浅谈入侵检测系统及其发展

摘　要：在计算机网络带来便利的同时安全问题也越来越多的引起了人们的重视，防病毒软件已经不能作为唯一的防护手段来保护信息的安全，主动防护技术在信息安全中地位逐渐在超越单纯的防病毒软件，本文分析了入侵检测系统的发展及现状使读者对入侵检测系统有一个系统的认识。

关键词：防火墙；入侵检测系统；计算机病毒
1、入侵检测系统出现的必要性
　　第一代网络安全技术在设计之初，人们最先想到的防护手段是“保护”。其原理是通过保护和隔离达到保密的安全目的，核心是保护和隔离。各式各样的防火墙技术在这一时段成为了信息安全的主要技术，得到了长足的发展和广泛的应用。随着时间的推移，人们在实际应用中发现仅依靠保护技术已不能阻挡所有的入侵，于是逐渐产生了第二代网络安全技术，跟第一代网络安全技术相比主动的、及早的发现并阻止可能的入侵和非法操作成为了它的主要指导思想。其代表和核心就是检测技术，因此检测技术逐渐的已经成为了国际研究的热点。随着攻击者经验的日趋丰富，攻击工具与手法日趋多样，各种木马、扫描技术的发展已经远远的降低了非法入侵用户计算机的难度。传统、单一的安全技术和策略已无法满足对安全高度敏感的部门需要，无论是优秀的防火墙技术还是在技术上独占鳌头的入侵检测技术都难以保证用户信息和网络的安全。在实际应用环境中，入侵检测通常情况下都是作为防火墙的合理补充，帮助系统对付网络攻击，入侵检测系统的应用扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。因此，安全技术的发展就需要从结构、策略管理、检测技术等方向提出新的入侵检测思路。为了适应复杂的网络系统结构和应用广泛的分布式环境，拟采用适合当前网络发展状况的三层分布式结构来开发入侵检测系统。
2  国内外研究现状
2.1  国外情况
（1）入侵检测模型的概念及发展
　　1980年，James A在《Computer Security Thtreat Monitoring and Surveillance》中首次提出了改进安全审计系统的建议，用于检测计算机用户的非法授权活动，同时，提出了基本的入侵检测思路。
　　1987年，Dorothy D撰文提出了入侵检测的基本模型，从该论文开始，人们展开了入侵检测领域内的大量研究工作。
　　1990年，Todd H描述了网络数据包作为实际输入信息源的入侵检测技术。他指出系统截获TCP/IP分组数据，该数据可被可用于监控异构网络环境下的异常活动。
　　1992年，Porras和Ilgun提出了基于状态转移分析转换技术的入侵检测及其模型，并在Unix平台下实现了原形系统USTAT（Unix系统状态转换分析技术）。
　　1994年，Porras开发了NIDES（下一代入侵检测系统）系统，在统计分析算法和系统结构设计上做了较大的改进。随后，SRI公司进一步开发了用于分布式环境的分布式实时安全性监控系统，该系统工作在分布式网络环境下，不同检测部件之间能够协同工作。系统具备了在不同功能层次上进行检测分析的能力。
　　1996年，Forrest提出了基于计算机免疫学的入侵检测技术。
（2）商用网络入侵检测系统的发展
　　1989到1991年，Stephen S主持设计开发了用于美国空军内部网络安全检测目的的Haystack入侵检测系统。系统采用了两种不同的统计分析检测技术[18]。
Stephen S在NSM系统和Haystack系统的基础上，首次进行了将主机入侵检测和网络入侵检测技术集成的努力，开发成功了DIDS（Distributed Instrustion Detection System，分布式入侵检测系统），具备在网络环境下跟踪特定用户异常活动的能力。
　　1997年，Cisco公司作为第一个把入侵检测技术嵌入到路由器内的公司，拉开了商用网络入侵检测系统大发展的时代。
　　1998年，麻省理工学院的的Richard L等人为美国国防部高等研究计划局进行了入侵检测系统的评估活动，测评采用了人工合成的模拟数据，测评结果对入侵检测系统的开发产生了很大的影响。
　　1999年，Los A和Paxson V开发了Bro系统，该系统针对高速网络环境进行入侵检测。
　　2000年，基于自治代理结构的入侵检测模型及原型系统由Diego Z和Spafford E提出。
而后，在20001～2003年之间，蠕虫病毒大肆泛滥，红色代码、尼姆达、震荡波、冲击波此起彼伏。由于这些蠕虫多是使用正常端口，除非明确不需要使用此端口的服务，防火墙是无法控制和发现蠕虫传播的，反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测，一时间入侵检测名声大振，和防火墙、防病毒一起并称为“网络安全三大件。
2.2  国内情况
　　国内的入侵检测系统起步较晚。目前，从各厂商（例如启明星辰、瑞星、任天行、联想等）推出的IPS产品来看，其技术所倡导的核心是主动防御和在线安装，除了采用IDS的集中检测方法外，还增加了事件关联等技术，可有选择地阻断恶意攻击，在不断检测过程中，这些系统基本上还具有积累以往的经验而自动学习的功能，能够不断更新策略，使防御更加主动和智能化。有些IPS产品沿用了传统IDS对事件的匹配方法对攻击行为进行鉴别，但不同于传统IDS发送包的方式，这些经过改进的IPS可以直接将流经本身的数据阻断。从实际使用情况来看，目前购买IDS的主要用户大部分都集中在拥有比较专业的网管人员、对网络安全需求比较高的单位，特别是银行等金融行业。这也从侧面说明，由于目前的IDS在中国还处于一个工具的状态，只应用在高端的环境，还没有能够成为一个真正适用于广大普通网络用户的产品，只有拥有专业网络知识的操作者才能对IDS系统进行有效的策略配置和规则优化，并能从大量的报警信息中找到那些真正的入侵行为。为使IDS真正成为一个适用于大多数用户的产品，大多数IDS厂商都在尽力提高IDS产品的易用性。只有减少了误报率和漏报率，使得用户得到的报警信息都是比较准确和完整的攻击信息，用户不必具有专业知识和丰富的经验，就可以放心地进行阻断和处理，入侵检测产品才能够真正的接近用户。 本文链接：http://www.qk112.com/lwfw/jsjlw/jisuanjiyingyong/241708.html