入侵检测

入侵检测1入侵检测概述2入侵检测系统分类3入侵检测系统的分析方式4入侵检测系统的设置5入侵检测系统的部署6入侵检测系统的有点与局限性入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS（IntrusionDetectionSystem），它使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。1入侵检测系统概述1.1入侵检测的概念CIDF(CommonIntrusionDetectionFramework，网址http：//）阐述了一个入侵检测系统的通用模型。1.2入侵检测系统的基本结构图1CIDF模型根据入侵检测系统的检测对象和工作方式的不同，入侵检测系统主要分为两大类：基于主机的入侵检测系统和基于网络的入侵检测系统。2入侵检测系统概分类基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。按照检测对象的不同，基于主机的入侵检测系统可以分为两类：网络连接检测和主机文件检测。2.1基于主机的入侵检测系统1.网络连接检测网络连接检测是对试图进入该主机的数据流进行检测，分析确定是否有入侵行为，避免或减少这些数据流进入主机系统后造成损害。2.主机文件检测通常入侵行为会在主机的各种相关文件中留下痕迹，主机文件检测能够帮助系统管理员发现入侵行为或入侵企图，及时采取补救措施。主机文件检测的检测对象主要包括以下几种：（1）系统日志（2）文件系统（3）进程记录（4）系统运行控制基于主机的入侵检测系统具有以下优点：检测准确度较高；可以检测到没有明显行为特征的入侵；能够对不同的操作系统进行有针对性的检测；成本较低；不会因网络流量影响性能；适于加密和交换环境。基于主机的入侵检测系统具有以下不足：实时性较差；无法检测数据包的全部；检测效果取决于日志系统；占用主机资源；隐蔽性较差；入侵检测系统本身的文件是系统安全的薄弱点。基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。2.2基于网络的入侵检测系统基于网络的入侵检测系统的发展阶段：1.包嗅探器和网络监视器（1）对包进行统计；（2）详细地检查包；2.基于网络的入侵检测（1）检测端口扫描；（2）检测常见的攻击行为；（3）识别各种各样可能的IP欺骗攻击；（4）当检测到一个不希望的活动时，基于网络的入侵检测系统将采取行动；基于网络的入侵检测系统有以下优点：可以提供实时的网络行为检测；可以同时保护多台网络主机；具有良好的隐蔽性；有效保护入侵证据；不影响被保护主机的性能。基于网络的入侵检测系统有以下不足：防入侵欺骗的能力通常较差；在交换式网络环境中难以配置；检测性能受硬件条件限制；不能处理加密后的数据。入侵防护系统（IntrusionProtectionSystem,IPS）是网络入侵检测系统的一种特殊形式。它是网络高层应用防护设备，是安全防护产品的进一步拓展。2.3入侵防护系统基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足，这两种方式各自都能发现对方无法检测到的一些网络入侵行为，如果同时使用互相弥补不足，会起到良好的检测效果。2.4两种入侵检测系统的结合运用目前的入侵检测系统一般采用集中式模式，在被保护网络的各个网段中分别放置检测器进行数据包搜集和分析，各个检测器将检测信息传送给中央控制台进行统一处理，中央控制台还会向各个检测器发送命令。这种模式的缺点是难以及时对在复杂网络上发起的分布式攻击进行数据分析以至于无法完成检测任务，入侵检测系统本身所在的主机还可能面临因为负荷过重而崩溃的危险。此外入侵检测系统一般采用单一的检测分析方法，随着网络攻击方法的日趋复杂化，单一的基于异常检测或者误用检测的分析方法所获得的效果很难令人满意。2.5分布式入侵检测系统此外，在大型网络中，网络的不同部分可能分别采用不同的入侵检测系统，各个入侵检测系统之间通常不能互相协作，不仅不利于检测工作，甚至还会产生新的安全漏洞。对于上述问题，采用分布式结构的入侵检测模式是解决方案之一，也是目前入侵检测技术的一个研究方向。这种模式的系统采用分布式智能代理的结构，由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处理本地事件，中央代理负责统一调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。入侵检测系统的检测分析技术主要分为两大类：异常检测和误用检测。3入侵检测系统的分析方式1.异常检测技术的基本原理异常检测技术（AnomalyDetection）也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测技术首先假设网络攻击行为是不常见的或是异常的，区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏离了正常的行为轨迹，就可以被检测出来。3.1异常检测技术——基于行为的检测2.异常检测技术的评价异常检测技术有以下优点：能够检测出新的网络入侵方法的攻击；较少依赖于特定的主机操作系统；对于内部合法用户的越权违法行为的检测能力较强。异常检测技术有以下不足：误报率高；行为模型建立困难；难以对入侵行为进行分类和命名。3.异常检测技术分类异常检测技术的核心问题是建立行为模型，目前主要有以下几种方法。（1）统计分析异常检测（2）贝叶斯推理异常检测（3）神经网络异常检测（4）模式预测异常检测（5）数据采掘异常检测（6）机器学习异常检测1.