IDS基础知识详解-网络安全系统集成与建设

1.IDS的含义

入侵检测系统（Intrusion Detection Systems，IDS）指依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能地发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

防火墙对进出网络的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起到访问控制的作用，是网络安全的第一道“闸门”。优秀的防火墙甚至可以对高层的应用协议进行动态分析，保护进出网络的数据应用层的安全。但防火墙的功能也有局限性，防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。同时，由于防火墙处于网关的位置，不可能对进出攻击做太多判断，否则会严重影响网络性能。

在实际的部署中，IDS并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现外部的攻击，也可以发现内部的恶意行为。所以说，IDS是网络安全的第二道“闸门”，是防火墙的必要补充，可构成完整的网络安全解决方案。

严格地说，IDS并不是一个防范工具，它并不能阻断攻击。只有防火墙才能限制非授权的访问，在一定程度上防止入侵行为，而IDS提供快速响应机制，报告入侵行为，意味着一种牵制策略。当IDS检测到入侵行为时，可立即发出一个指令给防火墙，防火墙马上关闭通信连接，从而阻断入侵行为。所以，IDS与防火墙可以在功能上实现联动，进行很好地配合，这将大大提高网络系统的安全性。

2.IDS的功能

入侵检测是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大地简化管理员的工作，保证网络安全的运行。

具体来说，入侵检测系统的主要功能如下。

1）监测并分析用户和系统的活动。

2）核查系统配置和漏洞。

3）评估系统关键资源和数据文件的完整性。

4）识别已知的攻击行为。

5）统计分析异常行为。

6）操作系统日志管理，并识别违反安全策略的用户活动。(www.xing528.com)

3.IDS的工作原理

本质上讲，入侵检测系统是一个典型的“窥探设备”，它不能跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动地、无声无息地收集它所关心的报文即可。IDS处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告及响应阶段等4个阶段。在数据采集阶段中，入侵检测系统收集目标系统中引擎提供的主机通信数据包和系统使用等情况。数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。入侵分析及检测阶段通过分析上一阶段提供的数据来判断是否发生入侵，这一阶段是整个入侵检测系统的核心阶段，根据系统是以检测异常使用为目的，还是以检测利用系统的脆弱点或应用程序的BUG来进行入侵为目的，可以区分为异常行为和错误使用检测。报告及响应阶段针对上一个阶段中进行的判断作出响应，如果判断为发生入侵，系统将对其采取相应的响应措施，或者通知管理人员已发生入侵，以便于管理人员采取措施。

目前，IDS分析及入侵检测阶段一般通过3种技术手段进行分析：特征码匹配、统计分析和完整性分析。其中，前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

特征库匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，可显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

统计分析方法首先给信息对象（如用户、连接、文件、日录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被“特洛伊”化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（如MD5），能识别极其微小的变化。其优点是不管特征库匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其他对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。

4.IDS的部署

目前，大部分的IDS产品基本上由入侵检测引擎和管理控制台组成，在具体应用时可以根据网络结构和需求做不同的部署。

与防火墙不同的是，IDS是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在全部所关注的流量都必须流经的链路上。在这里，“所关注的流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

IDS通常都部署在需要重点保护的部位上，如服务器区域的交换机、Internet接入路由器之后的第一台交换机、重点保护网段的局域网交换机等。

经典的入侵检测系统的部署方式，如图6-46所示。

图6-46 入侵检测系统的部署