作者：周军民 

传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全。入侵检测系统通过分析、审计记录，识别系统中任何不应该发生的活动，并采取相应的措施报告与制止入侵活动。

一、分类

“入侵”（Intrusion）是个广义的概念，不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（DoS）等对计算机系统造成危害的行为。入侵行为不仅来自外部，同时也指内部用户的未授权活动。从入侵策略的角度可将入侵检测的内容分为：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。

入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS）。Dennying于1987年提出了一个通用的入侵检测模型(如图1所示)。


图1 通用入侵检测系统模型

Dennying模型的最大缺点在于它没有包含已知系统漏洞或攻击方法的知识，而这些知识在许多情况下是非常有用的信息。

入侵检测系统有三种分类方法。根据其采用的技术可以分为：

异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。

特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

另一种分类方法是根据系统所监测的对象是主机还是网络来分：

基于主机的入侵检测系统（HIDS）：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。

基于网络的入侵检测系统（NIDS）：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。

基于网关的入侵检测系统：新一代的高速网络结合路由与高速交换技术的构成，基于网关的入侵检测系统就是通过对网关中相关信息的提取，从而提供对整个信息基础设施的保护。

第三种分类是根据系统的工作方式分为离线检测系统与在线检测系统：

离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。

在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。


二、检测方法

1．统计方法：统计方法是产品化的入侵检测系统中常用的方法，它通常用于异常检测。在统计方法中，需要解决以下四个问题：

● 选取有效的统计数据测量点，生成能够反映主体特征的会话向量；
● 根据主体活动产生的审计记录，不断更新当前主体活动的会话向量；
● 采用统计方法分析数据，判断当前活动是否符合主体的历史行为特征；
● 随着时间变化，学习主体的行为特征，更新历史记录。

统计方法是一种成熟的入侵检测方法，它使入侵检测系统能够学习主体的日常行为，将那些与正常活动之间存在较大统计偏差的活动标识成为异常活动。

2．预测模式生成：预测模式生成也是一种用于异常检测的方法，它基于如下假设：审计事件的序列不是随机的，而是符合可识别的模式的。与纯粹的统计方法相比，它增加了对事件顺序与相互关系的分析，从而能检测出统计方法所不能检测的异常事件。

这一方法首先根据已有的事件集合按时间顺序归纳出一系列规则，在归纳过程中，随着新事件的加入，不断改变规则集合，最终得到的规则能够准确地预测下一步要发生的事件。

3．专家系统：用专家系统对入侵进行检测，经常是针对有特征的入侵行为。所谓的规则，即是知识，专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。

4． Keystroke Monitor：Keystroke Monitor是一种简单的入侵检测方法，它通过对用户击键序列的模式分析检测入侵行为，它可用于主机入侵检测。这一方法的缺点非常明显，首先，批处理或Shell程序可以不通过击键而直接调用一系统攻击命令序列；其次，操作系统通常不提供统一的击键检测接口，需通过额外的钩函数(Hook)来监测击键。

5． 基于模型的入侵检测方法：入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列，这种行为序列构成了具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