入侵检测系统

1．基于主机的入侵检测系统
基于主机的入侵检测系统用于防止对单机节点的入侵，它驻留在单机节点内部，并以单机节点上OS的审计信息为依据来检测入侵行为，其检测目标主要是主机系统和本机用户，其检测过程如图3-4所示。

图3-4  基于主机的入侵检测系统

这种检测系统完全依赖于审计数据或系统日志数据的准确性和完整性，以及对安全事件的定义。如果攻击者设法逃避审计或里应外合，则该检测系统就暴露出其致命的弱点，特别是在网络环境下。
事实上，仅仅依靠主机的审计信息来完成入侵检测功能很难适应网络安全的基本要求，这主要表现在以下几个方面：
1）主机审计信息极易受到攻击，入侵者可以通过使用某些特权或调用比审计本身更低级的操作来逃避审计；
2）利用主机审计信息无法检测到网络攻击，如域名欺骗、端口扫描等；
3）由于在主机上运行入侵检测系统，所以或多或少影响主机的性能；
4）由于基于主机的入侵检测系统只针对主机上的特定用户、应用程序和日志信息进行审计检测，所以能够检测出的攻击类型是有限的。
基于主机的入侵检测系统仅适用于攻击者侵入主机后并在主机内执行操作的情况。
2．基于网络的入侵检测系统
单独依赖主机审计信息是难以满足网络安全要求的，因此，人们提出了基于网络的入侵检测体系结构，使用这种结构进行入侵检测的基本过程如图3-5所示。基于网络的入侵检测系统用于防止对某网络的入侵，它放置在防火墙附近，从防火墙内部或外部监视整个网络，并根据一些关键因素分析进出网络的数据包，判断是否与已知的攻击或可疑的活动相匹配，一经发现立即响应并作出处理。

图3-5  基于网络的入侵检测系统

图3-5所示的系统是由检测器、分析引擎、网络安全数据库，以及安全策略构成的。检测器的功能是按一定的规则从网络上获取与安全事件相关的数据包，然后将所捕获的数据包传递给分析引擎；分析引擎从检测器接收到数据包后立即结合网络安全数据库进行安全分析和判断，并将分析结果发送给安全策略；安全策略根据分析引擎传来的结果构造出满足检测器需要的配置规则，并将配置规则反馈给检测器。
与防火墙相比，入侵检测系统并不具备阻止攻击的能力，但它可以及时发现攻击，并以报警方式向管理员发出警告。目前有些入侵检测产品增加了中断入侵会话和非法修改访问控制表的功能，但是，这也为攻击者制造了拒绝服务攻击的机会。
随着网络系统结构复杂化和大型化，网络系统的弱点或漏洞不断呈分布式结构。网络入侵行为也不再是单一化，而是呈多元化、分布式和大规模入侵等特点，在这种情况下，基于分布式的入侵检测系统应运而生。这种系统的控制结构是基于自治主体的，它采用相互独立并独立于系统而运行的进程组，进程组中的每个进程就是一个能完成特定检测任务的自治主体，如图3-6所示。

图3-6  基于分布式的入侵检测系统

在图3-6所示的系统中，入侵检测是由自治主体完成的，每个自治主体各负其责，严密监视网络系统中各种信息流的状态。在自治主体用于监控系统前，操作员可通过给出不同的网络信息流形式来训练和指导每个自治主体，经过一定时间的学习和训练，自治主体就可以在网络信息流中检测异常活动。整个系统是通过数据链路层和网络层从网络捕获数据信息，接着由网络层将捕获到的数据封装成自治主体可处理的格式，最后交给自治主体进行检测。
在基于分布式的系统中，一个重要的应用思想就是主体协作。每个自治主体负责监控网络信息流的一个方面，多个自治主体相互协作，分布检测，共同完成一项检测任务。
综上所述，不论是何种入侵检测系统都存在这样或那样的不足，因而需要不断改进和完善，一个较为理想的入侵检测系统应具备以下特征：
1）准确性。检测系统对发现的攻击行为不应出现误报和漏报现象。
2）可靠性。一个检测系统对管理员应该是透明的，并且能在无人监控的情况下正确运行，只有这样才可以运行在被检测的系统环境中。
3）容错性。检测系统必须具有良好的容错性，不论所监控的系统处于何种状态，检测系统本身必须具备完整性，保证检测用的知识库系统不会受到干扰和破坏。
4）可用性。检测系统的整体性能不应受系统状态的变化而产生较大波动或严重降低。
5）可验证性。检测系统必须允许管理员适时监视攻击行为。
6）安全性。检测系统能保护自身安全和具有较强的抗欺骗攻击的能力。
7）可适应性。检测系统可随时跟踪系统环境的变化和及时调整检测策略。
8）灵活性。检测系统可根据具体情况，定制不同的且与防御机制相适应的使用模式。