入侵檢測技術

入侵檢測系統（IDS）可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用户的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網絡中違反安全策略行為的技術。

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（IntrusionDetectionSystem，簡稱IDS）。

方法有很多，如基於專家系統入侵檢測方法、基於神經網絡的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。

1.監視、分析用户及系統活動；

2.系統構造和弱點的審計；

3.識別反映已知進攻的活動模式並向相關人士報警；

4.異常行為模式的統計分析；

5.評估重要系統和數據文件的完整性；

6.操作系統的審計跟蹤管理，並識別用户違反安全策略的行為。

入侵檢測系統的典型代表是ISS公司（國際互聯網安全系統公司）的RealSecure。它是計算機網絡上自動實時的入侵檢測和響應系統。它無妨礙地監控網絡傳輸並自動檢測和響應可疑的行為，在系統受到危害之前截取和響應安全漏洞和內部誤用，從而最大程度地為企業網絡提供安全。

1. 現有的入侵檢測系統檢測速度遠小於網絡傳輸速度, 導致誤報和漏報

2. 入侵檢測產品和其它網絡安全產品結合問題, 即期間的信息交換,共同協作發現攻擊並阻擊攻擊

3. 基於網絡的入侵檢測系統對加密的數據流及交換網絡下的數據流不能進行檢測, 並且其本身構建易受攻擊

4. 入侵檢測系統體系結構問題

對分析技術加以改進：採用當前的分析技術和模型，會產生大量的誤報和漏報，難以確定真正的入侵行為。採用協議分析和行為分析等新的分析技術後，可極大地提高檢測效率和準確性，從而對真正的攻擊做出反應。協議分析是目前最先進的檢測技術，通過對數據包進行結構化協議分析來識別入侵企圖和行為，這種技術比模式匹配檢測效率更高，並能對一些未知的攻擊特徵進行識別，具有一定的免疫功能；行為分析技術不僅簡單分析單次攻擊事件，還根據前後發生的事件確認是否確有攻擊發生、攻擊行為是否生效，是入侵檢測技術發展的趨勢。

增進對大流量網絡的處理能力：隨着網絡流量的不斷增長，對獲得的數據進行實時分析的難度加大，這導致對所在入侵檢測系統的要求越來越高。入侵檢測產品能否高效處理網絡中的數據是衡量入侵檢測產品的重要依據。

向高度可集成性發展：集成網絡監控和網絡管理的相關功能。入侵檢測可以檢測網絡中的數據包，當發現某台設備出現問題時，可立即對該設備進行相應的管理。未來的入侵檢測系統將會結合其它網絡管理軟件，形成入侵檢測、網絡管理、網絡監控三位一體的工具。

1. 基於agent(注:代理服務)的分佈協作式入侵檢測與通用入侵檢測結合

2. 入侵檢測標準的研究, 目前缺乏統一標準

3. 寬帶高速網絡實時入侵檢測技術

4. 智能入侵檢測

5. 入侵檢測的測度

1980年JamesP.Anderson在給一個保密客户寫的一份題為《計算機安全威脅監控與監視》的技術報告中指出，審計記錄可以用於識別計算機誤用，他給威脅進行了分類，第一次詳細闡述了入侵檢測的概念。1984年到1986年喬治敦大學的DorothyDenning和SRI公司計算機科學實驗室的PeterNeumann研究出了一個實時入侵檢測系統模型-IDES（IntrusionDetectionExpertSystems入侵檢測專家系統），是第一個在一個應用中運用了統計和基於規則兩種技術的系統，是入侵檢測研究中最有影響的一個系統。1989年，加州大學戴維斯分校的ToddHeberlein寫了一篇論文《ANetworkSecurityMonitor》，該監控器用於捕獲TCP/IP分組，第一次直接將網絡流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異種主機，網絡入侵檢測從此誕生。

為解決入侵檢測系統之間的互操作性，國際上的一些研究組織開展了標準化工作，目前對IDS進行標準化工作的有兩個組織：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF早期由美國國防部高級研究計劃局贊助研究，現在由CIDF工作組負責，是一個開放組織。 CIDF闡述了一個入侵檢測系統（IDS）的通用模型。它將一個入侵檢測系統分為以下組件：事件產生器（Eventgenerators），用E盒表示；事件分析器（Eventanalyzers），用A盒表示；響應單元（Responseunits），用R盒表示；事件數據庫（Eventdatabases），用D盒表示。

