摘要

    随着互联网技术的迅速发展，网络攻击和入侵事件与日俱增，入侵检测系统被认为是防火墙之后的第二道网络安全闸门，本文介绍了网络攻击和入侵以及IDS的技术特点，重点阐述了如何在网络中部署IDS，并分析了IDS的存在的缺陷，最后探讨了IDS的未来发展趋势。

    随着互联网技术和信息技术的飞速发展，网络安全风险系数不断提高，曾经作为最主要网络安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙有益补充的入侵检测系统（IDS），能够帮助网络快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对网络攻击和网络入侵的实时保护。

    入侵检测的研究可以追溯到JamesP.Anderson在1980年的工作，他首次提出了“威胁”等术语，这里所指的“威胁”与入侵的含义基本相同，将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问企图，致使系统不可靠或无法使用。1987年DorothyE.Denning首次给出一个入侵检测的抽象模型，并将入侵检测作为一个新的安全防御措施提出。

    在过去的20年里，网络技术在不断发展，攻击者攻击能力在不断提高，攻击工具与攻击手法日趋复杂多样，特别是以黑客为代表的攻击者对网络的威胁日益突出，他们不遗余力地与网络安全进行着斗争。攻击技术和手段的不断发展，也促使IDS从一个简单单一的产品发展成为一种网络安全防护的重要手段。

    1、网络安全面临的挑战

    攻击者可以从容地对那些没有安全保护的网络进行攻击和入侵，如进行拒绝服务攻击、从事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等。攻击和入侵事件给这些机构和企业带来了巨大的经济损失，甚至直接威胁到国家的安全。攻击者为什么能够对网络进行攻击和入侵呢?原因在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置，主要表现在操作系统、协议、应用程序、网络设备等几个方面。

    攻击者常用的入侵方法如下：

    （1）利用系统的内部缺陷和漏洞

    ●对于口令字的攻击：口令字是一般安全系统所采取的最简单的安全措施。许多攻击行为从突破口令字入手，有的采用程序强力攻击的办法登录到远程网络，或采用口令字典进行猜测的办法，发现设置十分简单的口令字从而进入到系统。据美国国防部对1995年入侵行为统计表明，有约250000次攻击是由于通过破解口令字造成的。

    ●系统中协议的脆弱性：在网络运行的许多协议中，有一些协议存在着安全漏洞。如ICMP（InternetControlMessageProtocol），这种协议很容易被拒绝服务攻击所利用。Ping是ICMP中常用的命令之一，它的连接请求可以被攻击者利用，发出许多无效的连接请求，可以造成经由的中间主机和被攻击的主机或系统崩溃。IMAP（Internet Message Access Protocol）是网络上另一种常见协议，攻击者可以通过IMAP和POP3取得UNIX系统下的根目录权限，执行各种命令，获取敏感信息和超级用户的权限。TCP/IP握手协商协议也可以被拒绝服务攻击所利用。

    ●缓冲区溢出：这是对系统危害较大的攻击手段，在许多系统中，应用程序和缓冲区都不检查数据的特性，它允许接受任意长的数据，这可能造成系统的堆栈或缓冲区溢出，造成系统瘫痪。

    （2）利用合法的系统管理工具

    许多系统为了方便管理员对网络进行管理和控制，开发了许多系统工具，如果这些工具使用不当就会给攻击者以可乘之机，危害网络安全，如Packetsniffer、Portscan等。

    （3）利用系统维护阶段的疏忽

    当一些安全机构公布出系统的安全漏洞后，网络管理员应该对系统及时地升级、更新。但当系统升级时，其中复杂的安全配置或安全过滤规则设置不正确往往也是引进安全漏洞的主要原因。

    漏洞和不安全设置给了攻击者以可乘之机。另外，由于大部分网络缺少预警防护机制，即使攻击者已经侵入到内部网络，并从事非法的操作，网管人员也很难察觉到。

    2、IDS技术概述

    IDS的出现，缓解了以上的网络安全问题。设置硬件防火墙，可以提高网络的通过能力并阻挡一般性的攻击行为；而采用IDS入侵检测系统，则可以对越过防火墙的攻击行为以及来自网络内部的违规操作进行监测和响应。在本质上，入侵检测系统是一个典型的“窥探设备”，它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需在网络上收集所关心的报文即可。

    入侵检测模型如图1所示。

 

    图1 入侵检测模型

    目前，IDS分析及检测一般通过以下几种技术手段进行分析：特征库匹配、基于统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

    ●特征库匹配（也叫特征检测）就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该方法的优点是只需收集相关的数据集合，显著减少系统负担，检测准确率和效率都相当高；但弱点是需要不断升级以对付不断出现的黑客攻击手法。

    ●统计分析（也叫异常检测）首先给信息对象（如用户、连接、文件等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，观察值在正常偏差之外时，就认为有入侵发生。例如一个在晚九点至早五点不登录的账户却在凌晨两点试图登录，或者针对某一特定站点的数据流量异常增大等。其优点是可检测到未知的入侵和更为复杂的入侵；缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

    ●完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，能识别极其微小的变化。其优点能够发现文件或其他对象的任何改变；缺点是一般以批处理方式实现，不用于实时响应。

    根据数据来源的不同，入侵检测系统常被分为基于主机的入侵检测系统（HIDS：Host-basedIntrusionDetectionSystem）和基于网络的入侵检测系统（Network-based Intrusion Detection System）。HIDS的数据源来自主机，如日志文件、审计记录等；而NIDS的数据源是网络数据流。HIDS的检测范围很小，只限于1台主机内；而NIDS的检测范围是整个网段。

    根据网络威胁原理（离被防护信息点越近，保护的作用就越有效），HIDS从空间满足了网络安全的先决条件；同时由于监听的是用户的整个访问行为，HIDS可以有效利用操作系统本身提供的功能，准确快速报告攻击行为。但由于HIDS安装在被保护主机上，故所占用的资源不能太多，从而限制了所采用的检测方法及处理性能，安全性也受其所在主机的操作系统的安全性限制。

    NIDS最大的特点在于不需要改变服务器等主机的配置，不会影响这些机器的CPU、I/O）等资源的使用，也不会影响业务系统的性能。因此，部署一个NIDS，比HIDS的风险与成本相对较低。但由于NIDS保护的主机和操作系统不尽相同，入侵者可利用不同系统的差异来进行信息收集或进行攻击。