入侵检测的分类和方法

任务概述

入侵检测系统有多种分类方法，本任务将就常见的几种分类方法进行介绍。同样，入侵检测方法也有不同的分类依据，常用的方法有3种:静态配置分析、异常性检测方法和基于行为的检测方法。

任务目标

●能够了解入侵检测系统的分类和特性

●能够了解入侵检测的方法

●能够理解入侵检测的步骤

学习内容

一、入侵检测系统的分类和特性

1.入侵检测系统的分类

目前对现有的入侵检测系统有多种分类方法，下面是常见的几种分类方法:

（1）按照数据来源可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和混合型入侵检测系统。基于主机的系统获取数据的来源是系统运行所在的主机，保护的目标也是系统运行所在的主机。基于网络的系统获取的数据是网络传输的数据包，保护的目标是网络的运行。混合型入侵检测系统综合了两种入侵检测技术的优点，实现对网络和主机的全面检测。

（2）根据分析数据时采用的检测方法，可将入侵检测系统分为两类:基于误用的入侵检测系统和基于异常情况的入侵检测系统。基于误用的入侵检测系统是通过预先精确定义的入侵签名对观察到的用户和资源使用情况进行检测;基于异常情况的入侵检测系统是从审计记录中抽取一些相关量进行统计，为每个用户建立一个用户扼要描述文件，当用户行为与以前的差异超过设定的值时，就认为有可能有入侵行为发生。

（3）按系统各模块的运行方式可以将入侵检测系统分为集中式入侵检测系统和分布式入侵检测系统。集中式入侵检测系统的各个模块集中在一台主机上运行，分布式入侵检测系统的各个模块分布在不同的计算机和设备上。

（4）根据时效性可以将入侵检测分为脱机分析入侵检测和在线分析入侵检测。脱机分析入侵检测是在行为发生后，对产生的数据进行分析;联机分析入侵检测是在数据产生的同时或者发生改变时进行分析。

2.入侵检测系统的特性

一个实用的入侵检测系统应该具有以下特性:

（1）自治性:能够持续运行而不需要人为的干预。

（2）容错性:系统崩溃后能够自动恢复。

（3）抗攻击:入侵检测系统本身应该是健壮的，它能够发现自身是否被攻击者修改。

（4）可配置:能够根据系统安全策略的调整而改变自身的配置。

（5）可扩展性:被监控的主机数目大量增加时，仍能快速准确地运行。

（6）可靠性:如果系统中的某些组件因故终止，其他组件仍正常运行，并尽可能减少故障带来的损失。

二、入侵检测方法

常用的入侵检测方法有3种:静态配置分析、异常性检测方法和基于行为的检测方法。

1.静态配置分析

静态配置分析通过检查系统的配置（如系统文件的内容）来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（如系统配置信息）。采用静态分析方法是因为入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。

另外，系统在遭受攻击后，入侵者也可能在系统中安装一些安全性后门以便于以后对系统的进一步攻击。对系统的配置信息进行静态分析，可及早发现系统中潜在的安全性问题，并采取相应的措施来补救。但这种方法需要对系统的缺陷尽可能地了解，否则，入侵者只需要简单地利用系统中那些检查者未知的缺陷就可以避开检测。

2.异常性检测方法

异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是，在许多环境中，为用户建立正常行为模式的特征轮廓及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。而且有经验的入侵者还可以通过缓慢地改变他的行为来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法，这样就可以避开使用异常性检测技术的入侵检测系统的检测。

3.基于行为的检测方法

基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为，以及那些利用系统中的缺陷或者间接地违背系统安全规则的行为，来检测系统中的入侵活动。

基于入侵行为的入侵检测技术的优势在于，如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。目前主要是从已知的入侵行为及已知的系统缺陷来提取入侵行为的特征模式加入到检测器入侵行为特征模式库中，避免系统以后再遭受同样的入侵攻击。但是，对于一种入侵行为的变种却不一定能够检测出来。这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能实现对新的入侵攻击行为及未知的、潜在的系统缺陷的检测。

