1、入侵檢測技術概述 孟令權李紅梅黑龍江省計算中心 摘要本文概要介紹了當前常見的網絡安全技術入侵檢測技術，論述了入侵檢測的概念及分類，并分析了其檢測方法和不足之處最后描述了它的發展趨勢及主要的IDS公司和產品。關鍵詞 入侵檢測；網絡；安全； IDS1 引言 入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中 未授權或異常現象的技術， 是一種用于檢測計算機網絡中違反安全策略行為的技術。 違反安 全策略的行為有：入侵非法用戶的違規行為；濫用用戶的違規行為。2 入侵檢測的概念入侵檢測 (I n t r u s i o n D e t e c t i o n ， I D ) ，

2、顧名思義，是對入侵行為的檢測。它通過收 集和分析計算機網絡或計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違 反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(Intrusion Detection SystemIDS )。3 入侵檢測系統的分類入侵檢測系統 (I D S ) 依照信息來源收集方式的不同，可以分為基于主機 (H o s t-Based IDS ) 的和基于網絡 (Netwo r k-BasedIDS ) ；另外按其分析方法可分為異常檢測 (Anomaly Detection ， AD ) 和誤用檢測 (Misuse Detection ，

3、M D ) 。3 1 主機型入侵檢測系統 基于主機的入侵檢測系統是早期的入侵檢測系統結構， 其檢測的目標主要是主機系統和系統 本地用戶， 檢測原理是根據主機的審計數據和系統日志發現可疑事件。檢測系統可以運行在被檢測的主機或單獨的主機上。其優點是：確定攻擊是否成功； 監測特定主機系統活動， 較適合有加密和網絡交換器的環境， 不需要另外添加設備。其缺點： 可能因操作系統平臺提供的日志信息格式不同， 必須針對不同的操作系統安裝不同 類型的入侵檢測系統。 監控分析時可能會曾加該臺主機的系統資源負荷 影響被監測主機的 效能，甚至成為入侵者利用的工具而使被監測的主機負荷過重而死機。3 2 網絡型入侵檢測系

4、統網絡入侵檢測是通過分析主機之間網線上傳輸的信息來工作的。它通常利用一個工作在 “混雜模式” (PromiscuousMode) 下的網卡來實時監視并分析通過網絡的數據流。它的分析模 塊通常使用模式匹配、統計分析等技術來識別攻擊行為。其優點是： 成本低； 可以檢測到主機型檢測系統檢測不到的攻擊行為； 入侵者消除入侵證據 困難；不影響操作系統的性能；架構網絡型入侵檢測系統簡單。其缺點是： 如果網絡流速高時可能會丟失許多封包， 容易讓入侵者有機可乘； 無法檢測加密 的封包對干直接對主機的入侵無法檢測出。3 3 混和入侵檢測系統 主機型和網絡型入侵檢測系統都有各自的優缺點， 混和入侵檢測系統是基于主

5、機和基于網絡 的入侵檢測系統的結合， 許多機構的網絡安全解決方案都同時采用了基于主機和基于網絡的 兩種入侵檢測系統， 因為這兩種系統在很大程度上互補， 兩種技術結合。 能大幅度提升網絡 和系統面對攻擊和錯誤使用時的抵抗力，使安全實施更加有效。3 4 誤用檢測誤用檢測又稱特征檢測， 這一檢測假設入侵者活動可以用一種模式來表示， 系統的目標是檢 測主體活動是否符合這些模式。 它可以將已有的入侵方法檢查出來， 但對新的入侵方法無能 為力。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。設定一些入侵活動的特征， 通過現在的活動是否與這些特征匹配來檢測。常用的檢測技術為( 1 )

6、 專家系統：采用一系列的檢測規則分析入侵的特征行為。(2 ) 基于模型： 基于模型的入侵檢測方法可以僅監測一些主要的審計事件。 當這些事件發生 后，再開始記錄詳細的審計， 從而減少審計事件處理負荷。 這種檢測方法的另外一個特點是 可以檢測組合攻擊和多層攻擊。(3 )簡單模式：基于模式匹配的入侵檢測方法將已知的入侵特征編碼成為與審計記錄相符合 的模式。當新的審計事件產生時，這一方法將尋找與它相匹配的已知入侵模式。(4 ) 軟計算方法：軟計算方法包含了神經網絡、遺傳算法與模糊技術。3 5 異常檢測異常檢測假設是入侵者活動異常于正常主體的活動。 根據這一理念建立主體正常活動的 “活 動簡檔”，將當前

7、主體的活動狀況與“活動簡檔”相比較，當違反其統計規律時，認為該活 動可能是“入侵”行為。4 入侵檢測技術的發展方向無論從規模與方法上入侵技術近年來都發生了變化。 入侵的手段 與技術也有了“進步與發展” 。入侵技術的發展與演化主要反映在下列幾個方面：( 1 ) 入侵或攻擊的綜合化與復雜化。入侵者在實施入侵或攻擊時往往同時采取多種入侵的 手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。( 2 ) 入侵或攻擊技術的分布化。以往常用的入侵與攻擊行為往往由單機執行。由于防范技 術的發展使得此類行為不能奏效。分布式攻擊 (D Dos ) 是近期最常用的攻擊手段，它能在很 短時間內

8、造成被攻擊主機的癱瘓， 且此類分布式攻擊的單機信息模式與正常通信無差異， 往 往在攻擊發動的初期不易被確認。( 3 ) 攻擊對象的轉移。入侵與攻擊常以網絡為侵犯的主體，但近期來的攻擊行為卻發生了 策略性的改變， 由攻擊網絡改為攻擊網絡的防護系統。 現已有專門針對 I D S 作攻擊的報道， 攻擊者詳細地分析了 I D S 的審計方式、特征描述、通信模式找出 I D S 的弱點，然后加以 攻擊。5 主要的 IDS 公司和及其產品目前國內外已有很多公司開發入侵檢測系統，有的作為獨立 的產品，有的作為防火墻的一部分， 其結構和功能也不盡相同。 非商業化的產品如 S n o r t 這 一類的自由軟件

9、；優秀的商業產品有如：I S S公司的R e a l S e c u re是分布式的入侵檢測系統， C i s c o 公司的 N e t R a n g e r 、N A I 公司的 C y b e r C o p 是基于網絡的入侵檢測 系統，T r u s t e d In f o r m a t io n S y s t e m 公司的S t a l k e r s是基于主機的檢測系統。下 面主要介紹一下 I S S公司的 R e a l S e c u r e和C i s c o公司的N e t R a n g e r。5 1 RealSecureReal Secure是目前使用范圍最廣的商用入侵檢測系統，它分為兩部分，引擎和控制臺。弓摩也就是我們所說的檢測器。 IS S 提供的引擎有兩個版本， Window s NT 和 UNIX ，控制臺 是運行在 Windows NT系統上。Real Secure的默認設置就能夠檢測到大量的有用信息，報告 也相當不錯，是目前最直觀、界面最友好的入侵檢測系統。5 2 Net RangerNet Ran ger包括檢測器和分析工作站，這些組件之間通過特殊的協議進行通信，它的檢測器被設計成可以檢測 C i s c o 路由器的系統紀錄和數據包， 這是所有商業版本中能力最強的一 種，而且還支持數據包的裝配功能，這樣即使攻擊