入侵檢測系統(tǒng)572

1、入侵檢測系統(tǒng)入侵檢測系統(tǒng)（intrusion detection system，簡稱 “IDS”）是一種 對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動 反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在 于，IDS是一種積極主動的安全防護技術(shù)。IDS最早出現(xiàn)在1980年4 月。1980年代中期，IDS逐漸發(fā)展成為入侵檢測專家系統(tǒng)（IDES）。 1990年，IDS分化為基于網(wǎng)絡(luò)的IDS和基于主機的IDS。后又出現(xiàn)分 布式IDS。目前，IDS發(fā)展迅速，已有人宣稱IDS可以完全取代防火墻。一、簡介IDS是計算機的監(jiān)視系統(tǒng)，它通過實時監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常 情況就發(fā)出警告。ID

2、S入侵檢測系統(tǒng)以信息來源的不同和檢測方法的 差異分為幾類：根據(jù)信息來源可分為基于主機IDS和基于網(wǎng)絡(luò)的IDS， 根據(jù)檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同于防火 墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無 須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的部署，唯一的要求是: IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，所關(guān) 注流量指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視 的網(wǎng)絡(luò)報文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的HUB式的 共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換 式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般

3、選擇在盡可能 靠近攻擊源或者盡可能靠近受保護資源的位置。1這些位置通常是: 服務(wù)器區(qū)域的交換機上；Internet接入路由器之后的第一臺交換機上; 重點保護網(wǎng)段的局域網(wǎng)交換機上。由于入侵檢測系統(tǒng)的市場在近幾年 中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來。Venustech(啟明星辰)、Internet Security System(ISS)、思科、賽門鐵克等公司都推出了自己 的產(chǎn)品。二、系統(tǒng)組成IETF將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器(Event generators)，它的目的是從整個計算環(huán)境中獲得 事件，并向系統(tǒng)的其他部分提供此事件。事件分析器(Event analyzers)，它

4、經(jīng)過分析得到數(shù)據(jù)，并產(chǎn)生分析結(jié) 果。響應(yīng)單元(Response units)，它是對分析結(jié)果作出作出反應(yīng)的功能單 元，它可以作出切斷連接、改變文件屬性等強烈反應(yīng)，也可以只是簡 單的報警。事件數(shù)據(jù)庫(Event databases)事件數(shù)據(jù)庫是存放各種中間和最終數(shù) 據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。三、系統(tǒng)缺陷1998年2月，Secure Networks Inc.指出IDS有許多弱點，主要為：IDS對數(shù)據(jù)的檢測；對IDS自身攻擊的防護。由于當(dāng)代網(wǎng)絡(luò)發(fā)展迅速， 網(wǎng)絡(luò)傳輸速率大大加快，這造成了 IDS工作的很大負(fù)擔(dān)，也意味著IDS 對攻擊活動檢測的可靠性不高。而IDS在

5、應(yīng)對對自身的攻擊時，對其 他傳輸?shù)臋z測也會被抑制。同時由于模式識別技術(shù)的不完善，IDS的 高虛警率也是它的一大問題。四、通信協(xié)議IDS系統(tǒng)內(nèi)部各組件之間需要通信，不同廠商的IDS系統(tǒng)之間也 需要通信。因此，有必要定義統(tǒng)一的協(xié)議IETF目前有一個專門的小 組 Intrusion Detection Working Group （IDWG）負(fù)責(zé)定義這種通信格 式，稱作 Intrusion Detection Exchange Format（IDEF），但還沒有統(tǒng)一 的標(biāo)準(zhǔn)。設(shè)計通信協(xié)議時應(yīng)考慮以下問題：系統(tǒng)與控制系統(tǒng)之間傳輸 的信息是非常重要的信息，因此必須要保持?jǐn)?shù)據(jù)的真實性和完整性。 必須有一定

6、的機制進行通信雙方的身份驗證和保密傳輸（同時防止主 動和被動攻擊）；3通信的雙方均有可能因異常情況而導(dǎo)致通信中斷， IDS系統(tǒng)必須有額外措施保證系統(tǒng)正常工作。五、檢測技術(shù)對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測 系統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標(biāo)志 （signature-based），另一種基于異常情況（anomaly-based）。對于基于標(biāo)識的檢測技術(shù)來說，首先要定義違背安全策略的事件的特 征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別這類特征是否在所收 集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如

7、CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義， 也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的 數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種 檢測方式的核心在于如何定義所謂的“正?！鼻闆r。兩種檢測技術(shù)的方法、所得出的結(jié)論有非常大的差異。基于標(biāo)志的檢 測技術(shù)的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準(zhǔn) 確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須 不斷更新。基于異常的檢測技術(shù)則無法準(zhǔn)確判別出攻擊的手法，但它 可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。六、檢測方法異常檢測方法在異常入侵檢測系統(tǒng)中常常采用以下幾種檢測

