入侵偵測系統分析及其在Linux下實現(1)

一、入侵偵測系統分析

1.1 什麼是入侵偵測系統

所謂入侵，是指任何試圖危及電腦資源的完整性、機密性或可用性的行為。而入侵檢測，顧名思義，便是對入侵行為的發覺。它通過從電腦網路或系統中的若干關鍵點收集資訊，並對這些資訊進行分析，從而發現網路或系統中是否有違反安全性原則的行為和遭到襲擊的跡象。進行入侵檢測的軟體與硬體的組合便是入侵偵測系統簡稱IDS）。與其他安全產品不同的是，入侵偵測系統需要更多的智能，它必須可以將得到的資料進行分析，並得出有用的結果。一個合格的入侵偵測系統能大大簡化管理員的工作，保證網路安全地運行。

1.2 入侵偵測系統的分類

按檢測所使用資料來源的不同可以將IDS分為基於主機的IDS和基於網路的IDS。

基於主機的IDS使用各種審計日誌資訊如主機日誌、路由器日誌、防火牆日誌等）作為檢測的資料來源。通常，基於主機的IDS可監測系統、事件和作業系統下的安全記錄以及系統記錄。當有檔案發生變化時，IDS將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統就會向管理員警示，以採取措施。

基於網路的入侵偵測系統使用原始網路分組資料包作為資料來源。基於網路的IDS通常利用一個運行在混雜模式下的網路介面卡來即時監視並分析通過網路的所有通訊業務。一旦檢測到了攻擊行為，IDS的響應模組就會對攻擊採取相應的反應，如通知管理員、中斷串連、終止使用者等。

1.3 入侵檢測的檢測方法

入侵檢測技術通過對入侵行為的過程與特徵的研究，使安全系統對入侵事件和入侵過程能做出即時響應，從檢測方法上分為兩種：誤用入侵檢測和異常入侵檢測。

在誤用入侵檢測中，假定所有入侵行為和手段都能夠表達為一種模式或特徵，那麼所有已知的入侵方法都可以用匹配的方法發現。誤用入侵檢測的關鍵是如何表達入侵的模式，把真正的入侵與正常行為區分開來。其優點是誤判少，局限性是它只能發現已知的攻擊，對未知的攻擊無能為力。

在異常入侵檢測中，假定所有入侵行為都是與正常行為不同的，這樣，如果建立系統正常行為的軌跡，那麼理論上可以把所有與正常軌跡不同的系統狀態視為可疑企圖。比如，通過流量統計分析將異常時間的異常網路流量視為可疑。異常入侵檢測的局限是並非所有的入侵都表現為異常，而且系統的軌跡難於計算和更新。

對比這兩種檢測方法可以發現，異常檢測難於定量分析，這種檢測方式有一種固有的不確定性。與此不同，誤用檢測會遵循定義好的模式，能通過對審計記錄資訊做模式比對來檢測，但僅可檢測已知的入侵方式。所以這兩類檢測機制都不完美。就具體的檢測方法來說，現在已經有了很多入侵檢測的方法，但任何一種方法都有它的局限性，都不能解決所有問題。因而對於入侵檢測方法的研究仍然是當前入侵檢測研究的一個重點。

二、Linux下的實現

在對入侵檢測技術研究的基礎上，我們在Linux系統下設計並實現了一個基於網路的入侵偵測系統。

2.1 系統的組成結構

該系統的組成結構1所示。資料擷取模組負責從網路上收集原始的網路資料流，在經過一定的預先處理後，這些資料被送到資料分析模組，由資料分析模組進行分析，以便判斷是否有違反安全性原則的入侵行為發生。並及時將分析結果送到警示模組，由警示模組向控制台產生警示資訊。使用者可以通過使用者介面與控制台互動，通過控制台，一方面可以對各個模組進行配置，另一方面也可以接收警示資訊。