第 7卷
2007正
第 11期
11月
V01.7.NO.11
NOV., 2007
文章编号:1671~1807(2007)11—0045—03
企业入侵检测系统的研究与实现
特 沙
(湖南大学 软件 学院,长沙 410082;湖南财经高等专科学校 ,长 沙 410205)
摘要 :深入研究入侵检测 系统 的分类方式及所 采用的技 术手段 。结合企业 的安全 需要提 出一种基 于主机和 网络 的入侵
检 测 系统的体 系结构框架 ,从 而达到提 高企业 网络 系统的安全防护水平 。
关键词 :信息安全 ;企业 ;入侵检测 系统
中图分 类号 :TP309 文献标 志码 :A
随着互联网和信息技术的飞速发展,利用网络入
侵的事件越来越多,网络安全问题 已成为人们关注的
焦点,各种网络安全方案及安全产品应运而生。入侵
检测系统作为安全的最后一道屏障 ,能提供强大的主
动策略和解决方案 ,成为既能防止内部入侵又能防止
外部入侵 、保护用户数据的主要手段和发展趋势。入
侵检测的研究最早可以追溯 到 James P·Anderson
在 1980年为美国空军做的题为《计算机安全威胁监
控与监视》的技术报告 ,报告 中第一次详细阐述 了入
侵检测的概念。
入侵检测是对入侵行为的检测或发现 ,它通过对
计算机网络或计算机系统 中的若干关 键点收集信息
并对其进行分析,从中发现网络或系统中是否有违反
安全策略的行为和被攻击的迹象。入侵检测作为防
火墙的合理补充 ,能在不影响网络性能的情况下对 网
络进行监听,提供对内部攻击 、外部攻击 和误操作 的
实时保护,从而扩展了系统管理员的安全管理能力,
极大地提高了网络的安全性 。
1 入侵检测系统概念
关心的报文即可。与其他安全产品不同,入侵检测系
统需要更多的智能,它必须能够将收集到的数据进行
分析 ,并得出有价值 的结果。在实际 的部署 中,入侵
检测系统是并联在网络中,通过旁路监 听的方式实时
地监视网络中的流量 ,对网络的运行和性能无任何影
响 ,同时判断其 中是否有攻击 的企 图。入侵检测/响
应流程图如图 1所示。
图 1 入侵检测/响应流程 图
2 入侵检测系统的分类
入侵检测系统依照信息来源收集方式的不同,可
分为主机型和网络型两种;另外 ,按其 分析方法可分
为异常检测和误用检测两种,其分类架构图如图 2所
示 ;
入侵 检 测 系 统 (Intrusion Detection System,
IDs)是进行人侵检测的软件与硬件的组合。它是一
种网络安全系统,当恶意用户试图通过 Internet进入
网络或者计算机系统 时,它 能够检测 出来并 进行报
警,通知网络该采取措施进行响应。在本质上,入侵
检测系统是一种典型的“窥探设备 ”。它不跨接多个 ,
物理网段(通常只有一个监听端口),也无须转发任何
流量,而只需要在网络上被动地 、无声息地收集它所
图 2 入侵检测系统分类架构 图
依照信息来源收集方式分类
1)主机型入侵检测系统。主机型入侵检测系统
收稿 日期 :2()()7一O6 21
作者简介:付沙(1980一),男,湖南长沙人 ,湖南财经高等专科学校信息管理系助教,硕士研究生,研究方向:网络信息安
全 。
45
维普资讯
科技和产业 第 7卷 第 ll期
是早期的入侵检测系统结构 ,其检测的目标主要是主
机系统和系统本地用户 ,检测原理是根据主机的审计
数据和系统 日志发现可疑事件,检测系统可以运行在
被检测 的主机或单独的主机上。
2)网络型入侵检测 系统。网络型入侵检测系统
是通过分析主机之间网线上传输的信息来工作的,它
通常利用一个工作在“混杂模式”下的网卡来实时监
视并分析通过网络的数据流。它 的分析模块通常使
用模式匹配 、统计分析等技术来识别攻击行为 。
3)“混和”型入侵检测系统。上文提到主机型和
网络型的入侵检测系统都有各 自的优缺点,而将这两
种系统进行有机结合的入侵检测系统,不妨称之为
“混和”型入侵检测系统。许多机构的网络安全解决
方案都采用了“混和”型入侵检测系统,因为它能够大
幅度提升网络和系统面对攻击和错误使用时 的抵抗
力 ,使得安全实施更加有效。
2.2 依照入侵检测分析方法分类
1)异常检测。异常检测是指根据用户 的行为或
资源使用状况的正常程度来判断是否属于入侵 。根
据这一理念建立主体正常活动的“活动简档”,将 当前
主体的活动状况与“活动简档”相比较,当违反其统计
规律时,便认为该活动可能是“入侵”行为l_1j。
对于异常检测的理论研究而言,目前主要采用了
专家系统 、量化分析 、统计分析和基于规则的检测等
处理手段,如标准偏差模型、马尔可夫过程模 型、
Haystack系统 、Wisdom and Sense系统等 。
2)误用检测。误用检测根据已知的攻击方法 ,预
先定义入侵模式,通过判断这些模式是否出现来完成
检测任务 。这一检测假设入侵者活动可 以用一种模
式来表示,系统的目标是检测主体活动是否符合这些
模式。它能够将 已有的入侵方法检查 出来 ,但对新的
入侵方法却无能为力 。其难点在于如何设计模式既
能够表达“入侵”现象又不会将正常的活动包含进来 。
对于误用检测而言 ,目前主要有简单模式匹配 、
专家系统、状态转移法等处理方法,如 Snort、P~
BEST专家系统、STAT系统及 IDIOT系统等。
由上可知,异常检测和误用检测都具有各自的优
缺点,因此,实用的系统通常同时采用以上两种技术,
同时兼顾其优点 ,以降低漏检率和误检率 。
3 入侵检测系统采用的技术手段
通常入侵检测系统采用 以下三种技术手段进行
分析:模式匹配、统计分析和完整性分析。其中模式
