入侵检测技术概述

1.引言

入侵检测（Intrusion Detection）是指通过对计算机网络或者计算机系统中的行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，以便发现计算机或者网络系统中是否存在违反安全策略的行为或遭到攻击的迹象。其作用含有威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

入侵检测系统（Intrusion Detection System）是入侵检测对网络传输自动进行检测和分析的软件或硬件系统，能够帮助系统识别入侵、攻击和异常数据流量，从而避免病毒、黑客的攻击。基于网络的入侵检测方法有：统计方法、神经网络、数据挖掘、免疫学方法等，以及一些新提出的基于网络的分析入侵检测方法。这也要求入侵检测技术不断改进更新，近年来，入侵检测技术有新的发展趋势：网络检测点由点向面发展，即一个主要的发展趋势是采用分布式系统，在网络上放置多个检测器，共享信息，并通过信息的分发交流，协同工作，提高系统响应的实时性。

2.入侵检测发展史

入侵检测的发展可分为五个阶段：①第一阶段，提出入侵检测的概念。②第二阶段，提出入侵检测系统的抽象模型。③第三阶段，根据入侵检测的抽象模型创建了第一个入侵检测系统IDES（Intrusion Detection Expert System）。④第四阶段，开发出了第一个真正意义上的入侵检测系统NSM（Network Security Monitor）。⑤第五阶段，广泛推广和应用入侵检测系统，接着近年来在入侵检测系统上后续的创新研究。

由1980年James P .Anderson提出的一份技术报告中，在报告中首次详细的提出了入侵检测的概念。

1987年Dorothy Denning提出了入侵检测系统的抽象模型IDES，并且奠定了入侵检测技术领域的两大方向：误用检测和异常检测。

由于1988年发生的Morris Internet蠕虫事件，引发了对系统的开发热潮，Teresa Lunt等根据Denning提出的模型创建了IDES，但此时该系统还较简单。

1990年 Herberlein 等人在原模型的基础上开发出了第一个的入侵检测系统NSM，并且首次监测数据采用实时数据流而非存档信息作为来源。1994年Mark Crosbie等提出使用自治代理以提高IDS的可伸缩性、可维护性、效率和容错性。

1997年入侵检测系统正式进入主流网络安全产品阶段。并在这个时期，入侵检测被视为了防火墙的有益补充。进入21世纪后，蠕虫病毒泛滥，由于此类病毒的特性，防火墙无法控制和发现蠕虫传播，但入侵检测倒是能有利的对此类病毒做出应对方法。继而入侵检测系统收到了人们的广泛推广和应用。至今为止，人们在入侵检测技术上的创新研究已经逐渐成熟。

3.入侵检测系统功能及分类

3.1 系统特点

一个完整的入侵检测系统功能结构包含事件提取、入侵分析、入侵响应三部分。也要满足五个主要功能要求：①实时性要求；②可扩展性要求；③适应性要求；④安全性与可用性要求；⑤有效性要求。

3.2 系统分类

对入侵检测技术的分类方法有很多。按数据监测方法可分为异常检测，误用检测。

异常检测：此方法主要是根据计算机系统中现有的模式库对收集到的数据信息进行匹配，是否与现有模式库有重大偏差，如果有，则判定为有攻击。常用方法有量化分析、统计分析和神经网络。

误用检测：该方法则是与异常检测相反，误用检测是收集非正常操作的行为特征建立特征库，把收集到的数据与特征库中的各种攻击进行比较。常用方法有简单的模式匹配、专家系统和状态转移法。

按监测数据所用的数据来源的不同，可分为（1）基于主机的入侵检测系统（HIDS）、（2）基于网络的入侵检测系统（NIDS）、（3）基于混合数据源的检测系统（HIDS+NIDS）

基于主机的数据来源主要是：被检测系统的操作系统事件日志、应用程序的事件日志、系统调用日志、端口调用和安全审计日志。

基于网络的数据来源是网络上的数据包，该方式可提供试试的网络行为检测，有较好的隐蔽性。但缺点是无法实现对加密信道和基于加密信道的应用层协议数据的解密，导致对某些网络攻击的检测率较低。

第三种检测方式则是前两种方式的混合，也被称为分布式入侵检测系统。对于前两种传统的单机IDS，它综合了前两种检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况，且具有一些明显的优势，①可检测大范围的攻击行为；②提高了检测的准确度；③提高检测的效率；④协调响应措施。

现在分布式入侵检测系统已是入侵检测系统未来应用发展的必然趋势。

4.入侵检测技术现存问题以及发展趋势

4.1入侵检测技术中的问题

近年来，我国信息化技术飞速发展，但是和发达国家相比较，我国信息化技术还不够完善、入侵检测技术有待提高。在对信息进行实时检测的过程中，对部分信息会出现错认或漏认的情况，使得对信息进行处理时不够彻底。其次，在不同的网络环境下也会使入侵检测技术的发挥受到限制影响。因此，我国当前形势下，计算机网络入侵检测技术水平仍然有待提高，存在检测不完善的问题。现在我国入侵检测技术手段过于单一，在进行检测过程中，只能通过特征检测的方法对威胁信息进行筛选和处理。

在当前我国信息化技术迅速发展的背景下，我国对威胁信息的甄别和检测主要是通过特征检测的方法来进行的。此类方法在面对简单网络入侵时，还能正常处理。一旦面临复杂多变的网络安全入侵情况，此类方法的局限性将会显露无遗，无法对其进行有效的防御和处理。对待复杂多变的网络入侵，需要建立在计算机大量的数据计算上，此过程会耗费大量的时间，才能检测出计算机是否被入侵。这就使得计算机网络入侵检测的效率大大降低，根本无法满足网络安全的发展需要，难以为公众的生活和生产提供安全的网络保障。

4.2 入侵检测技术发展趋势

4.2.1入侵检测系统的标准化

即使 IDS 经历了多年的发展，且近年来因与机器学习等新技术的结合又在网络与信息安全领域受到广泛的关注，但到目前为止，依旧没有一个被研究人员广泛认可的国际标准。目前，只有CIDF 和IDWG 两个组织在进行 IDS 的标准化工作，从体系结构、通信机制、消息格式等各方面进行 IDS 规范化，但进展缓慢，尚没有出现被广泛接受的标准。因此下一代 IDS 的方向是拥有标准的接口。

4.2.2 入侵检测系统的高效智能化

目前，黑客攻击技术层出不穷，检测技术难以跟上攻击技术的更新速度，且入侵方式多样，信息加密等都能给检测带来很大的困难，所以对入侵进行高效率的检测也是 IDS 的研究热点。另外，尽管与神经网络、数据挖掘等技术相结合的入侵检测方法越来越多，但大都不够成熟，仍需在 IDS 的智能化方面深入的研究。

4.2.3 入侵检测系统的评测方法

面对功能越来越复杂的IDS，用户需对IDS 资源占用，以及自身抗攻击性、可靠性、适应性、准确性进行评价。设计公用的IDS 测试方法和测试平台实现对 IDS 的检测亦是IDS的另一重要研究方向。

4.2.4 与其他网络安全技术相结合

IDS 的功能主要是发现入侵行为并进行简单的报警处理，但不能及时阻止攻击如切断网络连接等，这对一个功能完善的安全系统是远远不够的。因此为解决实际网络安全需求需将 IDS 与弱点分析，防火墙，应急响应等系统相融合，以形成一个全方位的安全保障系统。
 

网络安全学习资源分享:

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)

同时每个成长路线对应的板块都有配套的视频提供：

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)

因篇幅有限，仅展示部分资料，需要点击上方链接即可获取