入侵检测系统是什么

入侵检测系统(IDS)是一种网络安全设备，它可以即时监控网络传输，并在发现可疑传输时发出警报或采取主动响应措施。入侵检测系统与其他网络安全设备的区别在于，入侵检测系统是一种主动安全保护技术。

入侵检测系统(IDS)是一种网络安全设备，它可以即时监控网络传输，并在发现可疑传输时发出警报或采取主动响应措施。入侵检测系统与其他网络安全设备的区别在于，入侵检测系统是一种主动安全保护技术。IDS最早出现在1980年4月。80年代中期，IDS逐渐发展成为IDES。1990年，IDS分为基于网络的IDS和基于主机的IDS。然后就是分布式IDS。目前IDS发展迅速，有人声称IDS完全可以取代防火墙。

简介

IDS是一个计算机监控系统。它实时监控系统，一旦发现异常情况，就会发出警告。根据信息源和检测方法的不同，按信息源可分为基于主机的入侵检测系统和基于网络的入侵检测系统，按检测方法可分为异常入侵检测和误用入侵检测。与防火墙不同，IDS入侵检测系统是一个监听设备，它不在任何链路上桥接，没有网络流量流经也能工作。因此，部署入侵检测系统的唯一要求是入侵检测系统应该连接到所有相关流量必须流经的链路上。这里，& # 8221；感兴趣的流量& # 8221；它指的是来自高风险网络区域的访问流量和需要计数和监控的网络消息。在今天的网络拓扑中，很难找到以前共享媒体冲突域的HUB型网络，大部分网络区域已经升级为交换式网络结构。因此，入侵检测系统在交换网络中的位置通常选择在尽可能靠近攻击源或受保护资源的地方。这些位置通常是:在服务器区域的交换机上；在互联网接入路由器之后的第一个交换机上；重点保护网段的局域网交换机。由于近年来入侵检测系统市场的快速发展，许多公司都在这个领域进行了投资。Venustech (Venus Tech)、互联网安全系统(ISS)、思科、赛门铁克等公司纷纷推出自己的产品。

系统组成

IETF将入侵检测系统分为四个部分:

事件生成器，其目的是从整个计算环境中获取事件，并将其提供给系统的其他部分。

事件分析器，通过分析获取数据并产生分析结果。

响应单元是对分析结果做出响应的功能单元，可以做出切断连接、改变文件属性等强烈反应，也可以简单的发出警报。

事件数据库(Event database)事件数据库是存储各种中间数据和最终数据的地方的总称。它们可以是复杂的数据库或简单的文本文件。

系统缺陷

1998年2月，安全网络公司指出IDS有很多弱点，主要表现在:IDS检测数据；防止入侵检测系统自我攻击。由于现代网络的快速发展，网络传输速率大大加快，给入侵检测系统造成了很大的负担，也意味着入侵检测系统在检测攻击活动时不可靠。当IDS处理自己的攻击时，对其他传输的检测也会受到抑制。同时，由于模式识别技术的不完善，入侵检测系统的高误报率也是一个主要问题。

安全策略

入侵检测系统根据入侵检测行为分为异常检测和误用检测两种模式。前者首先要建立一个系统访问正常行为的模型，任何访客不符合这个模型的行为都会被判定为入侵；后者则相反，首先要总结所有可能出现的不利和不可接受的行为来建立一个模型，任何符合这个模型的来访者行为都会被判定为入侵。

这两种模式的安全策略完全不同，各有利弊:异常检测的假阴性率很低，但不符合正常行为模式的行为不一定是恶意攻击，所以这种策略的假阳性率很高；由于直接匹配的不可接受的行为模式，误用检测具有较低的误报率。但是恶意行为是千变万化的，在行为模式数据库中不一定能收集到，所以假阴性率很高。这就要求用户根据系统的特点和安全需求制定策略，选择行为检测模式。现在的用户都采用两种模式结合的策略。

