入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)安全設(shè)備01發(fā)展歷程系統(tǒng)組成簡(jiǎn)介系統(tǒng)缺陷目錄03020405安全策略檢測(cè)技術(shù)通信協(xié)議檢測(cè)方法目錄070608基本信息入侵檢測(cè)系統(tǒng)（intrusiondetectionsystem，簡(jiǎn)稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。發(fā)展歷程發(fā)展歷程IDS最早出現(xiàn)在1980年4月。1980年代中期，IDS逐漸發(fā)展成為入侵檢測(cè)專家系統(tǒng)（IDES）。1990年，IDS分化為基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。后又出現(xiàn)分布式IDS。IDS發(fā)展迅速，已有人宣稱IDS可以完全取代防火墻。簡(jiǎn)介簡(jiǎn)介IDS是計(jì)算機(jī)的監(jiān)視系統(tǒng)，它通過(guò)實(shí)時(shí)監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。

以信息來(lái)源的不同和檢測(cè)方法的差異分為幾類：根據(jù)信息來(lái)源可分為基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS，根據(jù)檢測(cè)方法又可分為異常入侵檢測(cè)和誤用入侵檢測(cè)。不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)備，沒(méi)有跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所**流量都必須流經(jīng)的鏈路上。在這里，"所**流量"指的是來(lái)自高危網(wǎng)絡(luò)區(qū)域的訪問(wèn)流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護(hù)資源的位置。這些位置通常是：服務(wù)器區(qū)域的交換機(jī)上；Internet接入路由器之后的第一臺(tái)交換機(jī)上；重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。由于入侵檢測(cè)系統(tǒng)的市場(chǎng)在飛速發(fā)展，許多公司投入到這一領(lǐng)域上來(lái)。Venustech(啟明星辰）、InternetSecuritySystem（ISS）、思科、賽門(mén)鐵克等公司都推出了自己的產(chǎn)品。系統(tǒng)組成系統(tǒng)組成IETF將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器（Eventgenerators），它的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器（Eventanalyzers），它經(jīng)過(guò)分析得到數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元（Responseunits），它是對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)（Eventdatabases）事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。

系統(tǒng)缺陷系統(tǒng)缺陷1998年2月，SecureNetworksInc.指出IDS有許多弱點(diǎn)，主要為：IDS對(duì)數(shù)據(jù)的檢測(cè)；對(duì)IDS自身攻擊的防護(hù)。由于當(dāng)代網(wǎng)絡(luò)發(fā)展迅速，網(wǎng)絡(luò)傳輸速率大大加快，這造成了IDS工作的很大負(fù)擔(dān)，也意味著IDS對(duì)攻擊活動(dòng)檢測(cè)的可靠性不高。而IDS在應(yīng)對(duì)自身的攻擊時(shí)，對(duì)其他傳輸?shù)臋z測(cè)也會(huì)被抑制。同時(shí)由于模式識(shí)別技術(shù)的不完善，IDS的高虛警率也是它的一大問(wèn)題。安全策略安全策略入侵檢測(cè)系統(tǒng)根據(jù)入侵檢測(cè)的行為分為兩種模式：異常檢測(cè)和誤用檢測(cè)。前者先要建立一個(gè)系統(tǒng)訪問(wèn)正常行為的模型，凡是訪問(wèn)者不符合這個(gè)模型的行為將被斷定為入侵；后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個(gè)模型，凡是訪問(wèn)者符合這個(gè)模型的行為將被斷定為入侵。這兩種模式的安全策略是完全不同的，而且，它們各有長(zhǎng)處和短處：異常檢測(cè)的漏報(bào)率很低，但是不符合正常行為模式的行為并不見(jiàn)得就是惡意攻擊，因此這種策略誤報(bào)率較高；誤用檢測(cè)由于直接匹配比對(duì)異常的不可接受的行為模式，因此誤報(bào)率較低。但惡意行為千變?nèi)f化，可能沒(méi)有被收集在行為模式庫(kù)中，因此漏報(bào)率就很高。這就要求用戶必須根據(jù)本系統(tǒng)的特點(diǎn)和安全要求來(lái)制定策略，選擇行為檢測(cè)模式。用戶都采取兩種模式相結(jié)合的策略。

通信協(xié)議通信協(xié)議IDS系統(tǒng)內(nèi)部各組件之間需要通信，不同廠商的IDS系統(tǒng)之間也需要通信。因此，有必要定義統(tǒng)一的協(xié)議。IETF有一個(gè)專門(mén)的小組IntrusionDetectionWorkingGroup（IDWG）負(fù)責(zé)定義這種通信格式，稱作IntrusionDetectionExchangeFormat（IDEF），但還沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。設(shè)計(jì)通信協(xié)議時(shí)應(yīng)考慮以下問(wèn)題：系統(tǒng)與控制系統(tǒng)之間傳輸?shù)男畔⑹欠浅Ｖ匾男畔?，因此必須要保持?jǐn)?shù)據(jù)的真實(shí)性和完整性。必須有一定的機(jī)制進(jìn)行通信雙方的身份驗(yàn)證和保密傳輸（同時(shí)防止主動(dòng)和被動(dòng)攻擊）；