基于行为的检测主要可以分成3类:基于专家系统、状态迁移分析和模式匹配的入侵检测系统。

（1）专家系统。早期的入侵检测系统多数采用专家系统来检测系统中的入侵行为。NIDES、W＆S、NADIR等系统的异常性检测器中都有一个专家系统模块;在这些系统中，入侵行为编码成专家系统的规则。每个规则具有“IF条件—THEN动作”的形式，其中条件为审计记录中某个域上的限制条件;动作表示规则被触发时入侵检测系统所采取的处理动作，可以是一些新事实的断言或者是提高某个用户行为的可疑度。这些规则可以识别单个审计事件，也可以识别表示一个入侵行为的一系列事件。专家系统可以自动地解释系统的审计记录并判断是否满足描述入侵行为的规则。

但是，使用专家系统规则表示一系列的活动不具有直观性，除非由专业的知识库程序员来做专家系统的升级，否则规则的更新很困难，而且使用专家系统分析系统的审计数据也很低效。另外，使用专家系统规则很难检测出对系统的协同攻击。

（2）状态迁移分析技术。一个入侵行为就是由攻击者执行的一系列的操作，这些操作可以使系统从某些初始状态迁移到一个可以威胁系统安全的状态。这里的状态指系统某一时刻的特征（由一系列系统属性来描述）。初始状态对应于入侵开始时的系统状态，危及系统安全的状态对应于已成功入侵时刻的系统状态，在这两个状态之间则可能有一个或多个中间状态的迁移。在识别出初始状态、威胁系统安全的状态后，主要应分析在这两个状态之间进行状态迁移的关键活动，这些迁移信息可以用状态迁移图描述或者用于生成专家系统的规则，从而用于检测系统的入侵活动。

（3）模式匹配的方法。模式识别入侵检测方法可以处理4种类型的入侵行为:

①通过审计某个事件的存在性即可确定的入侵行为。

②根据审计某一事件序列的顺序出现即可识别的入侵行为。

③根据审计某一具有偏序关系的事件序列的出现即可识别的入侵行为。

④审计的事件序列发生在某一确定的时间间隔或者持续的时间在一定的范围，根据这些条件就可以确定的入侵行为。

三、入侵检测的步骤

入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生或减少攻击造成的危害。由此也划分了入侵检测的3个步骤:信息收集、数据分析和响应。

1.信息收集

入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。

入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的债息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。

2.数据分析

数据分析是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能的高低。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与滥用入侵检测两类。

（1）异常入侵检测:异常入侵检测也称为基于统计行为的入侵检测。它首先建立一个检测系统认为是正常行为的参考库，并把用户的当前行为的统计报告与参考库进行比较，寻找偏离正常值的异常行为。

如果报告表明当前行为背离正常值超过了一定限度，那么检测系统就会将这样的活动视为入侵。它根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵，而不依赖于具体行为是否出现来检测。例如一般在白天使用计算机的用户，如果突然在午夜注册登录，则被认为是异常行为，有可能是某入侵者在使用。

（2）滥用入侵检测:滥用入侵检测又称为基于规则和知识的入侵检测。它运用已知攻击方法及根据已定义好的入侵模式把当前模式与这些入侵模式相匹配来判断是否出现了入侵。因为很大一部分入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列及事件间的关系，具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意味着可能有入侵发生。

（3）异常入侵检测与滥用入侵检测的优缺点:异常分析方式的优点是它可以检测到未知的入侵，缺点则是漏报、误报率高。异常分析一般具有自适应功能，入侵者可以逐渐改变自己的行为模式来逃避检测，而合法用户正常行为的突然改变也会造成误报。

在实际系统中，统计算法的计算量庞大，效率很低，统计点的选取和参考库的建立也比较困难。与之相对应，滥用分析的优点是准确率和效率都非常高，缺点是只能检测出模式库中已有的类型的攻击，随着新攻击类型的出现，模式库需要不断更新。

攻击技术是不断发展的，在其攻击模式添加到模式库以前，新类型的攻击就可能会对系统造成很大的危害。所以，入侵检测系统只有同时使用这两种入侵检测技术，才能避免不足。这两种方法通常与人工智能相结合，以使入侵检测系统有自学习的能力。

3.响应

数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应，而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应:

（1）将分析结果记录在日志文件中，并产生相应的报告。

（2）触发警报，如在系统管理员的桌面上产生一个报警标志位，向系统管理员发送传呼或电子邮件，等等。

（3）修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接或更改防火墙配置等。