【IT168 专稿】入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

    一、入侵检测系统功能

    1：识别黑客常用入侵与攻击手段。

    入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。一般来说，黑客在进行入侵的第一步探测、收集网络及系统信息时，就会被IDS捕获,向管理员发出警告。

    2：监控网络异常通信

    IDS系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性；任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。

    3：鉴别对系统漏洞及后门的利用

    IDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效地发现网络通信中针对系统漏洞进行的非法行为。

    4：完善网络安全管理

    IDS通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供了一个集中、方便、有效的工具。使用IDS系统的监测、统计分析、报表功能，可以进一步完善网络管理。

    二、入侵检测系统常用的检测方法

    入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

    特征检测

    特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

    统计检测

    统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为：

    1、操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

    2、方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

    3、多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

    4、马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

    5、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

    统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。

    专家系统

    用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

    文件完整性检查

    文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可检测出来。在文件完整性检查中功能最全面的当属Tripwire。

    文件完整性检查系统的优点

    从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的检测文件被修改的工具。实际上，文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。文件完整性检查系统具有相当的灵活性，可以配置成为监测系统中所有文件或某些重要文件。当一个入侵者攻击系统时，他会干两件事，首先，他要掩盖他的踪迹，即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其它，他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。

    文件完整性检查系统的弱点

    文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘数据库放在只读的介质上，但这样的配置不够灵活性。

    做一次完整的文件完整性检查是一个非常耗时的工作，在Tripwire中，在需要时可选择检查某些系统特性而不是完全的摘要，从而加快检查速度。系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作，如，在Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。

    三、从入侵检测到入侵防御

    入侵检测系统通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，它不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动，因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。这是一种集检测、记录、报警、响应的动态安全技术，它已经渐渐地从“入侵检测”发展为“入侵防御”了。

    在入侵检测系统检测到网络中的攻击或未授权行为时，传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员，然后由管理员手工采取相应措施来阻止入侵。这无疑给安全管理增加了很多的工作量和难度，也大大地提高了安全维护费用，因此系统需要具有更多主动响应行为的入侵检测系统，如今的入侵检测系统可以通过发复位包的方式，或者执行一段用户编写的程序，自动切断危险的连接。

    而且，入侵检测系统作为整体安全技术的一个组成部分，它还应该和其他安全组件协同工作、建立互动的响应机制。例如，防火墙作为限制内外网络互相访问的关口，其配置的过滤规则阻止了非授权用户对公司网络的访问，因此在入侵检测系统发现攻击行为时，由它自动地修改防火墙的安全策略，就能封堵可疑的网络通信。这也是为什么入侵检测系统和防火墙之间的联系越来越紧密的原因之一。

    在入侵防御系统中，如何降低检测系统的误报率是非常关键的。在传统的入侵检测系统中，误报对安全管理员形成一种滋扰，大量的误报还可能淹没真正的攻击行为，使安全管理员无从响应。在建立联动的一体化安全防御体系中，入侵检测系统可以自动调整其他安全组件的策略，来防止进一步的攻击，这时误报带来的负面影响可能更大了——因为误报触动策略调整之后，本该许可的访问就无法访问了，这形成了一种新的DoS形式。

    同时，先进的入侵防御系统还必须是一个全方位的安全管理。它一方面要集中管理全网以及各设备的安全事件，将数据进行标准化、集中、并进行关联和智能分析，以降低误报率和预告威胁的趋势；另一方面还要结合漏洞扫描，提前确定系统是否存在已知漏洞，做到“防范于未然”，以建立前摄性的、而不仅仅是响应式的安全防御体系。
 

    编者按：

    入侵检测作为一门正在蓬勃发展的技术，出现的时间并不是很长；相应地对IDS进行评测出现得更晚。它肯定有很多不完善和有待改进的地方，这需要进一步的研究。其中几个比较关键的问题是：网络流量仿真、用户行为仿真、攻击特征库的构建、评估环境的实现以及评测结果的分析。

    近几年来，我国的入侵检测方面的研究工作和产品开发也有了很大的发展。但对入侵检测评估测试方面的工作还不是很多。各入侵检测产品厂家基于各方面的原因，在宣传时常常夸大其词，而IDS的用户对此往往又不是很清楚，所以迫切需要建立起一个可信的测试评估标准。这对开发者和用户都有好处。