入侵检测技术的发展及应用.pdfVIP

入侵检测系统的技术发展及应用前景

摘要

随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说，单纯

的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题；不能阻止网

络内部攻击，而调查发现，50％以上的攻击都来自内部；不能提供实时入侵检

测能力；对于病毒等束手无策等。因此非常多组织致力于提出更多更强大的主动

策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测。入侵

检测系统（IDS）能弥补防火墙的不足，为网络安全提供实时的入侵检测及采取

相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等。这引发了人

们对入侵检测技术研究和研发的热情。所以以下提出了入侵检测系统（ＩＤＳ）

目前存在的主要问题，并从几个方面详细介绍了ＩＤＳ的发展及应用前景

关键词：侵检测系统监测准确率分布式攻击拒绝服务攻击标准化测试评

估

入侵检测系统（ＩＤＳ：ＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎＳｙｓｔｅ

ｍ）作为一种重要的安全部件，是网络与信息安全防护体系的重要组成部分，是

传统计算机安全机制的重要补充。自１９８０年被提出以来，ＩＤＳ在２０多年

间得到了较快的发展。特别是近几年，由于非法入侵不断增多，网络与信息安全

问题变得越来越突出。ＩＤＳ作为一种主动防御技术，越来越受到人们的关注。

IDS是一种网络安全系统，当有敌人或者恶意用户试图通过Internet进入网络

甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行

响应。

在本质上，入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网

段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上被动地、无

声息地收集它所关心的报文即可。入侵检测/响应流程如下图所示。

图1:入侵检测/响应流程图

目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征

库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测，

而完整性分析则用于事后分析。

ＩＤＳ首先通过在计算机网络或系统中的若干关键点收集信息并对收集到

的信息进行分析，判断网络或系统中是否有违反安全策略的行为和被攻击的迹

象，然后根据分析结果采取决策并作出适当的响应。具体说来，ＩＤＳ目前存在

的主要问题有：

·ＩＤＳ产品的检测准确率比较低，漏报和误报比较多；

·对分布式攻击和拒绝服务攻击的检测和防范能力较弱；

·尚不能与其他安全部件很好地互动；

·缺乏国际、国内标准；

·对ＩＤＳ产品的测试评估缺乏统一的标准和平台。

入侵检测技术还不够成熟和完善，有很大的研究、发展空间，而现存的问题

就是今后入侵检测技术的主要研究方向。以下从几个方面详细介绍入侵检测技术

的主要发展趋势。

改进检测方法提高检测准确率

几年前，当ＩＤＳ刚刚被作为一种重要的安全部件在国内被提出并使用时，

人们对它的期望值很高。首先从理论上讲，ＩＤＳ可以主动地检测到对系统或网

络的入侵，并对这些入侵进行记录和响应，这是防火墙、身份识别和认证、加密

解密等其他许多安全策略所不能做到的。因此，引入ＩＤＳ可以弥补其他安全策

略的不足，使得整个安全防护体系更加完善。其次，由于网络规模不断扩大，系

统遭受的入侵和攻击越来越多，人们迫切需要一种可以有效防范和应对这些入侵

的安全策略和产品。在这种形势下，国内许多安全产品方面的厂商纷纷开始开发

自己的ＩＤＳ产品，许多研究机构也开始了对ＩＤＳ的研究，ＩＤＳ成为网络与

信息安全领域的一个研究热点。

近来，ＩＤＳ虽然得到了比较大的发展，但总的情况并不让人满意。最大的

问题是现在的入侵检测产品检测准确率比较低，误报和漏报的情况比较多。本来

ＩＤＳ是要减轻管理员的负担，结果出现的大量误报使得管理员疲于应付，最后

不得已反而想放弃ＩＤＳ。

出现这种情况的主要原因在于对ＩＤＳ的研究还不够深入，技术上不够成

熟。现在的ＩＤＳ产品，主要可以分为基于主机的ＩＤＳ和基于网络的ＩＤＳ两

种，使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进

行建模，这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方

法主要是模式匹配，即将每一个已知的攻击事件定义为一个独立的特征，这样对

入侵行为的检测就成为对特征的匹配搜索，如果和已知的入侵特征匹配，就认为

是攻击。异常检测是对正