基于网络入侵检测系统的探讨

基于网络入侵检测系统的探讨

韦国贞

摘要：入侵检测系统是一种基于主动策略的网络安全系统，从入侵检测系统的定义出发，对入侵检测系统进行了分类讨论，最后分析了入侵检测系统面临的主要问题以及如何选择一个理想的入侵检测系统。

关键词：入侵检测系统；网络安全；检测技术

引言

计算机网络技术的飞速发展，极大地改变了人们的学习、工作以及生活方式。随之计算机及网络系统中存储的重要信息越来越多，系统的安全问题也显得日益突出。我们希望找到更好的措施来保护系统免受入侵者的攻击。尽管已有多种防御技术，如防火墙，但它只是一种静态、被动的防护技术，要求事先设置规则，对于实时攻击或异常行为不能实时反应，无法自动调整设置来阻断正在进行的攻击。因而对于网络入侵检测系统的研究显的尤为重要，它是一种动态的网络安全策略，能够有效地发现入侵行为和合法用户滥用特权的行为，它是P2DR(动态安全模型)的核心部分。

1网络入侵检测系统的概念

入侵检测系统(IntrusionDetectionSystem，简称IDS)是从多种计算机系统及网络系统中收集信息，再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。

2入侵检测系统的工作流程

2.1信息收集

入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的原因就是从一个信息源有可能看不出疑点，但从多个来源的信息的不一致性来看就是可疑行为或入侵的最好标识。入侵检测利用的信息一般来自以下四个方面：

a.网络日志文件

b.目录和文件中的不期望的改变

c.程序执行中的不期望行为

d.物理形式的入侵信息

2.2信号分析

对上述收集到的4类信息，有关系统、网络、数据及用户活动的状态和行为等信息，一般要通过三种技术手段对其进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

2.3检测办法

当收集到证据后，系统就要判断它是否就是入侵。一般来说，IDS有一个知识库，知识库记录了特定的安全策略，IDS获得信息后，与知识库中的安全策略进行比较，进而发现违反规定的安全策略的行为。要定义知识库有很多种方式，最普遍的做法是检测报文中是否含有攻击特征，知识库中给出何种报文是攻击的定义。

3入侵检测系统的分类

根据IDS的发展历史，检测原理、体系结构和系统特征的分析，以及对多个有重大学术影响力的IDS研究原型的研究，入侵检测系统可以按以下几个方面进行分类。

3.1按照入侵检测的数据来源和系统结构分为：基于主机的IDS(HIDS)、基于网络的IDS(NIDS)和分布式IDS(DIDS)。

3.2按照入侵检测系统的工作方式分为：在线检测系统与离线检测系统。

3.3按照入侵检测所采用的技术分为：异常检测和误用检测。

4入侵检测系统目前存在的问题

经过二十多年的研究与开发，入侵检测技术得到了飞速的发展，但是目前还存在很多的问题。主要有：

4.1大量的误报和漏报。误报不仅降低了入侵检测系统的效率，而且很大程度上降低了原系统的服务质量。漏报具有更大的危险性，它是入侵检测系统对真正的攻击或入侵没有报警。

4.2自身缺少防御功能。一旦IDS本身受到攻击，则整个检测系统都会瘫痪，以后的入侵行为都没法被记录。

4.3互动性能低。在大型网络中，网络的不同部分可能使用了多种IDS，甚至还有防火墙、漏洞扫描等其他类别的安全设备，这些IDS之间以及IDS和其他安全组件之间交换信息，共同协作来发现攻击、作出响应并阻止攻击的能力差。

4.4实时性差。IDS经常被要求来及时地评价事件，但是现有的IDS很难满足这一要求，特别当面临着大量的事件时。

5系统安全性分析

采用先进的声纹鉴别技术，可以有效防止模仿假冒者和录音假冒者。即使随身锁被盗抢、密码被窃取，或由于一时的疏忽没有及时收好，不是合法使用者也难以访问被保护的数据。再者，本系统还可在客户端内置报警器，由于生物特征的惟一性，不必提供重试机会，一旦碰到假冒者的声纹，除了拒绝服务，还可以发出警报。

系统只允许单进程访问，确保不被跟踪。密钥文件属性为不可读，无法获得密钥。密钥算法可以采用比较流行的MD5算法，也可以使用相对来说更加安全的SHA-1和RIPEMD-160。这样，算法、密钥、运算三个因素都是安全的，也就确保了整个认证过程的安全。密钥的生成和运算都是在客户端软件内部进行的，外部无法使用软件跟踪算法。符合了密码学理论中的强双因子认证要求，即所知和所有相结合。

6理想入侵检测系统的选择

网络入侵检测系统结构如图1所示，其性能取决于软、硬件两方面的因素。

图1入侵检测系统结构图

6.1软件因素

网络抓包的效率；数据包重组和TCP流重组的效率；入侵分析的效率；C/S结构下，网络通信的延迟；事件日志库的记录能力；控制台的事件显示效率。

6.2硬件因素

硬件方面主要是CPU处理能力、内存、网卡和硬盘IO等。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的是，它应该管理和配置简单，从而使非专业人员非常容易地获得网络安全。

参考文献

[1]韩东海．入侵检测系统实例剖析[M]．北京：清华大学出版社.2002．

[2]李金晶.关于网络安全中身份认证技术的探讨[J].科技进步与对策，2002，8.

[3]赵亮.基于指纹识别的生物特征身份认证技术研究与实现.科学技术与工程，2006。8.

[4]龙毅宏.动态口令的安全脆弱性分析及对策[J].信息安全与通信保密，2006，7.

作者简介：韦国贞（1973~），男，讲师，河南舞钢人，平顶山育学院，研究方向：网络应用技术