通信协议

入侵检测系统中的组件之间需要通信，不同制造商的入侵检测系统之间也需要通信。因此，需要定义一个统一的协议。目前，IETF有一个专门的小组，入侵检测工作组(IDWG)，负责定义这种通信格式，称为入侵检测交换格式(IDEF)，但还没有统一的标准。在设计通信协议时，应该考虑以下问题:系统和控制系统之间传输的信息非常重要，因此必须保持数据的真实性和完整性。双方之间必须有一定的认证和保密传输机制(同时防止主动和被动攻击)；由于异常情况，通信双方都可能中断，因此入侵检测系统必须有额外的措施来确保系统的正常运行。

检测技术

通过分析各种事件，发现违反安全策略是入侵检测系统的核心功能。从技术上讲，入侵检测可以分为两类:一类是基于特征的，另一类是基于异常的。

对于基于标志的检测技术，首先要定义违反安全策略事件的特征，如网络数据包的一些报头信息。检测主要是判别这些特征是否出现在采集的数据中。这个方法和杀毒软件很像。

基于异常的检测技术首先定义一组系统“正常”值，如CPU利用率、内存利用率、文件校验和等。(这类数据可以人为定义，也可以通过观察系统，使用统计方法获得)，然后将系统运行值与定义的“正常”条件进行比较，找出是否有攻击的迹象。这种检测方法的核心在于如何定义所谓的“正常”情况。

两种检测技术的方法和结论大相径庭。基于标记的检测技术的核心是维护知识库。对于已知的攻击，它可以详细、准确地报告攻击类型，但对未知攻击的作用有限，知识库必须不断更新。基于异常的检测技术不能准确识别攻击战术，但它可以(至少在理论上)识别更广泛的甚至未被检测到的攻击。

检测方法

异常检测方法

在异常入侵检测系统中，经常使用以下检测方法:基于贝叶斯推理的检测方法:在任意给定时间，测量变量值，通过推理判断入侵事件。

基于特征的选择检测方法:指从一组度量中选择能够检测到入侵的度量，并利用它对入侵行为进行预测或分类。

基于贝叶斯网络的检测方法:随机变量之间的关系用图形表示。随机变量的连接概率分布通过指定一个与相邻节点相关的小概率集来计算。给定所有节点的组合，所有根节点的先验概率和非根节点的概率构成这个集合。贝叶斯网络是有向图，弧表示父节点和子节点之间的依赖关系。当随机变量的值已知时，允许吸收作为证据，为判断其他剩余随机变量的条件值提供了一个计算框架。

基于模式预测的检测方法:事件序列不是随机发生的，而是遵循某种可辨别的模式，这是基于模式预测的异常检测方法的假设。其特点是考虑事件序列及其相互关系，只关注少数相关的安全事件，这是这种检测方法最大的优点。基于统计的异常检测方法:它是根据用户对象的活动为每个用户建立一个特征概要表，通过比较当前特征与之前建立的特征来判断当前行为的异常。用户档案表应根据审核记录不断更新，其保护应消除多个测量指标，这些指标应根据一段时间内的经验值或统计数据获得。基于机器学习的检测方法:根据离散数据的临时序列，学习网络、系统和个体的行为特征，提出了一种基于相似性的示例学习方法IBL。该方法通过新的序列相似度计算，将原始数据(如离散事件流和无序记录)转化为可测空。然后，利用IBL学习技术和一种新的基于序列的分类方法，发现异常事件，检测入侵行为。其中，成员分类的概率由阈值的选择决定。

数据挖掘检测方法:数据挖掘的目的是从海量数据中提取有用的数据信息。网络中会有大量的审计记录，其中大部分是以文档的形式存储的。用人工的方法发现记录中的异常现象是远远不够的，因此将数据挖掘技术应用到入侵检测中，可以从审计数据中提取有用的知识，然后利用这些知识区域来检测异常入侵和已知入侵。采用的方法是KDD算法，该算法具有擅长处理大量数据和分析数据关联的优点，但实时性较差。

基于应用模式的异常检测方法:该方法根据服务请求类型、服务请求长度和服务请求包大小分布计算网络服务的异常值。通过将实时计算的异常值与训练的阈值进行比较，可以发现异常行为。

基于文本分类的异常检测方法:该方法将系统生成的进程调用集转换为“文档”。利用K近邻聚类文本分类算法计算文档的相似度。