浅析入侵检测系统原理与现状.docVIP

浅析入侵检测系统原理与现状 　　入侵检测系统(IDS: Intrusion Detection System)是一个动态的防御系统，可以识别防火墙不能识别的攻击。入侵检测是指对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程。它不仅可以检测来自外部的入侵行为，同时也可以监控内部用户的非授权行为。 　　入侵检测系统是一项新的技术，它的出现曾引起巨大的轰动，目前国内外的许多实验室对此项技术进行研究并有数种成熟的商业产品。入侵检测的最大优点是可以向系统管理员提供实时报告，告诉管理员有黑客入侵。 　　 　　一、IDS 的起源 　　 　　入侵检测(Intrusion Detection)从最初实验室里的研究课题到目前的商业产品，已经有了二十多年的发展历史，可将它分为两个阶段： 　　1．安全审计(Security Audit)阶段 　　审计定义为系统中发生事件的记录和分析处理过程。与系统日志(log)相比，审计更关注安全问题。根据美国国防部(DOD)“可信计算机系统评估标准”(TCSEC)桔皮书规定，审计机制(Audit Mechanism)应作为C2 或C2 以上安全级别的计算机系统必须具备的安全机制。其功能包括： 　　1）能够记录系统被访问的过程以及系统保护机制的运行； 　　2）能够发现试图绕过保护机制的行为； 　　3）能够及时发现用户身份的跃迁； 　　4）能够报告并阻碍绕过保护机制的行为并记录相关过程，为灾难恢复提供信息。 　　2．IDS 的诞生阶段 　　在ID的发展史上有几个里程碑 ：1980 年，Anderson 在报告“Computer Security Threat Monitoring and Surveillance” 中提出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息，此文被认为是有关ID 的最早论述；1984-1986年，Dorothy Denning 　　和Peter Neumann 联合开发了一个实时入侵检测系统IDES(Intrusion Detection Expert System)，IDES 采用异常检测和专家系统的混合结构，Denning 1986年的论文“An Intrusion Detection Model”亦被公认为是ID领域的另一篇开山之作；受 Anderson 和IDES 的影响，在20世纪80年代出现了大量的ID原型系统，如：Audit Analysis Project、Discovery、Haystack、MIDAS、 NADIR、NSM、Wisdom and Sense Etc，商业化的IDS 直到20 世纪80 年代后期才出现，比如目前较有影响的ISS 公司是在1994 年成立的。 　　 　　二、IDS 的分析 　　 　　1．IDS 的定义及主要功能 　　入侵检测就是检测任何企图损害系统保密性、完整性或可用性的行为的一种网络安全技术。它通过对运行系统的状态和活动的监视，找出异常或误用的行为，根据所定义的安全策略，分析出非授权的网络访问和恶意的行为，迅速发现入侵行为和企图，为入侵防范提供有效的手段。 　　2．IDS 的分类和比较 　　根据检测的对象，IDS 通常分为基于主机的IDS(HIDS) 和基于网络的IDS(NIDS)。根据检测所用的分析方法，可以分为误用检测型(Misuse Detection)和异常检测型(Anomaly Detection)。 　　1）基于主机的入侵检测系统(HIDS) 　　基于主机的入侵检测，是根据主机系统的系统日志和审计记录来进行检测分析，通过对系统日志和审计记录不间断的监视和分析来发现攻击。它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击，反应的时间依赖于定期检测的时间间隔，实时性没有NIDS 好。 　　2）基于网络的入侵检测系统(NIDS) 　　基于网络的入侵检测系统是使用原始网络包作为数据源。NIDS 通常使用报文的模式匹配或模式匹配序列来定义规则，检测时将监听到的报文与规则进行比较，根据比较的结果来判断是否有非正常的网络行为。 　　3）误用检测型(Misuse Detection ) 　　误用检测型主要通过攻击模式和攻击签名的形式来表达入侵行为，通过对已知系统缺陷漏洞和已知的入侵攻击手段来判断系统是否有入侵活动。其根据静态的已知的签名集合来拦截网络中的数据流，如果发现某个数据包的特性与某个签名匹配，那么就确定发现了入侵行为。 　　4）异常检测型(Anomaly Detection) 　　异常检测技术是利用统计的方法来检测系统的异常行为，它比误用检测采用了更多的统计分析技术。其需要建立目标系统及其用户的正常活动模型，然后根据此模型对系统和用户的实际活动