入侵检测系统(Intrusion Detection System)就是对网络或操作系统上的可疑行为做出策略反应,及时切断资料入侵源、记录、并通过各种途径通知网络管理员,最大幅度地保障系统安全,是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护, 最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。
2.2 入侵检测系统的分类
入侵检测系统按照其数据来源来看,可以分为三类:
(1)基于主机的入侵检测系统
基于主机的入侵检测系统一般主要使用操作系统的审计跟踪*志作为输入,某些也会主动与主机系统进行交互以获得不存在于系统*志中的信息。其所收集的信息集中在系统调用和应用层审计上,试图从*志判断滥用和入侵事件的线索。
(2)基于网络的入侵检测系统
基于网络的入侵检测系统在通过在计算机网络中的某些点被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中获取有用的信息,再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
(3)采用上述两种数据来源的分布式的入侵检测系统
这种入侵检测系统能够同时分析来自主机系统审计*志和网络数据流的入侵检测系统,一般为分布式结构,有多个部件组成。
入侵检测系统按照其采用的方法来看,可以分为三类:
(1)基于行为的入侵检测系统
基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测。这种入侵检测基于统计方法,使用系统或用户的活动轮廓来检测入侵活动。审计系统实时的检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时,保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为,生成每个用户的历史行为记录库,当用户改变他们的行为习惯时,这种异常就会被检测出来。
(2)基于模型推理的入侵检测系统
基于模型推理的入侵检测根据入侵者在进行入侵时所执行的某些行为程序的特征,建立一种入侵行为模型,根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否是属于入侵行为。当然这种方法也是建立在对当前已知的入侵行为程序的基础之上的,对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。
(3)采用两者混合检测的入侵检测系统
以上两种方法每一种都不能保证能准确地检测出变化无穷的入侵行为。一种融合以上两种技术的检测方法应运而生,这种入侵检测技术不仅可以利用模型推理的方法针对用户的行为进行判断而且同时运用了统计方法建立用户的行为统计模型,监控用户的异常行为。
入侵检测系统按照时间又可以分为两类:
(1)实时入侵检测系统
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是自动的、不断循环进行的。
(2)事后入侵检测系统
事后入侵检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
