入侵檢測系統(tǒng)(IDS,Intrusion Detection System)是為保證計算機網(wǎng)絡系統(tǒng)的安全而設計的一種用于檢測違反安全策略行為的技術,它能夠及時發(fā)現(xiàn)并報告網(wǎng)絡中未授權的訪問或異?,F(xiàn)象。違反安全策略的行為,主要是指入侵和濫用——通常將非法用戶的違規(guī)訪問行為稱為入侵,將合法用戶的違規(guī)訪問行為稱為濫用。
入侵檢測使用兩種基本的檢測技術:特征檢測與異常檢測。前者常常是對網(wǎng)上流動的數(shù)據(jù)內容進行分析,找出“黑客”攻擊的表征。后者往往是對網(wǎng)絡上的數(shù)據(jù)流量進行分析,找出表現(xiàn)異常的網(wǎng)絡通信。功能簡單的入侵檢測系統(tǒng)可能只使用這兩種技術中的一種。
特征檢測(Signature-based detection)又稱為Misuse detection,它假設入侵者的活動可以用一種模式來表示,系統(tǒng)的目標是檢測所發(fā)現(xiàn)的活動是否符合這些模式。常用的特征檢測是在網(wǎng)上傳遞的信息內容中尋找特定的字符序列,這些字符序列是在已知的入侵實例中使用過的。例如,通信特征檢測判讀的是進入系統(tǒng)的數(shù)據(jù)包的“信封”,但是不讀信件內容。數(shù)據(jù)包的“信封”上除地址之外還包括其他一些內容。通過對信封上信息的判讀,可以發(fā)現(xiàn)與入侵行為相關的某些特征。然而在這些特征當中,只有很小一部分可以通過分析立即得出確定的結論,其他則需要對大量數(shù)據(jù)進行相關分析。特別是對網(wǎng)絡中不同時間點,不同空間點上的數(shù)據(jù)進行相關分析。在實現(xiàn)上有相當?shù)碾y度。另外,Internet上信息的傳輸是通過將大段的信息分割為尺寸很小的數(shù)據(jù)“碎片”打包實現(xiàn)的,一個文件往往被分割在許多數(shù)據(jù)包中發(fā)送到網(wǎng)上,而每個數(shù)據(jù)包獨立在網(wǎng)上傳送,不考慮它與其他數(shù)據(jù)包的時間次序或其他關系。僅當?shù)竭_了目的地之后,這些數(shù)據(jù)包中的“碎片”才被重新裝配起來。出于對處理效率和開銷的考慮,許多入侵檢測產(chǎn)品都不進行“碎片裝配”工作,這不能不使這些產(chǎn)品尋找攻擊特征的能力受到一些限制。特征檢測能夠將已有的入侵方法檢查出來,但對新的入侵方法往往無能為力,其難點在于如何設計一種有效的模式:既能夠表達“入侵”現(xiàn)象義不會將正常的活動包含進來。
異常檢測(Anomaly detection)的假設是入侵者活動異常于正常用戶的活動。根據(jù)這個假設建立用戶正?;顒拥摹耙?guī)律簡檔”。系統(tǒng)將當前檢測到的用戶活動狀況與“規(guī)律簡檔”相比較,當違反其統(tǒng)計規(guī)律時,認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“規(guī)律簡檔”,以及如何設計統(tǒng)計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
