入侵检测系统概述及技术应用

入侵检测系统（Intrusion Detection System，IDS）是网络安全技术与信息处理技术两者的结合，其检测效果依赖于对这两方面知识的掌握与应用的融合。入侵事件是人为入侵，由网络黑客主动实现，黑客对网络安全及入侵检测系统本身具有某种程度的理解与技术把握。

入侵检测系统通常为网络安全产品或工具，软件或软、硬件结合产物，其运行效率和检测效果与所使用的软件技术紧密关联。

1.入侵检测及其内容

入侵检测是对入侵行为的发觉，是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术。入侵检测内容包括：检测试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户泄漏、独占资源及恶意使用等破坏网络系统安全的行为。

2.入侵检测系统及组成

入侵检测系统实际上是一种使监控与分析过程自动化的产品，通常把负责入侵检测的软硬件组合体称为入侵检测系统。它由两部分组成：传感器与控制台。传感器负责采集数据（网络包、系统日志等）、分析数据并生成安全事件；控制台主要起中央管理作用。

成功的入侵检测系统至少满足5项要求：

●实时性要求。对攻击或攻击的企图能尽快发现，就可能查出攻击者位置，阻止进一步的攻击活动。在网管员对系统日志进行审计，以查找入侵者或入侵行为线索时，实时入侵检测能解决各种困难与技术限制。

●可扩展性要求。针对复杂且攻击行为特征也不尽相同的攻击手段，必须建立一种机制，把入侵检测系统的体系结构与使用策略区分开，必须能在新的攻击类型出现时，通过某种机制在无需对入侵检测系统本身进行改动的情况下，使系统能检测到新的攻击行为。

●适应性要求。入侵检测系统必须能适用于多种不同环境，如高速大容量计算机网络环境，并在系统环境发生改变，如增加环境中计算机系统数量、改变计算机系统类型时，入侵检测系统应依然能够正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性，即跨平台工作能力，适应其宿主平台软、硬件配置的不同情况。

●安全性与可用性要求。入侵检测系统必须尽可能完善与健壮，不能向其宿主计算机系统及其所属的计算机环境引入新的安全问题或安全隐患，应考虑可预见性，针对该系统类型与工作原理的攻击威胁及其相应的抵御方法，确保检测系统本身的安全性与可用性。

●有效性要求。能证明根据某种要求所设计建立的入侵检测系统切实有效。即对于攻击事件的错报与漏报能控制在一定范围内。同时，入侵检测系统在发现入侵后，能及时、自动做出响应，通过控制台、电子邮件等方式通知网管者，中止入侵进程，关闭系统，断开与互联网连接，使该用户无效，或执行预先准备好的命令等。

●入侵检测系统的管理、配置应简单，使一般网管专业人员能根据网络规模、网络威胁等安全需求的改变而改变，容易完成系统的构建，获得网络安全。

3.入侵检测系统的特点(www.xing528.com)

入侵检测系统的主要特点：

（1）动态安全技术为最核心技术

传统操作系统加固技术和防火墙隔离技术都是静态安全防御策略，对网络环境下不断翻新的攻击手段缺乏主动反应。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。

（2）入侵检测是防火墙的合理补充

防火墙能在内外网之间提供安全的网络保护，可限制某些地址不能访问用户计算机或限制不能访问用户计算机的某些资源或服务，这样尽管用户计算机上存在安全漏洞，攻击者也不能进行攻击，降低了网络安全风险。但仅使用防火墙远不够，入侵者会寻找防火墙背后可能敞开的后门。防火墙通常不能提供实时入侵检测能力。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员安全管理能力（安全审计、监视、进攻识别和响应等），提高信息安全基础结构的完整性。入侵检测是防火墙之后的第二道安全‘闸门’，提供对内部攻击、外部攻击和误操作的实时保护。入侵检测通过执行以下任务实现。

●监视、分析用户及系统活动，查找非法用户和合法用户的越权操作。

●系统构造和弱点的审计，并提示管理员修补漏洞。

●识别反映已知进攻的活动模式并向相关人士报警，能实时对检测到的入侵行为反应。

●异常行为模式的统计分析，发现入侵行为的规律。

●评估重要系统和数据文件的完整性，如计算和比较文件系统的校验和。

●操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

（3）入侵检测系统阻截黑客

入侵检测与安全防护有根本区别：安全防护和黑客的关系是“防护在明，黑客在暗”，入侵检测和黑客的关系则是“黑客在明，检测在暗”。安全防护主要修补系统与网络缺陷，增加系统安全性能，消除攻击和入侵条件；入侵检测并非依据网络和系统缺陷，而是根据入侵事件特征去检测（特征通常与系统缺陷有逻辑关系），所以入侵检测系统是黑客的克星。