计算机网络安全：入侵检测功能与分类

（一）功能

入侵检测系统，能在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，尽可能减少入侵攻击所造成的损失；在被入侵攻击后，能收集入侵攻击的相关信息，作为防范系统的知识添加到知识库内，从而增强系统的防范能力。

入侵检测功能大致分为以下几个方面。

1.监控、分析用户和系统的活动

这是入侵检测系统能够完成入侵检测任务的前提条件。入侵检测系统通过获取进出某台主机及整个网络的数据，或者通过查看主机日志等信息来监控用户和系统活动.获取网络数据的方法一般是“抓包”，即将数据流中的所有包都抓下来进行分析。

如果入侵检测系统不能实时地截获数据包并对他们进行分析，就会出现漏包或网络阻塞的现象。前一种情况下系统的漏报会很多：后一种情况会影响到入侵检测系统所在主机或网络的数据流速，入侵检测系统成为整个系统的瓶颈。因此，入侵检测系统不仅要能够监控、分析用户和系统的活动，还要使这些操作足够快。

2.发现入侵企图或异常现象

这是入侵检测系统的核心功能。主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，查看是否存在入侵行为；另一方面则评估系统关键资源和数据文件的完整性，查看系统是否已经遭受了入侵。前者的作用是在入侵行为发生时及时发现，从而避免系统遭受攻击；而后者一般是攻击行为已经发生，但可以通过攻击行为留下的痕迹的一些情况，从而避免再次遭受攻击。对系统资源完整性的检查也有利于对攻击者进行追踪或者取证。

对于网络数据流的监控，可以使用异常检测的方法，也可以使用误用检测的方法。目前还有很多新技术，但多数都还在理论研究阶段。现在的入侵检测产品使用的主要还是模式匹配技术。检测技术的好坏，直接关系到系统能否精确地检测出攻击，因此，对于这方面的研究是入侵检测系统研究领域的土要工作。

3.记录、报警和响应

入侵检测系统在检测到攻击后，应该采取相应的措施来阻止或响应攻击。它应该首先记录攻击的基本情况，其次应该能够及时发出警告。良好的入侵检测系统，不仅应该能把相关数据记录在文件或数据库中，还应该提供报表打印功能。必要时，系统还能够采取必要的响应行为，如拒绝接收所有来自某台计算机的数据，追踪入侵行为等。实现与防火墙等安全部件的交互响应，也是入侵检测系统需要研究和完善的功能之一。

作为一个功能完善的入侵检测系统，除具备上述基本功能外，还应该包括其他一些功能，比如审计系统的配置和弱点评估，关键系统和数据文件的完整性检查等。此外，入侵检测系统还应该为管理员和用户提供友好、易用的界面，方便管理员设置用户权限、管理数据库、手工设置和修改规则、处理报警和浏览、打印数据等。

（二）分类

根据不同的分类标准，入侵检测系统可分为不同的类别。对于入侵检测系统要考虑的因素（分类依据）主要的有数据源、入侵、事件生成、事件处理以及检测方法等。

1.根据数据源分类

入侵检测系统要对所监控的网络或主机的当前状态做出判断，需要以原始数据中包含的信息为基础。按照原始数据的来源，可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统等类型。

（1）基于主机的入侵检测系统。

基于主机的入侵检测系统主要用于保护运行关键应用的服务器，它通过监视与分析主机的审计记录和日志文件来检测入侵，日志中包含发生在系统上的不寻常活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并启动相应的应急措施。

通常情况下，基于主机的入侵检测系统可检测系统、事件、Windows NT下的安全记录，及UNIX环境下的系统记录，从中发现可疑行为。当有文件发生变化时，入侵检测系统将新的纪录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警。对关键系统文件和可执行文件的入侵检测的一个常用方法是通过定期检查校验和来进行的，以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。此外，许多入侵检测系统还能够监听主机端口的活动，并在特定端口被访问时向管理员报警。

（2）基于网络的入侵检测系统。

基于网络的入侵检测系统主要用于实时监控网络关键路径的信息，它能够监听网络上的所有分组，并采集数据以分析可疑现象。

基于网络的入侵检测系统使用原始网络包作为数据源，通常利用一个运行在混杂模式下的网络适配器来实时监视，并分析通过网络的所有通信业务。基于网络的入侵检测系统可以提供许多基于主机的入侵检测法无法提供的功能。许多客户在最初使用入侵检测系统时，都配置了基于网络的入侵检测。

（3）基于应用的入侵检测系统。

基于应用（Application）的入侵检测系统是基于主机的入侵检测系统的一个特殊子集，其特性、优缺点与基于主机的入侵检测系统基本相同。由于这种技术能够更准确地监控用户某一应用行为，所以在日益流行的电子商务中越来越受到注意。

