网络入侵检测系统的研究和发展

1.入侵检测及IDS概述

传统上，信息安全研究包括针对特定的系统设计一定的安全策略，建立支持该策略的形式化安全模型，使用身份认证、访问控制、信息加密和数字签名等技术实现安全模型并使之成为针对各种入侵活动的防御屏障。然而近年来随着系统入侵行为程度和规模的加大，安全模型理论自身的局限以及实现中存在的漏洞逐渐暴露出来，这是信息系统复杂化后的必然结果。增强系统安全的一种行之有效的方法是采用一个比较容易实现的安全技术，同时使用辅助的安全系统，对可能存在的安全漏洞进行检查，入侵检测就是这样的技术。

1.1 入侵检测概述

入侵检测的研究最早可追溯到20世纪80年代，但受到重视和快速发展是在Internet兴起之后。早在1980年，J Anderson等人就提出了入侵检测的概念，对入侵行为进行了简单地划分，提出使用审计信息跟踪用户可疑行为。1985年， Denning在Oakland提出第一个实时入侵检测专家系统模型，以及实时的、基于统计量分析和用户行为轮廓(Profile)的入侵检测技术。该模型是入侵检测研究领域的里程碑，此后大量的入侵检测系统模型开始出现，很多都是基于Denning的统计量分析理论。进入90年代以后，随着Porras和Kemmerer基于状态转换分析的入侵检测技术的提出和完善，根据已知攻击模型进行入侵检测的方法成为该领域研究的另一热点。

入侵就是指连续的相关系列恶意行为，这种恶意行为将造成对计算机系统或者计算机网络系统的安全威胁，包括非授权的信息访问、信息的窜改设置以及拒绝服务攻击等等。入侵检测是指对恶意行为进行诊断、识别并做出响应的过程。实施入侵检测的系统称为入侵检测系统(IDS)。

衡量入侵检测系统的两个最基本指标为检测率和误报率，两者分别从正、反两方面表明检测系统的检测准确性。

实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率，但在实际的检测系统中这两个指标存在一定的抵触，实现上需要综合考虑。除检测率和误报率外，在实际设计和实现具体的入侵检测系统时还应考虑操作方便性、抗攻击能力、系统开销大小、可扩展性、自适应能力、自学习能力以及实时性等。

从系统组成上看，入侵检测一般由3个部分组成：数据采集、入侵检测、响应。数据采集模块根据入侵检测类型的不同，采集不同类型的数据，比如网络的数据包、操作系统的系统调用日志或者应用日志。数据采集模块往往会对采集到的信息进行预处理，包括对信息进行简单的过滤，输出格式化的信息。前者有助于消除冗余数据，提升系统的性能；后者可提升系统的互操作性。预处理后的信息一般都先存放到日志数据库中，再提交给分析引擎。分析引擎实现检测算法。从最简单的字符串匹配到复杂的专家系统甚至神经网络，分析引擎是入侵检测系统的核心，分析引擎最终判定一个行为是异常的还是正常的。检测策略包含了如何诊断入侵的配置信息、入侵的签名(也就是入侵的行为特征)。各种阈值也往往存放在检测策略中。状态信息包含了检测所需的动态信息，比如部分执行的入侵签名，当前发生在系统中的行为上下文等。分析引擎在做出行为的入侵判断后将判断的结果直接发给响应模块。响应模块然后根据响应策略中预定义的规则进行不同的响应处理。一般来说，可能的响应行为包括：发出报警，通知管理员。对恶意行为自动地采取反击措施，一方面可自动地重新配置目标系统，阻断入侵者；另一方面可以重新配置检测策略和数据采集策略，如可针对正在执行的特定行为采集更多的信息，对行为的性质进行更准确的判断。