入侵检测系统实现方法有哪些

二、入侵检测技术

入侵检测技术是于20世纪80年代发展起来的一种信息安全技术，它主要通过查看各种日志文件或网络流量数据来识别被检测系统中是否存在违背安全策略或危及系统安全的行为或活动。或者说入侵检测是检测和识别系统中未授权行为或异常现象的一种网络安全技术，在保障网络系统安全中起着关键作用。

入侵检测技术的第一条防线是接入控制，第二条防线是检测。检测和识别系统中的未授权或异常现象，利用审计记录，入侵检测系统应能识别出任何不希望有的活动，这就要求对不希望有的活动加以限定，一旦它们出现就能自动地检测。

检测的作用有如下几个方面：

●若能迅速检测到入侵，则可能在进入系统损坏或数据丢失之前识别并驱逐它。

●即使做不到这点，也会减少损失和能使系统迅速恢复正常工作。这种检测技术措施可以造成对入侵的威胁，遏制其行动。

●检测可以收集有关入侵技术信息，用来改进和强化抗击入侵设备的能力。

（一）入侵检测的基本方法

按照所采用的行为分类的技术的不同，入侵检测系统可以分为两类：

（1）误用检测（Misuse Detection）系统：是建立在使用某种模式或者特征描述方法能够对任何已知攻击进行描述的理论基础之上。误用检测系统一般方法是将已知的攻击特征和系统弱点进行编码，存入知识库中，检测系统将所监视的事件与知识库中的攻击模式进行匹配，当发现有匹配时，认为有入侵发生，从而触发相应机制。这种技术的优点是可以有针对性地建立高效的入侵检测系统，虚警率低，缺点是对未知的入侵活动或已知入侵活动的变异无能为力，攻击特征提取困难，知识库需要不断更新。

（2）异常检测（Anomaly Detection）系统：基于已掌握了被保护对象的正常工作模式，并假定正常工作模式相对稳定，有入侵发生时，用户或系统的工作模式会发生一定程度的改变。一般方法是建立一个对应“正常活动”的系统或用户的正常轮廓（Profile），检测入侵活动时，异常检测程序产生当前的活动轮廓并同正常轮廓进行比较，同时更新正常轮廓，当活动轮廓与正常轮廓发生显著偏离时即认为是入侵，从而触发响应机制。异常检测与系统相对无关，通用性较强。其最大的优点是有可能检测出以前从未出现过的攻击方法，不像误用检测那样受已知脆弱性的限制。但它的主要缺陷在于阈值难以确定，且一般虚警率较高。

（二）入侵检测系统设计

理想的入侵检测系统应该具备下列特征：

（1）系统必须能够连续运行，尽可能降低人工干预。

（2）系统要具有恢复功能：系统必须能够恢复破坏的系统，这种破坏不论是偶然故障还是恶意破坏；另外系统受到破坏后，入侵检测系统必须能够恢复到以前的状态，恢复以前未受影响的操作。

（3）入侵检测系统必须能够抗攻击或破坏，并能够对其本身进行入侵检测。

（4）入侵检测系统的运行要避免对正常系统运行的干扰，给系统的负担最小。

（5）入侵检测系统必须是可配置的，以便能够准确执行所监视系统的安全策略。

（6）入侵检测系统要易于配置，便于应用于不同的体系结构和操作系统环境。

（7）入侵检测系统要具有自适应性，以适应系统和用户行为的变化。

（8）必须能够检测出攻击，提高检测率，降低误警率，尽可能减少延迟。

入侵检测系统的设计分两个主要步骤，第一是建立审计记录，第二是以入侵门限值检验审计记录，如图8-6所示。对于审计记录，每隔一定时间就要进行检测看是否有超过门限的异常现象，并生成审计报表供管理人员研究分析。

图8-6　入侵检测系统的结构