企业入侵检测系统的研究与实现

1、企业入侵检测系统的研究与实现论文导读：入侵检测系统作为平安的最后一道屏障，能提供强大的主动策略和解决方案，成为既能防止内部入侵又能防止外部入侵、保护用户数据的主要手段和开展趋势。为企业设计的入侵检测系统，其体系结构如图3所示。关键词：信息平安，企业，入侵检测系统1 引言随着互联网和信息技术的飞速开展，利用网络入侵的事件越来越多，网络平安问题已成为人们关注的焦点，各种网络平安方案及平安产品应运而生。入侵检测系统作为平安的最后一道屏障，能提供强大的主动策略和解决方案，成为既能防止内部入侵又能防止外部入侵、保护用户数据的主要手段和开展趋势。入侵检测的研究最早可以追溯到James PAnderson在

2、1980年为美国空军做的题为?计算机平安威胁监控与监视?的技术报告，报告中第一次详细阐述了入侵检测的概念。入侵检测IntrusionDetection是对入侵行为的检测或发现。它通过对计算机网络或计算机系统中的假设干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反平安策略的行为和被攻击的迹象。入侵检测作为防火墙的合理补充，在不影响网络性能的情况下能对网络进行监听，提供对内部攻击、外部攻击和误操作的实时保护，从而扩展了系统管理员的平安管理能力，大大提高了网络的平安性。2 入侵检测系统概念入侵检测系统IntrusionDetection System，IDS是进行入侵检测的软件与硬件的

3、组合。它是一种网络平安系统，当恶意用户试图通过Internet进入网络或者计算机系统时，它能够检测出来并进行报警，通知网络该采取措施进行响应。在本质上，入侵检测系统是一种典型的窥探设备;。它不跨接多个物理网段通常只有一个监听端口，也无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。与其他平安产品不同，入侵检测系统需要更多的智能，它必须能够将收集到的数据进行分析，并得出有价值的结果。在实际的部署中，入侵检测系统是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否有攻击的企图。一个合格的入侵检测系统能大大地简化管理员的工作

4、，保证网络平安的运行。入侵检测/响应流程图如图1所示。 图1 入侵检测/响应流程图 3 入侵检测系统的分类3.1 依照信息来源收集方式分类入侵检测系统依照信息来源收集方式的不同，可分为主机型Host-Based IDS和网络型Network-BasedIDS两种；另外按其分析方法可分为异常检测Anomaly Detection，AD和误用检测Misuse Detection，MD，其分类架构图如图2所示； 图2 入侵检测系统分类架构图 1主机型入侵检测系统主机型入侵检测系统是早期的入侵检测系统结构，其检测的目标主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件，检

5、测系统可以运行在被检测的主机或单独的主机上。2网络型入侵检测系统网络型入侵检测系统是通过分析主机之间网线上传输的信息来工作的，它通常利用一个工作在混杂模式;下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。3混和;型入侵检测系统上文提到主机型和网络型的入侵检测系统都有各自的优缺点，而将这两种系统进行有机结合的入侵检测系统，不妨称之为混和;型入侵检测系统。许多机构的网络平安解决方案都采用了混和;型入侵检测系统，因为它能够大幅度提升网络和系统面对攻击和错误使用时的抵抗力，使得平安实施更加有效。3.2 依照入侵检测方法分类1异常检测异常检测是指根据

6、用户的行为或资源使用状况的正常程度来判断是否属于入侵。根据这一理念建立主体正常活动的活动简档;，将当前主体的活动状况与活动简档;相比拟，当违反其统计规律时，便认为该活动可能是入侵;行为。对于异常检测的理论研究而言，目前主要采用了专家系统、量化分析、统计分析和基于规那么的检测等处理手段，如标准偏差模型、马尔可夫过程模型、Haystack系统、Wisdom and Sense系统等。2误用检测误用检测根据的攻击方法，预先定义入侵模式，通过判断这些模式是否出现来完成检测任务。这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它能够将已有的入侵方法检查出来，但对新的

7、入侵方法却无能为力。其难点在于如何设计模式既能够表达入侵;现象又不会将正常的活动包含进来。对于误用检测而言，目前主要有简单模式匹配、专家系统、状态转移法等处理方法，如Snort、P-BEST专家系统、STAT系统及IDIOT系统等。由上可知，误用检测和异常检测都具有各自的优缺点，因此，实用的系统通常同时采用以上两种技术，同时兼顾其优点，以降低漏检率和误检率。4 入侵检测系统采用的技术手段通常入侵检测系统采用以下三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中模式匹配和统计分析用于实时的入侵检测，而完整性分析那么用于事后分析。1模式匹配模式匹配就是将收集到的信息与的网络入侵和系统误用模

8、式数据库进行比拟，从而发现违背平安策略的行为。该方法的优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。2统计分析统计分析方法首先给系统对象如用户、文件、目录和设备等创立一个统计描述，统计正常使用时的一些测量属性如访问次数、操作失败次数和延时等。测量属性的平均值将被用来与网络、系统的行为进行比拟，任何观察值在正常值范围之外时，就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户

9、正常行为的突然改变。3完整性分析完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被木马化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数例如MD5，它能识别极其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。5 企业入侵检测系统的体系结构主机型入侵检测系统和网络型入侵检测系统都有缺乏之处，但由于它们的缺陷是互补的，因此，可以将这两种系统有机地结合起来部署在网络内，构建成所谓的混和;型入侵检测系统。此系统

10、综合了主机型和网络型两种入侵检测系统的结构特点，既可以发现网络中的攻击信息，也可从系统日志中发现异常情况。为企业设计的入侵检测系统，其体系结构如图3所示。 图3 企业入侵检测系统的体系结构 该入侵检测系统由管理节点和检测节点组成。其中，管理节点可以是一个别离的设备，也可以利用共享系统实现，它是网络管理员与整个入侵检测系统的人机交互接口。管理节点的根本功能是：1为网络管理员提供监控网络的接口；2当某个检测节点报告入侵行为时产生相应的响应；3对各检测节点主动或被动送来的检测数据进行汇总、分析并产生相应的响应；4向各检测节点分发相应指令，以完成对入侵行动的响应或加载新的检测程序。检测节点必须是可进行

11、检测更新规那么的节点，同是也是网络中需要重点保护的对象。这些检测节点不仅可以自主地完成对信息的收集工作，还可以协同其他检测节点或管理节点的命令进行工作。其根本功能为：1当发现入侵行为时，先采取主动地回应，并向管理节点报告；2当发现可疑行为时，向管理节点报告；3当发现可疑行为时，向其他相关检测节点发出协同工作请求，要求安装并启动对某种特征的数据包的检测，并对返回的信息进行分析；4加载管理节点或其他检测节点发来的请求，进行数据分析检测并返回检测结果。对一个良好的企业入侵检测系统来说，它不但可使系统管理员时刻了解网络系统包括程序、文件和硬件设备等的任何变更，还能给企业网络平安策略的制订提供指南。更为重要的是，使用它易于管理、配置简单、操作简便，使企业全体员工非常容易地获得网络平安。当然，入侵检测系统的规模还应该能够根据网络