CIDF模型的結構如下：E盒通過傳感器收集事件數據，並將信息傳送給A盒，A盒檢測誤用模式；D盒存儲來自A、E盒的數據，併為額外的分析提供信息；R盒從A、E盒中提取數據，D盒啓動適當的響應。A、E、D及R盒之間的通信都基於GIDO（generalizedIntrusiondetectionobjects，通用入侵檢測對象）和CISL（commonintrusionspecificationlanguage，通用入侵規範語言）。如果想在不同種類的A、E、D及R盒之間實現互操作，需要對GIDO實現標準化並使用CISL。

（1）異常檢測模型（AnomalyDetection）：檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為，那麼每項不可接受的行為就應該是入侵。首先總結正常操作應該具有的特徵（用户輪廓），當用户活動與正常行為有重大偏離時即被認為是入侵。這種檢測模型漏報率低，誤報率高。因為不需要對每種入侵行為進行定義，所以能有效檢測未知的入侵。

（2）誤用檢測模型（MisuseDetection）：檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那麼每種能夠與之匹配的行為都會引起告警。收集非正常操作的行為特徵，建立相關的特徵庫，當監測的用户或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。這種檢測模型誤報率低、漏報率高。對於已知的攻擊，它可以詳細、準確地報告出攻擊類型，但是對未知攻擊卻效果有限，而且特徵庫必須不斷更新。

基於主機：系統分析的數據是計算機操作系統的事件日誌、應用程序的事件日誌、系統調用、端口調用和安全審計記錄。主機型入侵檢測系統保護的一般是所在的主機系統。是由代理（agent）來實現的，代理是運行在目標主機上的小的可執行程序，它們與命令控制枱（console）通信。

基於網絡：系統分析的數據是網絡上的數據包。網絡型入侵檢測系統擔負着保護整個網段的任務，基於網絡的入侵檢測系統由遍及網絡的傳感器（sensor）組成，傳感器是一台將以太網卡置於混雜模式的計算機，用於嗅探網絡上的數據包。

混合型：基於網絡和基於主機的入侵檢測系統都有不足之處，會造成防禦體系的不全面，綜合了基於網絡和基於主機的混合型入侵檢測系統既可以發現網絡中的攻擊信息，也可以從系統日誌中發現異常情況。

過程分為三部分：信息收集、信息分析和結果處理。

（1）信息收集：入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用户活動的狀態和行為。由放置在不同網段的傳感器或不同主機的代理來收集信息，包括系統和網絡日誌文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行。

（2）信息分析：收集到的有關係統、網絡、數據及用户活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時，產生一個告警併發送給控制枱。

（3）結果處理：控制枱按照告警產生預先定義的響應採取相應措施，可以是重新配置路由器或防火牆、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。

為ISSRealSecure的部署圖，RealSecure是一種混合型的入侵檢測系統，提供基於網絡和基於主機的實時入侵檢測。其控制枱運行在Windows　2000上。RealSecure的傳感器是自治的，能被許多控制枱控制。各部分的功能如下： （1）ReaISecure控制枱：對多台網絡傳感器和服務器代理進行管理；對被管理傳感器進行遠程的配置和控制；各個監控器發現的安全事件實時地報告控制枱。

（2）Network　Sensor（網絡引擎）：對網絡進行監聽並自動對可疑行為進行響應，最大程度保護網絡安全；運行在特定的主機上，監聽並解析所有的網絡信息，及時發現具有攻擊特徵的信息包；檢測本地網段，查找每一數據包內隱藏的惡意入侵，對發現的入侵做出及時的響應。當檢測到攻擊時，網絡引擎能即刻做出響應，進行告警/通知（向控制枱告警、向安全管理員發E-mail、SNMPtrap、查看實時會話和通報其他控制枱），記錄現場（記錄事件日誌及整個會話），採取安全響應行動（終止入侵連接、調整網絡設備配置，如防火牆、執行特定的用户響應程序）。

（3）Server　Sensor（服務器代理，安裝在各個服務器上）：對主機的核心級事件、系統日誌以及網絡活動實現實時入侵檢測；具有包攔截、智能報警以及阻塞通信的能力，能夠在入侵到達操作系統或應用之前主動阻止入侵；自動重新配置網絡引擎和選擇防火牆阻止黑客的進一步攻擊。