系统入侵检测分类和技术分析.docVIP

系统入侵检测分类和技术分析 　　摘要：入侵检测是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的对象。为完成入侵检测任务而设计的计算机系统称为入侵检测系统。? 　　关键词：计算机网络；计算机系统；计算机入侵检测；技术分析 　　 　　中图分类号：G633.67 文献标识码：E 文章编号：1672-1578（2012）04-0254-02 　　 　　1.入侵检测系统的分类? 　　1.1 集中式IDS和分布式IDS。IDS按照数据处理的方式不同分为集中式IDS和分布式IDS。分布式IDS的数据采集和分析在多个主机上完成，而集中式IDS的数据采集可以是分布式的，但数据处理是在一台主机上进行的。集中式IDS存在以下问题：? 　　（1）IDS所在的计算机很可能是攻击的目标，如果入侵者能使这台计算机瘫痪或者是运行的非常缓慢，那么整个网络就会失去保护。? 　　 （2）可伸缩性有限。由于一台计算机的处理能力有限，一个IDS要负责整个网络的安全，网络不能过大，否则IDS来不及处理。如果采用分布式数据采集还会造成更大的网络负担。? 　　 （3）重新设置IDS或增加新的功能比较困难。重新设置IDS通常要修改配置文件，在数据表中增加一项内容或或添加一个新的模块，这常常要求IDS从新启动才能生效。? 　　 分布式IDS的结构使它具有更好的伸缩性和扩展性，分布在不同计算机上的IDS模块相互独立且相互通信，其中一部分出现故障不会造成所有的模块瘫痪。分布式IDS运行数据分析部件场面数量与被监视的主机数量成比例。随着网络结构的复杂性增加，网络资源一般都是分布的，而入侵活动也逐渐具有协作性，因此集中式IDS就越暴露出其局限性。目前对IDS的研究取向于设计和建立分布式的IDS，有多个检测实体监控不同的主机和网络部分，各实体间相互协作完成检测任务。? 　　1.2 基于网络和基于主机的IDS。入侵检测系统按照数据采集的方式不同可以分为基于网络IDS和基于主机的IDS。基于网络IDS的数据源通常是侦听网络上的数据包，而基于主机的IDS的数据源通常是系统日志和系统调用。? 　　现有的IDS发现的入侵中大部分是在主机上发生的，执行??个命令向一个服务提供不合适的数据。虽然攻击可能是在网络中进行的，但其中大部分也能被基于主机的数据所发现。有一种情况使基于网络的数据采集优于基于主机的数据采集，即对网络的攻击不会有任何的主机响应。即使在这种情况下，在主机的底层网络协议中仍然能发现攻击。但一般认为基于主机的数据采集优于基于网络的数据采集。? 　　1.3 主机型入侵检测系统的数据采集可以分为直接监视和间接监视。直接监视获取的数据是从产生数据的对象那里获得。间接监视获取的数据通常来自于日志文件。在实现IDS的时候，我们认为直接监视优于间接监视，理由是：? 　　（1）日志文件作为IDS的数据源时可能已被入侵者改过，? 　　（2）有些事件没有记录在日志文件中，? 　　（3）由于日志文件在产生的时候并不知道IDS会使用它，所以容量通常很大，其中很多是IDS不关心的，如果全部由IDS处理将会降低效率。? 　　（4）间接监视所用的数据源的产生和IDS访问这些数据之间存在一个延迟，而直接监视时IDS能立即对收到的数据作出反应。? 　　2.入侵检测技术分析? 　　2.1 信息收集。入侵检测的第一步是信息收集。内容包括：系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个原来的信息有可能看不出疑点，但从多个原来的信息的不一致性确实可疑行为或入侵的最好标识。? 　　入侵检测很大程度上依赖于收集的信息的可靠性和正确性，检测利用的信息一般来自以下四个方面：? 　　（1）系统和网络日志文件。黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现入侵企图，并很快地启动相应的应急响应程序。? 　　（2）目录和文件中的不期望的改变。网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件的不期望的改变，特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。? 　　 (3)程序执行中的不期望行为。网络系统上的程序执行一般包