误用检测技术入侵检测系统的基本原理误用检测技术（MisuseDetection）也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。3.2误用检测技术——基于知识的检测2.误用检测技术的评价误用检测技术有以下优点：检测准确度高；技术相对成熟；便于进行系统防护。误用检测技术有以下缺点：不能检测出新的入侵行为；完全依赖于入侵特征的有效性；维护特征库的工作量巨大；难以检测来自内部用户的攻击。3.误用检测技术的分类误用检测技术主要可分为以下几种。（1）专家系统误用检测（2）特征分析误用检测（3）模型推理误用检测（4）条件概率误用检测（5）键盘监控误用检测无论哪种入侵检测技术都需要搜集总结有关网络入侵行为的各种知识，或者系统及其用户的各种行为的知识。基于异常检测技术的入侵检测系统如果想检测到所有的网络入侵行为，必须掌握被保护系统已知行为和预期行为的所有信息，这一点实际上无法做到，因此入侵检测系统必须不断地学习并更新已有的行为轮廓。3.3异常检测技术和误用检测技术的比较入侵检测系统的研究方向之一是将各个领域的研究成果应用于入侵检测中，以形成更高效、更为智能化的检测算法，提高入侵检测的应用价值。目前研究的重点有遗传算法和免疫技术等。3.4其他入侵检测技术的研究网络安全需要各个安全设备的协同工作和正确的设置，因此，入侵检测系统在设置时需要对整个网络有一个全面的了解，保证自身环境的正确性和安全性。网络安全的实际需求对于入侵检测的工作方式和检测位置都有十分重要的影响，只有在了解和掌握这些实际需求的情况下，才能正确地设计入侵检测系统的网络拓扑，并对入侵检测系统进行正确的配置。4入侵检测系统的设置入侵检测系统的设置主要分为以下几个基本的步骤：①确定入侵检测需求。②设计入侵检测系统在网络中的拓扑位置。③配置入侵检测系统。④入侵检测系统磨合。⑤入侵检测系统的使用及自调节。这些步骤的操作流程如图2所示。图2入侵检测系统设置流程图入侵检测系统有不同的部署方式和特点。根据所掌握的网络检测和安全需求，选取各种类型的入侵检测系统。将多种入侵检测系统按照预定的计划进行部署，确保每个入侵检测系统都能够在相应部署点上发挥作用，共同防护，保障网络的安全运行。部署工作包括对网络入侵检测和主机入侵检测等类型入侵检测系统的部署规划。同时，根据主动防御网络的需求，还需要对入侵检测系统的报警方式进行部署和规划。5入侵检测系统的部署基于网络的入侵检测系统可以在网络的多个位置进行部署。这里的部署主要指对网络入侵检测器的部署。根据检测器部署位置的不同，入侵检测系统具有不同的工作特点。用户需要根据自己的网络环境以及安全需求进行网络部署，以达到预定的网络安全需求。总体来说，入侵检测的部署点可以划分为4个位置：①DMZ区、②外网入口、③内网主干、④关键子网,如图3所示。5.1基于网络入侵检测系统的部署图3入侵检测系统部署位置图在基于网络的入侵检测系统部署并配置完成后，基于主机的入侵检测系统的部署可以给系统提供高级别的保护。但是，将基于主机的入侵检测系统安装在企业中的每一个主机上是一种相当大的时间和资金的浪费，同时每一台主机都需要根据自身的情况进行特别的安装和设置，相关的日志和升级维护是巨大的。5.2基于主机入侵检测系统的部署入侵检测系统在检测到入侵行为的时候，需要报警并进行相应的反应。如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。5.3报警策略入侵检测系统是企业安全防御系统中的重要部件，但入侵检测系统并不是万能的。入侵检测对于部分事件可以处理得很好，但对于另一些情况则无能为力。只有充分了解入侵检测系统的优点和局限性，才能对入侵检测系统有一个准确的定位，以便将入侵检测系统有效地应用在安全防御系统中，最大限度地发挥它的安全防御功能。6入侵检测系统的优点与局限性入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件，有着很多方面的安全优势：可以检测和分析系统事件以及用户的行为；可以测试系统设置的安全状态；以系统的安全状态为基础，跟踪任何对系统安全的修改操作；通过模式识别等技术从通信行为中检测出已知的攻击行为；6.1入侵检测系统的优点可以对网络通信行为进行统计，并进行检测分析；管理操作系统认证和日志机制并对产生的数据进行分析处理；在检测到攻击的时候，通过适当的方式进行适当的报警处理；通过对分析引擎的配置对网络的安全进行评估和监督；允许非安全领域的管理人员对重要的安全事件进行有效的处理。入侵检测系统只能对网络行为进行安全审计，从入侵检测系统的定位可以看出，入侵检测系统存在以下缺陷:（1）入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。（2）对于高负载的网络或主机，很难实现对网络入侵的实时检测、报警和迅速地进行攻击响应。（3）基于知识的入侵检测系统很难检测到未知的攻击行为。6.2入侵检测系统的局限性（4）入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响，同样也会成为攻击者的目标。（5）入侵检测系统无法单独防止攻击行为的渗透，只能调整相关网络设备的参数或人为地进行处理。（6）网络入侵检测系统在纯交换环境下无法正常工作，只有对交换环境进行一定的处理，利用镜像等技术，网络入侵检测系统才能对镜像的数据进行分析处理。（7）入侵检测系统主要是对网络行为进行分析检测，不能修正信息资源中存在的安全问题。入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。7本章小结