淺談網絡入侵檢測系統

【摘 要】隨著計算機技術和Internet的飛快發(fā)展，網絡在給我們的日常生活帶來方便的同時，其安全問題也顯得十分重要。本文對入侵檢測系統的定義，系統分類及今后的發(fā)展趨勢作了簡單的闡述。

【關鍵詞】網絡安全；入侵檢測系統

Abstract：with the rapid development of computer technology and Internet，network in bring convenience to our daily life at the same time，its security problem also appears very important.In this paper，the definition of intrusion detection system，the system classification and the future development trend has made the simple elaboration.

Key words：network security；Intrusion detection system

一、前言

計算機網絡的出現改變了人們傳統的生活方式，同時也改變著社會的發(fā)展規(guī)模和速度。可以說網絡已經深入到我們日常生活的各個方面。網絡的安全是伴隨著網絡一同產生的，傳統的殺毒軟件和防火墻技術已經不能完全滿足網絡安全的需要，網絡入侵檢測技術作為一種積極主動的新的安全手段已顯得十分重要。

二、入侵檢測系統的定義

入侵檢測是對入侵者行為的檢測，入侵檢測系統是為保障計算機系統的安全而設計的，它通過收集和分析網絡行為、安全日志、等其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的和被攻擊的跡象，它對系統中未授權用戶的攻擊、外部攻擊和異常現象的操作有實時的保護作用，能在網絡系統受到危害之前進行檢測和攔截。在不影響網絡性能的情況下能對網絡時行監(jiān)測，入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊。擴展了系統管理員的安全管理能力。

三、入侵檢測系統的分類

1.按照分析方法分

（1）異常檢測：該檢測方法是總結正常操作所具有的特征并用定量的方法加以描述，當用戶的活動與正常行為有很大的偏差時就認為是入侵。該方法的優(yōu)點是不需要保存各種攻擊特征的數據庫，隨著統計數據的增加，其檢測的準確性也增高，由于用戶的行為不容易在范圍內，當出錯的概率比較大時，它只能說明系統有可能發(fā)生了異常的情況，不一定是受到了攻擊，這給管理帶來了很大的困難。

（2）誤用檢測：該檢測方法是收集整理非正常操作的行為特征，并建立特征庫，當檢測的系統行為與庫中的記錄相匹配時，就認為是入侵。

2.按照數據來源分

（1）基于主機的入侵檢測系統

系統的數據主要來自操作系統跟蹤日志、審計記錄和主動與主機系統進行交互而獲得不存在于系統日志中的信息。它通過監(jiān)視系統運行情況來檢測入侵。這種類型的檢測系統不需要額外的硬件。對網絡流量不敏感，效率高，能準確定位入侵并及時進行反應，但能檢測到的攻擊類型有限，且占用主機資源，依賴于主機的可靠住，不能檢測網絡攻擊。

（2）基于網絡的入侵檢系統

網絡入侵檢測系統的數據來源為原始的網絡分組數據包。它通過在計算機網絡中的某些點被動地監(jiān)聽網絡上傳輸的原始流量，對獲取的網絡數據進行處理，從中提取有用的信息，再與已知攻擊特征相匹配或與正常網絡行為原型相比較來識別攻擊事件。它的優(yōu)勢在于它的實時性，當檢測到攻擊時，就能很快做出反應。另外它可以通過在一個點上監(jiān)測整個網絡中的數據包，并且它在檢測網絡包時并不依靠操作系統來提供數據。但它的缺點是只能檢測經過本網段的數據流，無法了解主機內部的安全情況，而且網絡傳輸的速度快，流量大，從而導致檢測的精確度較差，以致于漏檢。

3.按照體系結構分

（1）集中式：它只有一個中央入侵檢測服務器，多個分布于不同主機上的審計程序把當地收集到的數據發(fā)給這個入侵檢測服務器，服務器對發(fā)來的數據進行分析并處理。它伸縮性強，但是配置性較差。

