网络入侵检测系统浅述.docVIP

网络入侵检测系统浅述 　　【摘要】近年来计算机技术水平飞速发展，网络信息安全越来越受到重视。网络技术飞速发展的同时，各种意图的网络攻击者也越来越多，网络入侵和攻击的现象仍然是屡见不鲜，而网络攻击工具与手法日趋复杂多样。传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更强有力和更完善的入侵检测系统。 　　【关键词】入侵检测；检测系统；HIDS；NIDS；DIDS 　　安全专家认为：“入侵是指未经授权蓄意尝试访问信息、篡改信息、使系统不可用的行为。”对目标的操作是否超出了目标的安全策略范围是判断与目标相关的操作是入侵的依据。而入侵检测往往是通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统（简称IDS）。 　　一、入侵检测系统的模型 　　早期的入侵检测模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异，发现系统的入侵行为。 　　随着入侵行为的种类在不断增多，许多攻击都是经过长时期准备的。面对这种情况，入侵检测系统的不同功能组件之间、不同入侵检测系统之间共享这类攻击信息是十分重要的。于是，一种通用的入侵检测框架模型（简称CIDF）就被提出来了。 　　入侵检测框架模型将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统曰志等其他途径得到的信息。事件产生器从整个计算环境中获得事件，并向系统的其他部分提供事件。事件分析器分析所得到的数据，并产生分析结果。响应单元对分析结果做出反应，如切断网络连接，改变文件属性，简单报警等。事件数据库存放各种中间和最终数据，数据存放的形式既可以是复杂的数据库，也可以是简单的文本文件。入侵检测框架模型模型具有很强的扩展性，目前已经得到广泛认同。 　　二、入侵检测系统的作用 　　入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或违背安全策略的行为，其作用表现为以下几个方面： 　　（1）发现受保护系统中的入侵行为或异常行为。 　　（2）检验安全保护措施的有效性。 　　（3）分析受保护系统所面临的威胁。 　　（4）有利于阻止安全事件扩大，及时报警触发网络安全应急响应。 　　（5）可以为网络安全策略的制定提供重要指导。 　　（6）报警信息可用作网络犯罪取证。 　　三、入侵检测系统的组成 　　一个入侵检测系统主要由以下功能模块组成：数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。数据采集模块的功能是入侵分析引擎模块提供分析用的数据，包括操作系统的审计日志、应用程序的运行日志和网络数据包等。入侵分析引擎模块的功能是依据辅助模块提供的信息（如攻击模式），根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生入侵报警。该模块是入侵检测系统的核心模块。管理配置模块的功能是为其他模块提供配置服务，是入侵检测系统中的模块与用户的接口。应急处理模块的功能是发生入侵后，提供紧急响应服务，例如关闭网络服务/中断网络连接/启动备份系统等。辅助模块的功能是协助入侵分析引擎模块工作，为它提供相应的信息，例如攻击特征库、漏洞信息等。 　　四、入侵检测系统的分类 　　通用的入侵检测系统结构是一个广泛的概念，可以是工作站、网段、服务器、防火墙、Web服务器、企业网等。虽然每一种入侵检测系统在概念上是一致的，但在具体实现时，它在采用的分析数据方法、采集数据以及保护对象等关键方面还是有所区别。根据入侵检测系统的检测数据来源和它的安全作用范围，可将入侵检测系统分为三大类： 　　1.基于主机的入侵检测系统（简称 .HIDS） 　　即通过分析主机的信息来检测入侵行为。HIDS收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，然后分析这些信息是否包含攻击特征或异常情况，并依此来判断该主机是否受到入侵。由于入侵行为会引起主机系统的变化，因此在实际的HIDS产品中，CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。 　　HIDS一般适合检测到以下入侵行为： 　　（1）针对主机的端口或漏洞扫描； 　　（2）重复失败的登入尝试； 　　（3）远程口令破解； 　　（4）主机系统的用户帐号添加； 　　（5）服务启动或停止； 　　（6）系统重启动； 　　（7）文件的完整性或许可权变化； 　　（8）注册表修改； 　　（9）要系统启动文件变更； 　　（10）