浅析入侵检测系统(IDS)的原理与现状

入侵检测系统(IDS: Intrusion Detection System)是一个动态的防御系统，可以识别防火墙不能识别的攻击。入侵检测是指对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程。它不仅可以检测来自外部的入侵行为，同时也可以监控内部用户的非授权行为。

入侵检测系统是一项新的技术，它的出现曾引起巨大的轰动，目前国内外的许多实验室对此项技术进行研究并有数种成熟的商业产品。入侵检测的最大优点是可以向系统管理员提供实时报告，告诉管理员有黑客入侵。

一、IDS 的起源

入侵检测(Intrusion Detection)从最初实验室里的研究课题到目前的商业产品，已经有了二十多年的发展历史，可将它分为两个阶段：

1．安全审计(Security Audit)阶段

审计定义为系统中发生事件的记录和分析处理过程。与系统日志(log)相比，审计更关注安全问题。根据美国国防部(DOD)“可信计算机系统评估标准”(TCSEC)桔皮书规定，审计机制(Audit Mechanism)应作为C2 或C2 以上安全级别的计算机系统必须具备的安全机制。其功能包括：

1）能够记录系统被访问的过程以及系统保护机制的运行；

2）能够发现试图绕过保护机制的行为；

3）能够及时发现用户身份的跃迁；

4）能够报告并阻碍绕过保护机制的行为并记录相关过程，为灾难恢复提供信息。

2．IDS 的诞生阶段

在ID的发展史上有几个里程碑 ：1980 年，Anderson 在报告“Computer Security Threat Monitoring and Surveillance” 中提出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息，此文被认为是有关ID 的最早论述；1984-1986年，Dorothy Denning

和Peter Neumann 联合开发了一个实时入侵检测系统IDES(Intrusion Detection Expert System)，IDES 采用异常检测和专家系统的混合结构，Denning 1986年的论文“An Intrusion Detection Model”亦被公认为是ID领域的另一篇开山之作；受 Anderson 和IDES 的影响，在20世纪80年代出现了大量的ID原型系统，如：Audit Analysis Project、Discovery、Haystack、MIDAS、 NADIR、NSM、Wisdom and Sense Etc，商业化的IDS 直到20 世纪80 年代后期才出现，比如目前较有影响的ISS 公司是在1994 年成立的。

二、IDS 的分析

1．IDS 的定义及主要功能

入侵检测就是检测任何企图损害系统保密性、完整性或可用性的行为的一种网络安全技术。它通过对运行系统的状态和活动的监视，找出异常或误用的行为，根据所定义的安全策略，分析出非授权的网络访问和恶意的行为，迅速发现入侵行为和企图，为入侵防范提供有效的手段。

2．IDS 的分类和比较

根据检测的对象，IDS 通常分为基于主机的IDS(HIDS) 和基于网络的IDS(NIDS)。根据检测所用的分析方法，可以分为误用检测型(Misuse Detection)和异常检测型(Anomaly Detection)。

1）基于主机的入侵检测系统(HIDS)

基于主机的入侵检测，是根据主机系统的系统日志和审计记录来进行检测分析，通过对系统日志和审计记录不间断的监视和分析来发现攻击。它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击，反应的时间依赖于定期检测的时间间隔，实时性没有NIDS 好。

2）基于网络的入侵检测系统(NIDS)

基于网络的入侵检测系统是使用原始网络包作为数据源。NIDS 通常使用报文的模式匹配或模式匹配序列来定义规则，检测时将监听到的报文与规则进行比较，根据比较的结果来判断是否有非正常的网络行为。

3）误用检测型(Misuse Detection )

误用检测型主要通过攻击模式和攻击签名的形式来表达入侵行为，通过对已知系统缺陷漏洞和已知的入侵攻击手段来判断系统是否有入侵活动。其根据静态的已知的签名集合来拦截网络中的数据流，如果发现某个数据包的特性与某个签名匹配，那么就确定发现了入侵行为。

4）异常检测型(Anomaly Detection)

异常检测技术是利用统计的方法来检测系统的异常行为，它比误用检测采用了更多的统计分析技术。其需要建立目标系统及其用户的正常活动模型，然后根据此模型对系统和用户的实际活动进行审计，来判断是否对系统产生了入侵行为。

3．入侵分析技术

入侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹。提取到的数据作为信息输入到检测系统之中，检测系统对其进行分析和处理，从而得到网络入侵的判断。一方面入侵检测系统需要尽可能多地提取数据以获得足够的入侵证据，而另一方面由于入侵行为的千变万化而导致判定入侵的规则越来越复杂。为了保证入侵检测的效率和满足实时性的要求，入侵分析必须在系统的性能和检测能力之间进行权衡，合理地设计分析策略，并且可能要牺牲一部分检测能力来保证系统可靠、稳定地运行并具有较快的响应速度。

三、IDS 的研究现状与不足

1．IDS 研究现状

入侵检测过程是一个检测系统与入侵攻击者之间对抗的决策分析过程，其技术基础是基于知识和冗余推理方法的信息融合技术，而大部分工作是通过模式匹配、数据挖掘、特征选取以及机器学习等方法对数据进行分类处理。下面将对这些技术作进一步说明。

