入侵检测系统（IDS）简介

狙神

第一章 入侵检测系统概念

　　 当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。传统上，公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。在这种环境下，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。


　　 本文中的“入侵”（Intrusion）是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对计算机系统造成危害的行为。


　　 入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。


　　 具体说来，入侵检测系统的主要功能有（[2]）：

　　 a.监测并分析用户和系统的活动；

　　 b.核查系统配置和漏洞；

　　 c.评估系统关键资源和数据文件的完整性；

　　 d.识别已知的攻击行为；

　　 e.统计分析异常行为；

　　 f.操作系统日志管理，并识别违反安全策略的用户活动。

　　 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。除了国外的ISS、axent、NFR、cisco等公司外，国内也有数家公司（如中联绿盟，中科网威等）推出了自己相应的产品。但就目前而言，入侵检测系统还缺乏相应的标准。目前，试图对IDS进行标准化的工作有两个组织：IETF的Intrusion Detection Working Group (idwg)和Common Intrusion Detection Framework (CIDF)，但进展非常缓慢，尚没有被广泛接收的标准出台。



第二章 入侵检测技术分析


1.技术分类

　　入侵检测系统所采用的技术可分为特征检测与异常检测两种。

特征检测

　　特征检测(Signature-based detection)又称Misuse detection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测

　　异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。


2.常用检测方法

　　入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

特征检测

　　特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。

　　该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

统计检测

　　统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为：

　　● 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

　　● 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

　　● 多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

　　● 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

　　● 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

　　统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。


专家系统

　　用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。


第三章 入侵检测产品选择要点

　　当您选择入侵检测系统时，要考虑的要点有：

1. 系统的价格

2. 特征库升级与维护的费用

3. 对于网络入侵检测系统，最大可处理流量(包/秒 PPS)是多少

4. 该产品容易被躲避吗

5. 产品的可伸缩性

6. 运行与维护系统的开销

7. 产品支持的入侵特征数

8. 产品有哪些响应方法

9. 是否通过了国家权威机构的评测

　　主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。


第四章 入侵检测技术发展方向

　　无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面：

　　入侵或攻击的综合化与复杂化。

　　入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。

　　入侵或攻击的规模扩大。

　　入侵或攻击技术的分布化。

　　攻击对象的转移。


今后的入侵检测技术大致可朝下述三个方向发展。

　　分布式入侵检测

　　智能化入侵检测

　　全面的安全防御方案

普天科创

在LINUX下比较好用且绝大部分免费的IDS软件名叫：SNORT

改变

路过看看

crazy

明白了

足球_LOVE

简简单单看看

rain

偶也看看