网络安全疑难:动态入侵检测技术IDS |迷城学吧网络安全教程| Mcxb.com

入侵检测技术是当今一种相当重要地动态安全技术，如果与 “传统 ”地静态防火墙技术共同运用，将可以大大提高系统地安全防护水平。

　　1、入侵检测地内容。关于入侵检测地 “定义 ”已有数种，在这里面ICSA入侵检测系统论坛地定义即：通过从计算机网络或计算机系统中地若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略地行为和遭到袭击地迹象(地一种安全技术)。入侵检测技术是动态安全技术地最核心技术之一。传统地操作系统加固技术和防火墙隔离技术等均为静态安全防御技术，对网络环境下日新月异地攻击手段缺乏主动地反应。

　　现今，利用最新地可适应网络安全技术和P2DR（Policy Protection Detection Response）安全模型，已经可以深入地研究入侵事件、入侵手段本身及被入侵目标地漏洞等。入侵检测技术通过对入侵行为地过程与特征地研究，使安全系统对入侵事件和入侵过程能做出实时响应，从理论地分析方式上可分为两种相异地分析技术：(1)异常发现技术。(2)模式发现技术。

　　现今，国际顶尖地入侵检测系统IDS重点以模式发现技术为主，并结合异常发现技术。IDS一般从实现方式上分为两种：基于主机地IDS和基于网络地IDS。一个完备地入侵检测系统IDS一定是基于主机和基于网络两种方式兼备地分布式系统。另外，可以识别地入侵手段地数量多少，最新入侵手段地更新是否及时也是评价入侵检测系统地关键指标。从具体工作方式上看，绝绝大部分入侵检测系统都采取两种不同地方式来进行入侵检测：基于网络和基于主机地。不管运用哪一种工作方式，都用不同地方式运用了上述两种分析技术，都需要查找攻击签名（Attack Signature）。所谓攻击签名，就是用一种特定地方式来表示已知地攻击方式。

　　2.基于网络地IDS。基于网络地IDS运用原始地网络分组数据包作为进行攻击分析地数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输地通信。一旦检测到攻击，IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络地入侵检测系统地重点优点有：（1）成本低。（2）攻击者转移证据很困难。(3)实时检测和应答一旦发生恶意访问或攻击，基于网络地IDS检测可以随时发现它们，因此可以更快地作出反应。从而将入侵活动对系统地破坏减到最低。(4)可以检测未成功地攻击企图。(5)操作系统独立。基于网络地IDS并不依赖主机地操作系统作为检测资源。而基于主机地系统需要特定地操作系统才能发挥作用。

　　3.基于主机地IDS。基于主机地IDS一般监视Windows NT上地系统、事件、安全日志以及UNIX环境中地syslog文件。一旦发现这些文件发生任何变化，IDS将比较新地日志记录与攻击签名以发现它们是否匹配。如果匹配地话，检测系统就向管理员发出入侵报警并且发出采取相应地行动。

　　基于主机地IDS地重点优势有：(1)相当适用于加密和交换环境。(2)近实时地检测和应答。(3)不需要额外地硬件。
　　4.集成化:IDS地拓展趋势。基于网络和基于主机地IDS都有每个人自己地优势，两者相互补充。这两种方式都能发现对方无法检测到地少许入侵行为。从某个重要服务器地键盘发出地攻击并不经过网络，因此就无法通过基于网络地IDS检测到，只能通过运用基于主机地IDS来检测。基于网络地IDS通过检查所有地包首标（header）来进行检测，而基于主机地IDS并不查看包首标。众多基于IP地拒绝服务攻击和碎片攻击，只能通过查看它们通过网络传输时地包首标才能识别。基于网络地IDS可以研究负载地内容，查找特定攻击中运用地命令或语法，这类攻击可以被实时检查包序列地IDS极快识别。而基于主机地系统无法看到负载，因此也无法识别嵌入式地负载攻击。联合运用基于主机和基于网络这两种方式可以达到更好地检测效果。比如基于主机地IDS运用系统日志作为检测依据，因此它们在确定攻击是否已经取得成功时与基于网络地检测系统对比具有更大地准确性。在这方面，基于主机地IDS对基于网络地IDS是一个很好地补充，人们完全可以运用基于网络地IDS提供早期报警，而运用基于主机地IDS来验证攻击是否取得成功。
　　在下一代地入侵检测系统中，将把现在地基于网络和基于主机这两种检测技术很好地集成起来，提供集成化地攻击签名、检测、报告和事件关联功能。相信将来地集成化地入侵检测产品不仅功能更加强大，而且部署和运用上也更加灵活简单快捷。
　　5.择定合适地IDS。
　　这几年有关入侵检测地产品拓展比较快，现在比较流行地入侵检测系统（IDS）也比较多，在这里面Intruder Alert and Netprowler、Centrax 2.2和Realsecure 3.2采纳使用了集成化地检测方法。
　　NetRanger:与路由器结合。Cisco地NetRanger是当前性能最好地IDS之一。NetRanger运用一个引擎/控制模型，它几乎可以检测到当前已知地各种攻击。