方兴未艾的入侵检测技术

　　随着网络技术的飞速发展，信息共享和网络互联成为发展趋势。信息的共享增加了个体之间的信息交流，提高了生产率，但同时也使得个人、公司的私有信息甚至国家机密面临严重的入侵威胁，各种安全问题时有发生。因此计算机信息安全日益为人们所关注。

　　近年来，随着系统入侵行为的日益猖獗，安全模型理论自身的局限以及实现中存在的漏洞逐渐暴露出来，这是信息系统复杂化后的必然结果。增强系统安全的一种行之有效的方法是采用一个比较容易实现的安全技术，同时使用辅助的安全系统，对可能存在的安全漏洞进行检查，入侵检测就是这样的技术。

　　入侵检测的研究最早可追溯到20世纪80年代，但受到重视和快速发展是在Internet兴起之后。早在1980年，JAnderson等人就提出了入侵检测的概念，对入侵行为进行了简单的划分，提出使用审计信息跟踪用户可疑行为。1985年，Denning在Oakland提出第一个实时入侵检测专家系统模型，以及实时的、基于统计量分析和用户行为轮廓(Profile)的入侵检测技术。该模型是入侵检测研究领域的里程碑，此后大量的入侵检测系统模型开始出现，很多都是基于Denning的统计量分析理论。进入20世纪90年代以后，随着Porras和Kemmerer基于状态转换分析的入侵检测技术的提出和完善，根据已知攻击模型进行入侵检测的方法成为该领域研究的另一热点。

　　入侵就是指连续的相关系列恶意行为，这种恶意行为将造成对计算机系统或者计算机网络系统的安全威胁，包括非授权的信息访问、信息的窜改设置以及拒绝服务攻击等。入侵检测是指对恶意行为进行诊断、识别并作出响应的过程。实施入侵检测的系统称为入侵检测系统(IDS)。

　　衡量入侵检测系统的两个最基本指标为检测率和误报率，两者分别从正、反两方面表明检测系统的检测准确性。

　　实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率，但在实际的检测系统中，这两个指标存在一定的抵触，实现上需要综合考虑。除检测率和误报率外，在实际设计和实现具体的入侵检测系统时还应考虑操作方便性、抗攻击能力、系统开销大小、可扩展性、自适应能力、自学习能力以及实时性等。

　　从系统组成上看，入侵检测一般由3个部分组成：数据采集、入侵检测、响应。

　　数据采集模块根据入侵检测类型的不同，采集不同类型的数据，比如网络的数据包、操作系统的系统调用日志或者应用日志。数据采集模块往往会对采集到的信息进行预处理，包括对信息进行简单的过滤，输出格式化的信息。前者有助于消除冗余数据，提升系统的性能；后者可提升系统的互操作性。预处理后的信息一般都先存放到日志数据库中，再提交给分析引擎。分析引擎实现检测算法，从最简单的字符串匹配到复杂的专家系统甚至神经网络。分析引擎是入侵检测系统的核心，分析引擎最终判定一个行为是异常的还是正常的。检测策略包含了如何诊断入侵的配置信息、入侵的签名(也就是入侵的行为特征)。各种阈值也往往存放在检测策略中。状态信息包含了检测所需的动态信息，比如部分执行的入侵签名，当前发生在系统中的行为上下文等。分析引擎在作出行为的入侵判断后将判断的结果直接发给响应模块。响应模块然后根据响应策略中预定义的规则进行不同的响应处理。一般来说，可能的响应行为包括：发出报警、通知管理员。对恶意行为自动地采取反击措施，一方面可自动地重新配置目标系统，阻断入侵者；另一方面可以重新配置检测策略和数据采集策略，如可针对正在执行的特定行为采集更多的信息，对行为的性质进行更准确的判断。

　　对于目前已有入侵检测的分类有多种方法，比较通用的方法有两种：一种是根据数据采集点的不同，将IDS分为基于主机的IDS和基于网络的IDS；另外一种就是根据检测所基于的原则不同，将入侵检测系统划分为异常检测IDS和误用检测IDS。

　　尽管近年来入侵检测技术取得了较快的发展，出现了很多新型的检测模型和检测算法，但要开发出成熟、实用的入侵检测系统，仍然有许多关键技术需要进一步研究和完善。总的来看，入侵检测技术的发展方向集中在如下几个方面：

　　首先是大规模分布式的入侵检测系统以及异构系统之间的协作和数据共享。网络交换技术的发展以及通过加密信道的数据通信使通过共享网段侦听的网络数据采集方法难以应付自如，巨大的通信量对数据分析也提出了新的要求。基于分布式的多层次入侵检测系统可以很好地解决这个问题。结合分布式技术和网络技术，分布式网络环境下的入侵检测将成为未来研究的热点。

　　其次是入侵检测系统的自身保护。目前入侵检测面临自身安全性的挑战，一旦系统中的入侵检测部分被入侵者控制，整个系统的安全防线将面临崩溃的危险。如何防止入侵者对入侵检测系统功能的削弱乃至破坏的研究将在很长时间内持续下去。

　　另外，入侵检测与其他安全技术的结合。目前，信息安全受到前所未有的挑战，单一的安全技术很难保证系统的真正安全。与其他安全技术的结合将成为入侵检测技术未来的发展趋势之一。

　　入侵检测随着信息安全问题的日益突出，越来越受到人们的关注，目前，已有多个原型系统和商用的IDS出现。尽管目前在入侵检测领域还有很多问题需要深入研究，但可以展望，入侵检测技术的发展将对信息的安全保护产生深远的影响。