11、入侵檢測系統

簡介

入侵檢測系統(intrusion detection system,簡稱IDS) 是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者採起主動反應措施的網絡安全設備。它與其餘網絡安全設備的不一樣之處便在於，IDS是一種積極主動的安全防禦技術。 依照必定的安全策略，經過軟、硬件，對網絡、系統的運行情況進行監視，儘量發現各類攻擊企圖、攻擊行爲或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。 

 

IDS組成

一個入侵檢測系統分爲四個組件。

• 事件產生器（Event generators），它的目的是從整個計算環境中得到事件，並向系統的其餘部分提供此事件。
• 事件分析器（Event analyzers），它通過分析獲得數據，併產生分析結果。 
• 響應單元（Response units ），它是對分析結果做出反應的功能單元，它能夠做出切斷鏈接、改變文件屬性等強烈反應，也能夠只是簡單的報警。
• 事件數據庫（Event databases ）事件數據庫是存放各類中間和最終數據的地方的統稱，它能夠是複雜的數據庫，也能夠是簡單的文本文件。 

IDS經常使用的異常檢測方法

• 基於貝葉斯推理檢測法：是經過在任何給定的時刻，測量變量值，推理判斷系統是否發生入侵事件。 
• 基於特徵選擇檢測法：指從一組度量中挑選出能檢測入侵的度量，用它來對入侵行爲進行預測或分類。 
• 基於貝葉斯網絡檢測法：用圖形方式表示隨機變量之間的關係。經過指定的與鄰接節點相關一個小的機率集來計算隨機變量 的聯接機率分佈。按給定所有節點組合，全部根節點的先驗機率和非根節點機率構成這個集。貝葉斯網絡是一個有向圖，弧表示父、 子結點之間的依賴關係。當隨機變量的值變爲已知時，就容許將它吸取爲證據，爲其餘的剩餘隨機變量條件值判斷提供計算框架。 
• 基於模式預測的檢測法：事件序列不是隨機發生的而是遵循某種可辨別的模式是基於模式預測的異常檢測法的假設條件，其特色是事件序列及相互聯繫被考慮到了，只關心少數相關安全事件是該檢測法的最大優勢。
• 基於統計的異常檢測法：是根據用戶對象的活動爲每一個用戶都創建一個特徵輪廓表，經過對當前特徵與之前已經創建的特徵進行比較，來判斷當前行爲的異常性。用戶特徵輪廓表要根據審計記錄狀況不斷更新，其保護去多衡量指標，這些指標值要根據 驗值或一段時間內的統計而獲得。 
• 基於機器學習檢測法：是根據離散數據臨時序列學習得到網絡、系統和個體的行爲特徵，並提出了一個實例學習法IBL，IBL 是基於類似度，該方法經過新的序列類似度計算將原始數據（如離散事件流和無序的記錄）轉化成可度量的空間。而後，應用IBL學習技術和一種新的基於序列的分類方法，發現異常類型事件，從而檢測入侵行爲。其中，成員分類的機率由閾值的選取來決定。 
• 數據挖掘檢測法：數據挖掘的目的是要從海量的數據中提取出有用的數據信息。網絡中會有大量的審計記錄存在，審計記錄大多都是以文件形式存放的。若是靠手工方法來發現記錄中的異常現象是遠遠不夠的，因此將數據挖掘技術應用於入侵檢測中，能夠從審計數據中提取有用的知識，而後用這些知識區檢測異常入侵和已知的入侵。採用的方法有KDD算法，其優勢是善於處理大量 數據的能力與數據關聯分析的能力，可是實時性較差。
• 基於應用模式的異常檢測法：該方法是根據服務請求類型、服務請求長度、服務請求包大小分佈計算網絡服務的異常值。通 過實時計算的異常值和所訓練的閾值比較，從而發現異常行爲。
• 基於文本分類的異常檢測法：該方法是將系統產生的進程調用集合轉換爲「文檔」。利用K鄰聚類文本分類算法，計算文檔的類似性。 

IDS經常使用的誤用檢測方法：

• 模式匹配法：是經常被用於入侵檢測技術中。它是經過把收集到的信息與網絡入侵和系統誤用模式數據庫中的已知信息進行比較，從而對違背安全策略的行爲進行發現。模式匹配法能夠顯著地減小系統負 擔，有較高的檢測率和準確率。 
• 專家系統法：這個方法的思想是把安全專家的知識表示成規則知識庫，再用推理算法檢測入侵。主 要是針對有特徵的入侵行爲。 
• 基於狀態轉移分析的檢測法：該方法的基本思想是將攻擊當作一個連續的、分步驟的而且各個步驟之間有必定的關聯的過程。在網絡中發生入侵時及時阻斷入侵行爲，防止可能還會進一步發生的相似攻擊 行爲。在狀態轉移分析方法中，一個滲透過程能夠看做是由攻擊者作出的一系列的行爲而致使系統從某個 初始狀態變爲最終某個被危害的狀態。 

部署

入侵檢測系統部署模式爲旁路模式部署，在覈心交換設備上開放鏡像端口，分析鏡像流量中的數據，判別攻擊行爲。