为什么要用IDS？

　　谈到网络安全，人们第一个想到的是防火墙。但随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统(IDS)技术的研究和开发。首先，传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的后门。其次，防火墙完全不能阻止来自内部的袭击，而通过调查发现，50%的攻击都将来自于内部，对于企业内部心怀不满的员工来说，防火墙形同虚设。再者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，而这一点，对于现在层出不穷的攻击技术来说是至关重要的。第四，防火墙对于病毒也束手无策。因此，以为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。

　　入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。

IDS概念解析

　　入侵检测系统全称为Intrusion Detective System，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。IDS主要执行如下任务：

　　1．监视、分析用户及系统活动。

　　2．系统构造和弱点的审计。

　　3．识别反映已知进攻的活动模式并向相关人士报警。

　　4．异常行为模式的统计分析。

　　5．评估重要系统和数据文件的完整性。

　　6．操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供依据。它应该管理配置简单，使非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。IDS系统工作方式如图1所示。

IDS分类

　　入侵检测通过对入侵行为的过程与特征进行研究，使安全系统对入侵事件和入侵过程作出实时响应。

　　一般来讲，入侵检测系统采用如下两项技术：

　　一是异常发现技术。假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阀值与特征的选择是异常发现技术的关键。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。

　　二是模式发现技术。假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。模式发现的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。

　　入侵检测系统按其输入数据的来源来看，可以分为3类：

　　1. 基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。

　　2. 基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。

　　3. 采用上述两种数据来源的分布式入侵检测系统; 能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成。

　　基于行为的检测方法主要有：概率统计法与神经网络法。

　　目前的方法虽然能够在某些方面有很好的效果，但从总体来看都各有不足，孤立地去评估都是不可取的。因而现在越来越多的入侵检测系统都同时具有这几方面的技术，互相补充不足，共同完成检测任务。

IDS结构

　　总体来讲，入侵检测系统的功能有：

　　1．监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。

　　2．检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。

　　3．对用户的非正常活动进行统计分析，发现入侵行为的规律。

　　4．检查系统程序和数据的一致性与正确性。如计算和比较文件系统的校验和能够实时对检测到的入侵行为进行反应。

根据以上入侵检测系统的功能，可以把它的功能结构分为两大部分：中心检测平台和代理服务器。代理服务器是负责从各个操作系统中采集审计数据，并把审计数据转换成与平台无关的格式后传送到中心检测平台，或者把中心平台的审计数据需求传送到各个操作系统中。而中心检测平台由专家系统、知识库和管理员组成，其功能是根据代理服务器采集来的审计数据进行专家系统分析，产生系统安全报告。管理员可以向各个主机提供安全管理功能，根据专家系统的分析向各个代理服务器发出审计数据的需求。另外，在中心检测平台和代理服务器之间通过安全的RPC进行通信。IDS结构如图2所示。

IDS展望

　　入侵技术研究包括三个部分：

　　1. 密切跟踪分析国际上入侵技术的发展，不断获得最新的攻击方法。通过分析这些已知的攻击方法，丰富预警系统的检测能力。

　　2. 加强并利用预警系统的审计、跟踪和现场记录功能，记录并反馈异常事件。通过实例分析提取可疑的网络活动特征，扩充系统的检测范围，使系统能够应对未知的入侵活动。

　　3. 利用攻击技术的研究成果，创造新的入侵方法，并应用于检测技术。

入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测受到了人们的高度重视。国内的现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块阶段。可见，入侵检测产品仍具有较大的发展空间。从技术上讲，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。目前，许多学者在研究新的检测方法，如采用自动代理主动防御的方法、将免疫学原理应用到入侵检测的方法等。

--

※ 链接: http://cisco.chinaitlab.com/IDS/6064.html