dustpan第八章入侵检测系统

第八章

入侵检测系统

第一节

引言

通过电子手段对一个组织信息库的恶意攻击称为信息战

(inf ormation

warfare)

。

攻

击的目的可能干扰组织的正常活动，甚至企图对组织的信息库造成严重的破坏。对信 息

战的各种抵抗措施都可归结为三类：保护、检测、响应。

保护

(

入侵的防范

< br>)

指保护硬件、

软件、

数据抵御 各种攻击的技术。

目前各种网络安

全设施如防火墙及

，各种加密技术，身份认证技术，易攻击性扫描等都属于保护的

范围之内，它们是计算机系统的第一道防线。

检测

(

入侵的检测

< br>)

研究如何高效正确地检测网络攻击。

只有入侵防范不足 以保护计

算机的安全，任何系统及协议都不可避免地存在缺陷，可能是协议本身也可能是 协议的

实现，还有一些技术之外的社会关系问题，都能威胁信息安全。因此即使采用这些 保护

措施，入侵者仍可能利用相应缺陷攻入系统，这意味着入侵检测具有其他安全措施所 不

能代替的作用。

响应

(

入侵的响应

< br>)

是入侵检测之后的处理工作，

主要包括损失评估，

根除入侵者留

下的后门，数据恢复，收集入侵者留下的证据等。这三 种安全措施构成完整的信息战防

御系统。

入侵检测（

Intrusion

De tection

，

ID

）是本章讨论的 主题之一，它通过监测计算机

系统的某些信息，加以分析，检测入侵行为，并做出反应。 入侵检测系统所检测的系统

信息包括系统记录，网络流量，应用程序日志等。入侵（

Intrusion

）定义为未经授权

的计 算机使用者以及不正当使用

(misuse)

计算机的合法用户

(

内部威胁

)

，

危害或试图危

害资源的完整性、

保密 性、

可用性的行为。

入侵检测系统

（< /p>

Intrusion

Detection

System

，

IDS

）是实现入 侵检测功能的硬件与软件。入侵检测基于这样一个假设，即：入侵行为

与正常行为有显著 的不同，因而是可以检测的。入侵检测的研究开始于

20

世纪< /p>

80

年代，

进入

90

年代入侵检测成为研究与应用的热点，其间出现了许多研究原型与商业产品。

入侵检测系统在功能上是入侵防范系统的补充，而并不是入侵防范系 统的替代。相

反，它与这些系统共同工作，检测出已经躲过这些系统控制的攻击行为。入 侵检测系统

是计算机系统安全、网络安全的第二道防线。

一个理想的入侵检测系统具有如下特性：

?

能以最小的人为干预持续运行。

?

能够从系统崩溃中恢复和重置。

?

能抵抗攻击。

IDS

必须能监测自身和检测自己是否已经被攻击者所改变。

?

运行时占用系统的开销最小。

?

能够根据被监视系统的安全策略进行配置。

?

能在使用过程中适应系统和用户行为的改变。

当被监控系统的规模和受攻击的机会增加时，我们认为下列的特征也同样重要：

?

能够检测具有一定规模的网络。

?

保证当

I DS

某一部分被攻破时，对其余部分造成的影响尽可能的小。

?

允许动态的再配置，即它必须有不 用重新启动而能再次配置的功能。

?

提供很低的误报率。

?

提供互操作性，在不同环境中运行 的

IDS

组件能够相互作用。

?

提供方便的用户界面，使管理者方便地配置和监视系统。

?

能够以实时或接近于实时的方式检测入侵。

< br>目前的入侵检测系统

（包括研究的原型和商业化的

IDS

）

的数目已经超过一百个，

它