这三种入侵检测系统具有互补性。基于网络的入侵检测能够客观地反映网络活动，特别是能够监视到系统审计的盲区；而基于主机和基于应用的入侵检测能够更加精确地监视系统中的各种活动。

2.根据检测原理分类

根据系统所采用的检测方法，将入侵检测分为异常入侵检测和误用入侵检测两类。

（1）异常入侵检测。异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测入侵。异常入侵检测试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。Anderson做了如何通过识别“异常”行为来检测入侵的早期工作，他提出了一个威胁模型，将威胁分为外部闯入（用户虽然授权，但对授权数据和资源的使用不合法，或滥用授权）、内部渗透和不当行为3种类型，并采用这种分类方法开发了一个安全监视系统，可检测用户的异常行为。

（2）误用入侵检测。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测不同，误用入侵检测能直接检测不利或不可接受的行为，而异常入侵检测则是检查出与正常行为相违背的行为。(www.xing528.com)

3.根据体系结构分类

按照体系结构，入侵检测系统可分为集中式、等级式和协作式3种。

（1）集中式。

集中式入侵检测系统包含多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器，审计程序把收集到的数据发送给中央服务器进行分析处理。这种结构的入侵检测系统在可伸缩性、可配置性方面存在致命缺陷。随着网络规模的增加，主机审计程序和服务器之间传送的数据量激增，会导致网络性能大大降低。并且一旦中央服务器出现故障，整个系统就会陷入瘫痪。此外，根据各个主机不同需求配置服务器也非常复杂。

（2）等级式。

在等级式（部分分布式）入侵检测系统中，定义了若干个分等级的监控区域，每个入侵检测系统负责一个区域，每一级入侵检测系统只负责分析所监控区域，然后将当地的分析结果传送给上一级入侵检测系统。

这种结构存在以下问题。首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整；其次，这种结构的入侵检测系统最终还是要把收集到的结果传送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性的改进。

（3）协作式。

协作式（分布式）入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统，这些入侵检测系统不分等级，各司其职，负责监控当地主机的某些活动。所以，可伸缩性、安全性都得到了显著的提高，但维护成本也相应增大，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。

4.根据工作方式分类

入侵检测系统根据工作方式可分为离线检测系统和在线检测系统。

（1）离线检测。离线检测系统是一种非实时工作的系统，在事件发生后分析审计事件，从中检查入侵事件。这类系统的成本低，可以分析大量事件，调查长期的情况；但由于是在事后进行，不能对系统提供及时的保护，而且很多入侵在完成后都会将审计事件删除，因而无法审计。

（2）在线检测。在线检测对网络数据包或主机的审计事件进行实时分析，可以快速响应，保护系统安全；但在系统规模较大时，难以保证实时性。

5.根据系统其他特征分类

作为一个完整的系统，其系统特征同样值得认真研究。一般来说可以将以下一些重要特征作为分类的考虑因素。

（1）系统的设计目标。

不同的入侵检测系统有不同的设计目标。有的只提供记账功能，其他功能由系统操作人员完成；有的提供响应功能，根据所作出的判断自动采取相应的措施。

（2）事件生成了收集的方式。

根据入侵检测系统收集事件信息的方式，可分为基于事件的和基于轮询的两类。

基于事件的方式也称为被动映射，检测器持续地监控事件流，事件的发生激活信息的收集；基于轮询的方式也称为主动映射，检测器主动查看各监控对象，以收集所需信息，并判断一些条件是否成立。

（3）检测时间（同步技术）。

根据系统监控到事件和对事件进行分析处理之间的时间间隔，可分为实时和延时两类.有些系统以实时或近乎实时的方式持续地监控从信息源捡来的信息；而另一些系统在收集到信息后，要隔一定的时间后才能进行处理。

（4）入侵检测响应方式。

根据入侵检测响应方式不同，可分为主动响应和被动响应。被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。

主动响应系统可以分为两类，对被攻击系统实施控制和对攻击系统实施控制。对攻击系统实施控制比较困难，主要采用对被攻击系统实施控制，通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等。

（5）数据处理地点。

审计数据可以集中处理，也可以分布处理。

这些不同的分类方法可以从不同的角度了解、认识入侵检测系统，或者认识入侵检测系统所具有的不同功能。但实际的入侵检测系统常常要综合采用多种技术，具有多种功能，因此很难将一个实际的入侵检测系统归于某一类，他们通常是这些类别的混合体，某个类别只是反映了这些系统的一个侧面。