网络安全防范项目教程：入侵检测技术简介

在计算机安全的发展中，信息系统安全模型在逐步的实践中发生变化。由一开始的静态的系统安全模型逐渐过渡到动态的安全模型，如P2DR模型。P2DR表示Policy、Protection、Detection和Response，即策略、保护、检测和响应。

P2DR模型是在整体的安全策略的控制和指导下，综合运用防护工具（如防火墙、身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测系统等）了解和评估系统的安全状态，通过适当的响应将系统调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。由此可见，检测已经是系统安全模型中非常重要的一部分。

1.入侵检测与IDS的定义

入侵检测（Intrusion Detection）是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵，并对此做出反映的过程。

入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极、主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此，它被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测系统（Intrusion Detection System，IDS）是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象对系统的入侵，另一方面还监视授权对象对系统资源的非法操作。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

2.入侵检测的作用

单纯的防护技术容易导致系统的盲目建设，一方面是不了解安全威胁的严峻和当前的安全现状；另一方面是安全投入过大而又没有真正抓住安全的关键环节，导致资源浪费。另外，防火墙策略有明显的局限性，静态安全措施不足以保护安全对象属性。因此，入侵检测系统在动态安全模型中占有重要的地位。

入侵检测的作用主要有：

1）监视、分析用户和系统的运行状况，查找非法用户以及合法用户的越权操作。

2）检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。

3）用户非正常活动的统计分析，发现攻击行为的规律。

4）检查系统程序和数据的一致性和正确性。

5）能够实时地对检测到的攻击行为进行响应。

图10-1显示了某入侵检测系统的主要功能。

图10-1 某入侵检测系统的主要功能

3.入侵检测系统所采用的技术

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能为网络安全策略的制订提供指南。更为重要的是，它配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还可以根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

入侵检测系统所采用的技术可分为特征检测与异常检测两种。图10-2给出了入侵检测系统所采用的技术及分类。

图10-2 入侵检测系统的分类

（1）特征检测

特征检测（Signature-based Detection，又称为Misuse Detection）检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象，又不会将正常的活动包含进来。

（2）异常检测

异常检测（Anomaly Detection）的假设是入侵者异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

4.入侵检测系统的分类(www.xing528.com)

按照所在的位置，可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统3大类。

（1）基于主机的入侵检测系统

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件.对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠住，所能检测的攻击类型受限，同时不能检测网络攻击。

（2）基于网络的入侵检测系统

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

（3）分布式入侵检测系统

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。图10-3是分布式入侵检测系统的拓扑图。

图10-3 分布式入侵检测系统的拓扑图

5.入侵检测的部署

（1）共享网络

共享式局域网是最简单的网络，它由共享式Hub连接各个主机。在这种网络环境下，一般来说，只需要配置一个网络探测器就可以达到监控全网的目的。

（2）墙前监听和墙后监听

在防火墙的前端和后端都安装网络探测器，随时监视数据包的情况，可以保护防火墙。

（3）端口镜像（交换机具备管理功能）

使用交换机（Switch）作为网络中心交换设备的网络即为交换式网络。交换机工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当网络中的交换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将主机连接到镜像端口即可，此时可以捕获整个网络中所有的数据通信。

（4）代理服务器

在代理服务器上安装入侵检测就可以监听整个网络数据。

（5）DMZ区

将入侵检测部署在DMZ区对外网络节点上进行监控。

（6）不具备管理功能的交换机

一般简易型的交换机不具备管理功能，不能通过端口镜像来实现网络的监控分析。如果中心交换或网段交换没有端口镜像功能，一般可采取串接集线器（Hub）或分接器（Tap）的方法进行部署。

根据网络规模的不同，IDS有三种部署场景：小型网络中，IDS旁路部署在Internet接入路由器之后的第一台交换机上，如图10-4所示；中型网络可采用图10-5的方式部署；大型网络通常分为三层，每层都要部署IDS。

图10-4 小型网络中入侵检测系统的部署

图10-5 中型网络中入侵检测系统的部署