通信的雙方均有可能因異常情況而導(dǎo)致通信中斷，IDS系統(tǒng)必須有額外措施保證系統(tǒng)正常工作。檢測(cè)技術(shù)檢測(cè)技術(shù)對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上，入侵檢測(cè)分為兩類：一種基于標(biāo)志（signature-based），另一種基于異常情況（anomaly-based）。

對(duì)于基于標(biāo)志的檢測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測(cè)主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。而基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類數(shù)據(jù)可以人為定義，也可以通過(guò)觀察系統(tǒng)、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何定義所謂的“正?！鼻闆r。兩種檢測(cè)技術(shù)的方法、所得出的結(jié)論有非常大的差異?；跇?biāo)志的檢測(cè)技術(shù)的核心是維護(hù)一個(gè)知識(shí)庫(kù)。對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且知識(shí)庫(kù)必須不斷更新。基于異常的檢測(cè)技術(shù)則無(wú)法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺(jué)的攻擊。檢測(cè)方法誤用檢測(cè)方法異常檢測(cè)方法檢測(cè)方法異常檢測(cè)方法在異常入侵檢測(cè)系統(tǒng)中常常采用以下幾種檢測(cè)方法：

基于貝葉斯推理檢測(cè)法：是通過(guò)在任何給定的時(shí)刻，測(cè)量變量值，推理判斷系統(tǒng)是否發(fā)生入侵事件?；谔卣鬟x擇檢測(cè)法：指從一組度量中挑選出能檢測(cè)入侵的度量，用它來(lái)對(duì)入侵行為進(jìn)行預(yù)測(cè)或分類?；谪惾~斯網(wǎng)絡(luò)檢測(cè)法：用圖形方式表示隨機(jī)變量之間的關(guān)系。通過(guò)指定的與鄰接節(jié)點(diǎn)相關(guān)一個(gè)小的概率集來(lái)計(jì)算隨機(jī)變量的聯(lián)接概率分布。按給定全部節(jié)點(diǎn)組合，所有根節(jié)點(diǎn)的先驗(yàn)概率和非根節(jié)點(diǎn)概率構(gòu)成這個(gè)集。貝葉斯網(wǎng)絡(luò)是一個(gè)有向圖，弧表示父、子結(jié)點(diǎn)之間的依賴關(guān)系。當(dāng)隨機(jī)變量的值變?yōu)橐阎獣r(shí)，就允許將它吸收為證據(jù)，為其他的剩余隨機(jī)變量條件值判斷提供計(jì)算框架?；谀Ｊ筋A(yù)測(cè)的檢測(cè)法：事件序列不是隨機(jī)發(fā)生的而是遵循某種可辨別的模式是基于模式預(yù)測(cè)的異常檢測(cè)法的假設(shè)條件，其特點(diǎn)是事件序列及相互聯(lián)系被考慮到了，只關(guān)心少數(shù)相關(guān)安全事件是該檢測(cè)法的最大優(yōu)點(diǎn)?；诮y(tǒng)計(jì)的異常檢測(cè)法：是根據(jù)用戶對(duì)象的活動(dòng)為每個(gè)用戶都建立一個(gè)特征輪廓表，通過(guò)對(duì)當(dāng)前特征與以前已經(jīng)建立的特征進(jìn)行比較，來(lái)判斷當(dāng)前行為的異常性。用戶特征輪廓表要根據(jù)審計(jì)記錄情況不斷更新，其保護(hù)去多衡量指標(biāo)，這些指標(biāo)值要根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)而得到。誤用檢測(cè)方法誤用入侵檢測(cè)系統(tǒng)中常用的檢測(cè)方法有：模式匹配法：是常常被用于入侵檢測(cè)技術(shù)中。它是通過(guò)把收集到的信息與網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)中的已知信息進(jìn)行比較，從而對(duì)違背安全策略的行為進(jìn)行發(fā)現(xiàn)。模式匹配法可以顯著地減少系統(tǒng)負(fù)擔(dān)，有較高的檢測(cè)率和準(zhǔn)確率。專家系統(tǒng)法：這個(gè)方法的思想是把安全專家的知識(shí)表示成規(guī)則知識(shí)庫(kù)，再用推理算法檢測(cè)入侵。主要是針對(duì)有特征的