8、方法：（1）基于貝葉斯推理檢測法：是通過在任何給定的時刻，測量 變量值，推理判斷系統(tǒng)是否發(fā)生入侵事件?；谔卣鬟x擇檢測法：指從一組度量中挑選出能檢測入侵的度量，用它來對入侵行為進行預(yù) 測或分類?；谪惾~斯網(wǎng)絡(luò)檢測法：用圖形方式表示隨機變量之間 的關(guān)系。通過指定的與鄰接節(jié)點相關(guān)一個小的概率集來計算隨機變量 的聯(lián)接概率分布。按給定全部節(jié)點組合，所有根節(jié)點的先驗概率和非 根節(jié)點概率構(gòu)成這個集。貝葉斯網(wǎng)絡(luò)是一個有向圖，弧表示父、子結(jié) 點之間的依賴關(guān)系。當(dāng)隨機變量的值變?yōu)橐阎獣r，就允許將它吸收為 證據(jù)，為其他的剩余隨機變量條件值判斷提供計算框架?；谀Ｊ筋A(yù)測的檢測法：事件序列不是隨機發(fā)生的而是遵循某種可

9、辨 別的模式是基于模式預(yù)測的異常檢測法的假設(shè)條件，其特點是事件序 列及相互聯(lián)系被考慮到了，只關(guān)心少數(shù)相關(guān)安全事件是該檢測法的最 大優(yōu)點。（2）基于統(tǒng)計的異常檢測法：是根據(jù)用戶對象的活動為每個用 戶都建立一個特征輪廓表，通過對當(dāng)前特征與以前已經(jīng)建立的特征進 行比較，來判斷當(dāng)前行為的異常性。用戶特征輪廓表要根據(jù)審計記錄 情況不斷更新，其保護去多衡量指標(biāo)，這些指標(biāo)值要根據(jù)經(jīng)驗值或一 段時間內(nèi)的統(tǒng)計而得到。（3）基于機器學(xué)習(xí)檢測法：是根據(jù)離散數(shù)據(jù)臨時序列學(xué)習(xí)獲得 網(wǎng)絡(luò)、系統(tǒng)和個體的行為特征，并提出了一個實例學(xué)習(xí)法IBL，IBL是 基于相似度，該方法通過新的序列相似度計算將原始數(shù)據(jù)（如離散事 件流和無序

10、的記錄）轉(zhuǎn)化成可度量的空間。然后，應(yīng)用IBL學(xué)習(xí)技術(shù) 和一種新的基于序列的分類方法，發(fā)現(xiàn)異常類型事件，從而檢測入侵 行為。其中，成員分類的概率由閾值的選取來決定。數(shù)據(jù)挖掘檢測法：數(shù)據(jù)挖掘的目的是要從海量的數(shù)據(jù)中提取出有用的 數(shù)據(jù)信息。網(wǎng)絡(luò)中會有大量的審計記錄存在，審計記錄大多都是以文 件形式存放的。如果靠手工方法來發(fā)現(xiàn)記錄中的異?，F(xiàn)象是遠遠不夠 的，所以將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測中，可以從審計數(shù)據(jù)中提取 有用的知識，然后用這些知識區(qū)檢測異常入侵和已知的入侵。采用的 方法有KDD算法，其優(yōu)點是善于處理大量數(shù)據(jù)的能力與數(shù)據(jù)關(guān)聯(lián)分 析的能力，但是實時性較差?；趹?yīng)用模式的異常檢測法：該方法是根據(jù)服

11、務(wù)請求類型、服務(wù)請求 長度、服務(wù)請求包大小分布計算網(wǎng)絡(luò)服務(wù)的異常值。通過實時計算的 異常值和所訓(xùn)練的閾值比較，從而發(fā)現(xiàn)異常行為。（4）基于文本分類的異常檢測法：該方法是將系統(tǒng)產(chǎn)生的進程調(diào) 用集合轉(zhuǎn)換為“文檔”。利用K鄰聚類文本分類算法，計算文檔的相似性。誤用檢測方法誤用入侵檢測系統(tǒng)中常用的檢測方法有:（1）模式匹配法：是常常被用于入侵檢測技術(shù)中。它是通過把 收集到的信息與網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫中的已知信息進行 比較，從而對違背安全策略的行為進行發(fā)現(xiàn)。模式匹配法可以顯著地 減少系統(tǒng)負(fù)擔(dān)，有較高的檢測率和準(zhǔn)確率。（2）專家系統(tǒng)法：這個方法的思想是把安全專家的知識表示成 規(guī)則知識庫，再用推理算法檢測入侵。