1）基于神经网络的入侵检测技术

基于神经网络的入侵检测技术是近几年来的研究热点之一。该入侵检测技术的关键在于，检测前要用入侵样本进行训练以使其具备对某些入侵行为进行分类的能力，从而能够正确“认识”各种入侵行为。采用神经网络的检测模型具有高维性、广泛互联性以及自适应性等优点。

2）基于专家系统的入侵检测技术

入侵检测的另外一个值得重视的研究方向就是基于专家系统的入侵检测技术。即根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统。例如，在数分钟之内某个用户连续进行登录，而且失败超过三次就可以被认为是一次攻击行为。

3）基于Agents 的分布式入侵检测技术

基于Agents 的分布式入侵检测技术是目前大型网络安全可移动性的语言和结构，是一种新的网络通信技术，同时又是一种入侵检测技术。可移动技术通常是一种代表用户或其他程序的软件模块在需要的时候能够主动地或被动地从一个网络节点迁移到另一个节点。

4）基于模型推理的入侵检测技术

攻击者在攻击一个系统时往往采用一定的行为程序，如猜测口令的程序。这种行为程序构成了某种具有一定行为特征的模型。根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。用基于模型推理的入侵检测技术，人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。

2．IDS 的不足

入侵检测系统作为网络安全防护的重要手段还存在着很多问题，有待于进一步深入研究和不断完善。

从性能上讲入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。

从技术上讲，入侵检测系统存在一些急于解决的问题，主要表现在下面几个方面：

1）IDS 系统本身还在迅速发展和变化，远未成熟。

2）现有IDS系统错报或虚警概率偏高，严重干扰了结果。

3）事件响应与恢复机制不完善。

4）IDS 与其他安全技术的协作性不够。

5）IDS 缺少对检测结果作进一步说明和分析的辅助工具。

6）IDS 缺乏国际统一的标准。

四、IDS 未来的发展趋势

1．IDS 系统应该具有的良好特性

无论采用什么样的检测分析技术，下一代，或者称第二代的IDS 系统将具备很多新的功能和特点：

1）系统能够可靠、持续地运行(Reliability) ；

2）方便操作和管理(Easy-to-Use and Manageability)；

3）较强的容错性，即便系统崩溃也能重启而不损失原有功能和数据(fault tolerant)；

4）自我保护功能，防止IDS 自己被侵入或颠覆(Self-Protection) ；

5）给系统带来最小的负载(Minimum Resource Consuming)；

6）能够检测出自身偏离正常运行状态的异常情况((Self- Monitoring) ；

7）较强的灵活性，方便用户裁减((Tail or ability)；

8）较强的适应和扩展性，能够很好地适应周围环境的变化(Adaptability and Scalability) ；

9）不易被欺骗，这里指系统的虚报、漏报和被外界控制及破坏的概率小(Fool-Free)；

10）完善的事件响应和灾难恢复机制(Build-in Incident Response & Recovery Mechanism)。

2．未来ID 技术发展趋势

未来ID 技术的发展将着重于：

1）标准化攻击特征模式的提取过程：以提高效率并减少复杂度；

2）检测的层次化：目前的IDS 主要对TCP/IP 协议的网络层数据包进行分析和处理，而几乎所有的实际应用都有自己的高层应用协议，未来的IDS 应当能够在网络协议的不同层次上对入侵进行检测和报警；

3）信息源的关联复用：现今几乎没有任何关于如何生成系统日志、安全记录方面的国际标准和规范，这增加了IDS 系统数据采集工作的难度。从理论上讲，从多个信号源获得的信息量会比单一信号源要多。对于IDS，如果能够充分利用网络中其他设备(路由器、主机等)或应用程序(防火墙、身份认证、访问控制系统等)产生的日志和审计记录，必将极大地提高自己检测的准确性和可靠性；

4）同其他安全产品的协作：单凭一种安全技术不能解决所有的安全问题，每一种安全产品都有自己的特长和局限，相互配合，彼此支持才能提高整个信息系统的安全性能。目前已经有IDS与防火墙厂商合作的先例(如ISS 同CheckPoint)，相信今后类似的协作将越来越多；

5）黑客跟踪与反攻击：在某些特殊应用场合，如打击高科技犯罪、保卫国防信息安全等方面将会有用武之地；

6）借鉴其他领域(如AI)的研究成果：如专家系统、神经网络、免疫系统、基于技术的检测、数据挖掘、判定树、混沌分类系统、可能性推理模型等。采用这些技术的目的主要有两个：一是增强IDS 系统自身的健壮性，二是提高IDS 系统的智能化和自适应能力。

五、小结

本文主要是对入侵检测系统进行了研究，首先介绍了 IDS 的起源以及 IDS 的分类比较，接着深入研究了 IDS 的分析技术，再在探讨了 IDS 的研究现状以及不足的基础上分析了 IDS 的发展趋势，最后比较了snort 与其他检测工具。