匹配和统计分析用于实时的入侵检测 ,而完整性分析
46
则用于事后分析l_2j。
1)模式匹配。模式匹配就是将 收集到的信息与
已知的网络入侵和系统误用模式数据库进行比较,从
而发现违背安全策略的行为。该方法的优点是只需
收集相关的数据集合,显著减少系统负担,且技术已
相当成熟。它与病毒防火墙采用的方法一样 ,检测准
确率和效率都相当高。但是 ,该方法存在的弱点是需
要不断地升级以对付不断出现的黑客攻击手法 ,不能
检测到从未出现过的黑客攻击手段。
2)统计分析。统计分析方法首先给系统对象(如
用户 、文件、目录和设备等)创建一个统计描述 ,统计
正常使用时的一些测量属性 (如访 问次数、操作失败
次数和延 时等)。测量属性 的平均 值将 被用来 与网
络、系统的行为进行 比较 ,任何观察值在正常值范围
之外时,就认为有入侵发生。其优点是可检测到未知
的入侵和更为复杂的入侵 ,缺点是误报、漏报率高,且
不适应用户正常行为的突然改变 。
3)完整性分析。完整性分析主要关注某个文件
或对象是否被更改 ,这经常包括文件和目录的内容及
属性,它在发现被更改的、被木马化的应用程序方面
特别有效。完整性分析利用强有力的加密机制 ,称为
消息摘要函数 ,它能识别极其微小的变化。其优点是
不管模式匹配方法和统计分析方法能否发现入侵 ,只
要是成功的攻击导致了文件或其它对象的任何改变,
它都能够发现 。缺点是一般以批处理方式实现 ,不用
于实时响应。
4 企业入侵检测系统的体系结构
主机型入侵检测系统和 网络型入侵检测 系统都
有不足之处,但由于它们的缺陷是互补的,因此,可以
将这两种系统有机地结合起来部署在网络内,构建成
所谓的“混和”型入侵检测 系统 。此 系统综合 了主机
型和网络型两种入侵检测系统的结构特点 ,既可以发
现网络中的攻击信息,也可从系统日志中发现异常情
况。为企业设计的入侵检测系统,其体系结构如图3
所示 。
该入侵检测 系统 由管理节点 和检测节点组成。
其中,管理节点可以是一个分离的设备,也可以利用
共享系统实现 ,它是 网络管理员与整个人侵检测系统
的人机交互接口。管理节点的基本功能是 ]:①为网
络管理员提供监控 网络的接 口;②当某个检测节点报
告入侵行为时产生相应的响应 ;③对各检测节点主动
或被动送来的检测数据进行汇总、分析并产生相应的
响应;④ 向各检测节点分发相应指令 ,以完成对入侵
维普资讯
企业入侵检测 系统 的研究 与实现
行动的响应或加载新的检测程序。
⋯ 。’⋯ 。。⋯ ‘⋯ ⋯ ⋯ ‘。⋯ ⋯ ‘。。⋯ ⋯ 。。⋯ 。。: 。⋯ ‘。⋯ ⋯ ’。‘⋯ 。⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ‘⋯ ⋯
管理模块 入侵检测模块
: ::
图 3 企业入侵检测系统的体 系结构
检测节点必须是可进行检测更新规则的节点,同 硬件设备等)的任何变更 ,还能给企业 网络安全策略
是也是网络中需要重点保护的对象。这些检测节点 的制订提供指南 。更为重要 的是 ,使用它易于管理、
不仅可以自主地完成对信息的收集工作,还可以协同 配置简单、操作简便,使企业全体员工非常容易地获
其他检测节点或管理节点 的命令进行工作 。其基本 得网络安全。当然,入侵检测系统 的规模还应该能够
功能为:①当发现入侵行为时,先采取主动地回应,并 根据网络威胁、系统构造和安全需求的改变而改变。
向管理节点报告;② 当发现可疑行 为时,向管理节点
报告 ;③当发现可疑行为时 ,向其他相关检测节点发
出协同工作请求,要求安装并启动对某种特征的数据
包的检测 ,并对返回的信息进行分析 ;④加载管理节
点或其他检测节点发来的请求 ,进行数据分析检测并
返回检测结果。
对一个 良好 的企业入侵检测系统来说,它不但可
使系统管理员时刻了解 网络系统(包括程序 、文件和
参考文献
[1]宋继军.校园网中分布式入侵检测系统模型的设计[J].铁路
计算机应用 ,2006,1 5(3):40—43.
E23姜卓彦.企业级入侵检测系统的设计与实现[J].计算机与现
代化 ,2006(5):63—65,68.
[33郑关胜,李含光.基于动态网络安全模型的入侵检测系统的研
究[J].计算机应用,2006,26(6):16O一161,185.
The Research and Im plem entation of Enterprise Intrusion Detection System
FU Sha
(Software School,Hunan University,Changsha 410082;Hunan Finance and Economics College,Changsha 410205,China)
Abstract:Fourthly,the classification of the intrusion detection systems and the techniques are lucubrated.Combine the safety needs of corpora
tions,an architecture of intrusion detection systems based on host and network is presented,to enhance the safety protection level of corporation
network system.
Key words:information security;enterprise~intrusion detection system
47
维普资讯