第九章 入侵检测系统
9.1 引言
通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的
目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各
种抵抗措施都可归结为三类:保护、检测、响应。
保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全
设施如防火墙及 VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围
之内,它们是计算机系统的第一道防线。
检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算
机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现
还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入
侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作
用。
响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下
的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系
统。
入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统
的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包
括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使
用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、
保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检
测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不
同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为
研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反 ,
它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算
机系统安全、网络安全的第二道防线。
一个理想的入侵检测系统具有如下特性:
能以最小的人为干预持续运行。
能够从系统崩溃中恢复和重置。
能抵抗攻击。IDS 必须能监测自身和检测自己是否已经被攻击者所改变。
运行时占用系统的开销最小。
能够根据被监视系统的安全策略进行配置。
能在使用过程中适应系统和用户行为的改变。
当被监控系统的规模和受攻击的机会增加时,我们认为下列的特征也同样重要: