：)

维普资讯

微电子学与计算机　２００２年第１期　入侵检测系统：原理、入侵隐藏与对策　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ：Ｅｖａｄｉｎｇ　ａｎｄ　Ｆｉｎｄｉｎｇ　中国科学院计算机网络信息中心摘林曼筠钱华林　（北京１０００８０）　要：人侵行为给基于网络的计算机信息系统的安全带来巨大威胁，入侵检测系统（ＩＤＳ，Ｉｎｔｒｕｉｉｏｎ　Ｄｅｔｅｃｔｉ￣　Ｓｙｓｔｅｍ）作为重要的安全工具而成为研究的热点。文章首先介绍ＩＢＳ的基本概念和组成，研究各类ＩＤｓ的工作　原理及其优缺点，然后分析当前难　对付的几种隐藏入侵迹象、逃避ｍＳ检测的方法，井进一步探讨相应的对　策，对ＩＤＳ今后的发展方向提出了看法。　关ｔ词：计算机信息系统，安全，人侵，入侵检测系统　ｌ引育　管理员发现入侵并采取适当措施的的特殊计算机　系统。　Ｉｎｔｅｍｅｔ为资源的共享与信息的交流提供了高　效而便捷的全新方式，但同时它也被占用、偷窃、甚　典型的ＩＤＳ包含４个基本部件：探测器、参照信　息数据库、分析与响应器和用户界面（控制台），如　图１所示。　至毁坏他人的计算机信息系统资源的入侵者所利　用，给联网的信息、资源带来了严重的安全威胁。系　统配置再严谨，也不能完全杜绝网络入侵现象，ＩＤＳ　已经成为计算机信息系统安全保护的第二道防　线。然而，安全是一个不断发展的过程，ＩＤＳ成为研　究与应用的热点的同时，也成为人侵者研究的重点　对象，各种隐藏入侵迹象、逃避ＩＤＳ检测甚至攻击　ＩＤＳ本身的方法也不断地出现。研究ＩＤＳ的优点与　不足，了解入侵者逃避ＩＤＳ检测的方法，有助于有　目的地深入研究ＩＤＳ构建技术，加强ＩＤＳ检测的可　靠性，为信息系统提供更好的安全保护。本文在研　究ＩＤＳ的优缺点和分析入侵者逃避ＩＤＳ检测的主要　方法的基础上．探讨提高ＩＤＳ可信度的方法，指出　ＩＤＳ的新方向　２　ｍｓ的概念和组成　图１典型ＩＤＳ的基本组成　被ＩＤＳ监视、保护的计算机信息系统通常被称　为目标系统。入侵指的是破坏目标系统资源的完整　性、机密性或可用性的一系列话动，ＩＤＳ所检测的入　侵不包括物理入侵，而是仅包括以电子方式从系统　内部或者外部发起的，尝试或者实施对系统资源的　非授权访问、操纵或破环的行为。ＩＤＳ的工作原理基　于一个假设，即入侵者的行为与正常用户的行为不　同，而且这种不同会通过某种可观察的方式表现出　（１）探测器　分布在一台或者多台计算机系统、或者网络设　备中的功能部件中，它负责按照一定的要求或者规　则收集用户、服务、系统或者网络数据流信息，把它　们组织成适当格式的审计数据并送交分析器。　（２）参照信息数据库　负责存储并维护分析器所能够理解的标准信息　（如正常的对象模型或者攻击特征编码等）的功能　部件。　来，这种不同寻常的表现，就形成了“入侵迹象”，它　被包含在与目标系统的各种内部或者外部的活动　（３）分析与响应器　有关的信息记录——审计数据之中。ＩＤＳ，指自动收　集并分析审计数据，一旦发现入侵迹象则采取适当　措施（比如，报警、关闭相应连接等），以便帮助安全　收稿日期：２００１—０９—２４　以参照信息数据库中的信息为基准，对审计数　据进行比较分析，给出分析报告并送交控制台。如　委等）　菩　，或者给出对策建议。　的措施　报警、反击人侵者　　ｌ【