11、入侵检测系统

简介

入侵检测系统(intrusion detection system,简称IDS) 是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采起主动反应措施的网络安全设备。它与其余网络安全设备的不一样之处便在于，IDS是一种积极主动的安全防御技术。 依照必定的安全策略，经过软、硬件，对网络、系统的运行情况进行监视，尽量发现各类攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 

 

IDS组成

一个入侵检测系统分为四个组件。

• 事件产生器（Event generators），它的目的是从整个计算环境中得到事件，并向系统的其余部分提供此事件。
• 事件分析器（Event analyzers），它通过分析获得数据，并产生分析结果。 
• 响应单元（Response units ），它是对分析结果做出反应的功能单元，它能够做出切断链接、改变文件属性等强烈反应，也能够只是简单的报警。
• 事件数据库（Event databases ）事件数据库是存放各类中间和最终数据的地方的统称，它能够是复杂的数据库，也能够是简单的文本文件。 

IDS经常使用的异常检测方法

• 基于贝叶斯推理检测法：是经过在任何给定的时刻，测量变量值，推理判断系统是否发生入侵事件。 
• 基于特征选择检测法：指从一组度量中挑选出能检测入侵的度量，用它来对入侵行为进行预测或分类。 
• 基于贝叶斯网络检测法：用图形方式表示随机变量之间的关系。经过指定的与邻接节点相关一个小的几率集来计算随机变量 的联接几率分布。按给定所有节点组合，全部根节点的先验几率和非根节点几率构成这个集。贝叶斯网络是一个有向图，弧表示父、 子结点之间的依赖关系。当随机变量的值变为已知时，就容许将它吸取为证据，为其余的剩余随机变量条件值判断提供计算框架。 
• 基于模式预测的检测法：事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件，其特色是事件序列及相互联系被考虑到了，只关心少数相关安全事件是该检测法的最大优势。
• 基于统计的异常检测法：是根据用户对象的活动为每一个用户都创建一个特征轮廓表，经过对当前特征与之前已经创建的特征进行比较，来判断当前行为的异常性。用户特征轮廓表要根据审计记录状况不断更新，其保护去多衡量指标，这些指标值要根据 验值或一段时间内的统计而获得。 
• 基于机器学习检测法：是根据离散数据临时序列学习得到网络、系统和个体的行为特征，并提出了一个实例学习法IBL，IBL 是基于类似度，该方法经过新的序列类似度计算将原始数据（如离散事件流和无序的记录）转化成可度量的空间。而后，应用IBL学习技术和一种新的基于序列的分类方法，发现异常类型事件，从而检测入侵行为。其中，成员分类的几率由阈值的选取来决定。 
• 数据挖掘检测法：数据挖掘的目的是要从海量的数据中提取出有用的数据信息。网络中会有大量的审计记录存在，审计记录大多都是以文件形式存放的。若是靠手工方法来发现记录中的异常现象是远远不够的，因此将数据挖掘技术应用于入侵检测中，能够从审计数据中提取有用的知识，而后用这些知识区检测异常入侵和已知的入侵。采用的方法有KDD算法，其优势是善于处理大量 数据的能力与数据关联分析的能力，可是实时性较差。
• 基于应用模式的异常检测法：该方法是根据服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。通 过实时计算的异常值和所训练的阈值比较，从而发现异常行为。
• 基于文本分类的异常检测法：该方法是将系统产生的进程调用集合转换为“文档”。利用K邻聚类文本分类算法，计算文档的类似性。 

IDS经常使用的误用检测方法：

• 模式匹配法：是经常被用于入侵检测技术中。它是经过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较，从而对违背安全策略的行为进行发现。模式匹配法能够显著地减小系统负 担，有较高的检测率和准确率。 
• 专家系统法：这个方法的思想是把安全专家的知识表示成规则知识库，再用推理算法检测入侵。主 要是针对有特征的入侵行为。 
• 基于状态转移分析的检测法：该方法的基本思想是将攻击当作一个连续的、分步骤的而且各个步骤之间有必定的关联的过程。在网络中发生入侵时及时阻断入侵行为，防止可能还会进一步发生的相似攻击 行为。在状态转移分析方法中，一个渗透过程能够看做是由攻击者作出的一系列的行为而致使系统从某个 初始状态变为最终某个被危害的状态。 

部署

入侵检测系统部署模式为旁路模式部署，在核心交换设备上开放镜像端口，分析镜像流量中的数据，判别攻击行为。