（2）分布式：它將中央檢測服務器的任務分配給多個主機入侵檢測系統，負責監(jiān)視當地主機的一切活動。但是它的維護成本較高，主機的工作負擔較重。

4.按照工作方式分

（1）離線檢測：是在行為發(fā)生后，對產生的數據進行分析，這種檢測方式不能及時的保護系統，但是成本低，能對大量的事件做長期的分析。

（2）在線檢測：在監(jiān)測數據產生的同時數據進行分析，這種檢測方式能及時保護系統，反應靈敏。

四、入侵檢測系統存在的問題及發(fā)展趨勢

1.存在的問題

（1）誤報和漏報率較高：入侵檢測系統在分析檢測到的數據包時，由于新的攻擊沒有相應的規(guī)則，再加上分析的準確性不夠，經過產生誤報和漏報的現象。

（2）報警消息較多：有時在沒有直接針對入侵檢測系統本身的惡意攻擊時，入侵檢測系統也會發(fā)出大量報警。

（3）阻斷入侵能力較低：入侵檢測的重點工作主要是放在了識別入侵者的行為上，為了能有效的防止內部和外部的攻擊玫提高網絡的安全，必須提高它的阻斷入侵能力。

（4）抗攻擊能力較差：入侵檢測系統雖然能分析和處理復雜的數據，但抗攻擊能力差。

（5）主動防御能力較差：現在網絡攻擊已經非常頻繁，對于放置在防火墻外面的入侵檢測系統它只是建立一個完整的信息保護體系，使各種虛假信息和真實信息混于一體，從而達到信息保護的目的。

2.入侵檢測技術的發(fā)展趨勢

（1）改善與提高分析處理技術：入侵檢測主要是分析和處理檢測到的數據，由于技術原因經常出現誤報和漏報的現象，為了防止這種現象，可以將網絡數據報文直接傳遞到系統提前分配的地址空間中，同時將系統內核中存儲數據報文的內存映射到檢測的應用空間當中，使其可以直接訪問內存，減少系統空間的調用。

（2）與傳統網絡安全技術相結合：傳統的網絡安全技術有防病毒軟件、防火墻等，防火墻是網絡的第一道屏障，主要用來禁止可能的攻擊信息進入網絡，但是防火墻本身也存在著很大的局限性和脆弱性。而入侵檢測系統是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現可疑問題時能發(fā)出警報或者采取措施的一種安全設備。是一種積極主動的安全防護技術，由于網絡攻擊的提升，單一的安全技術已經不能滿足我們的需要，在現實應用中，入侵檢測一般是作為防火墻的合理補充，幫助系統對付網絡的攻擊，來提升信息安全的完整性。

（3）入侵管理系統：它是通過一個統一的平臺進行統一管理，從系統的層次來解決入侵行為。入侵管理技術是一個過程，在行為未發(fā)生前要考慮網絡中有什么漏洞，或者面臨怎樣的入侵危險。不僅要檢測出入侵行為，還要主動阻斷，終止入侵行為；在入侵行為發(fā)生后，還要深層次分析入侵行為，通過分析來判斷是否還有下一個攻擊的出現。

五、結束語

入侵檢測系統能夠快速發(fā)現網絡的攻擊行為，擴展了系統管理員的安全管理能力，它能在不影響網絡性能的情況下對網絡進行監(jiān)聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，但目前入侵檢測技術還存在著一定的缺陷，總之，用戶要提高計算機網絡的安全性，不僅要靠技術的支持，還要依靠自身對計算機網絡的維護與管理。

參考文獻：

[1]吳曉葵.計算機網絡基礎[M].北京理工大學出版社，2011，7.

[2]薛靜鋒.入侵檢測技術[M].機械工業(yè)出版社，2004.

[3]胡昌振.網絡入侵檢測原理與技術[M].北京理工大學出版社，2006.

[4]唐正軍，李建華.入侵檢測技術[M].清華大學出版社，2004.

作者簡介：

徐銘洋（1981—），女，河南商丘人，商丘職業(yè)技術學院助教，研究方向：計算機技術。

唐盼盼（1986—），女，河南商丘人，商丘職業(yè)技術學院助教，研究方向：數據庫。