入侵检测系统

入侵检测是什么

从学术概念的角度，入侵检测是一种处理信息系统误用的技术，其作用包括检测、响应、评估、威慑和起诉支持等等。目前在安全领域获得广泛应用的技术通常都带有预防威胁的色彩，就好像一幢房子的门锁一样。但是现实告诉我们，安全威胁并不仅仅来自于外部。特别是在信息安全领域，组织内部的安全问题造成的经济损失接近整体损失的百分之八十。我们需要我们的安全防御措施不只能够防御恶意信息的流入，还能够控制和保障信息的使用，入侵检测就是能够完成这种目标的技术。像房间中的监控镜头一样，入侵检测系统可以很好的监控整个信息基础设置的状态，记录各种事件的发生并给我们发出报警。另外，入侵检测系统还能够对恶意攻击者产生威慑作用，它能够采集大量的信息用于调查和起诉。

入侵检测的技术基础

入侵检测系统是以何种方式完成其工作的呢？简单来说，入侵检测系统依赖的作用机制是对误用行为的识别。如果我们能够总结出恶意攻击行为的方式和特征，那么我们就能够对之进行判断，以决定是否有误用发生。例如，一个攻击行为可能具有不符合标准的数据包头、违反规定的文件操作、不正常的发生时间，这些都可以被定义为特征而用于入侵检测系统。除此之外，入侵检测系统通常也具有检测外来威胁的能力。对于各种外部的入侵行为，入侵检测系统既可以通过识别行为模式的方式进行识别，也可以利用类似防火墙技术的一些常规手段进行处理。

入侵检测的类型

虽然所有的入侵检测技术都具有相似的技术理念，但是为了更好的满足安全需求细分，还是产生了很多操作形式迥异的入侵检测形式。将入侵检测系统分为主机入侵检测和网络入侵检测是目前一种公认的分类方式。基于主机的入侵检测系统主要采用我们在上面介绍的模式识别与匹配的方法，检测计算机系统的各种操作是否包含了恶意行为。而基于网络的入侵检测系统则注重于检测计算机之间的信息分组交换。基于网络的入侵检测通常使用两种方法，混杂模式入侵检测以及网络节点入侵检测。混杂模式入侵检测是在一个网段上设置一个置于混杂模式的网络适配器，以完成对该网段上传输的数据包进行嗅探的任务，这种方法是网络嗅探程序的一种标准操作模式。网络节点入侵检测将监控代理布置在需要执行入侵检测的计算机上，以嗅探这些计算机传输的信息。总体来说，基于主机的入侵检测和基于网络的入侵检测各有优点，一个优秀的入侵检测系统应该能够将这两种技术很好的结合起来。现在很多主流的入侵检测产品都能够在统一的管理接口下同时操作基于主机和基于网络两种入侵检测构件。

入侵检测系统的构成

入侵检测系统在逻辑上有一些基本的组成。检测引擎子系统是入侵检测系统的核心，它管理和执行所有的检测识别规则。检测引擎的决策能力和有效程度决定了入侵检测系统的工作质量，可以说检测引擎是入侵检测系统的大脑。管理接口子系统是整个入侵检测系统的操作中心，其作用非常类似于人脑的神经中枢。管理接口应该提供丰富的访问方式和安全的链路设计。不同的入侵检测系统通常采用自己独有的管理接口，但也有很多系统将管理接口与类似OpenView这样的企业网络管理平台结合起来。传感器子系统用于从计算机和网络中获取信息，这些信息是执行入侵检测的基本素材。根据目标系统的情况不同，可以使用多种不同类型的传感器组件。告警子系统用于产生各种形式的通知和告警，包括弹出屏幕提示、产生告警声音、发送电子邮件、发送手机短信等等。成熟的入侵检测系统还可以与基于SNMP等协议的网络管理系统集成，发送标准的网络告警信息到整个网络的管理中心。数据库子系统用于存储入侵检测系统的所有信息，通常是在主机和网络上收集到的信息，也可以包含各种规则信息和设置信息。完善的数据库存储能力是保障入侵检测系统工作的基础，在大型的入侵检测系统中通常采用商业化的数据库产品来提供数据存储和管理能力。响应子系统在检测出安全威胁之后采取各种预定的响应措施，例如中断连接、重置路由规则等等。这些响应行为通常自动发生，并且与告警子系统进行广泛的协同。

有效的入侵检测规则

制订良好的规则集是入侵检测系统的核心，糟糕的入侵检测策略不但无法完成预期的工作，还会给信息基础设施造成很多伤害。我们应该细致的分析和总结现有环境中的应用，在访问控制策略的基础上制订入侵检测规则。从制订规则的角度来说，有很多主要的着眼点。对一个网络数据包来说，其头部可能包含很多安全威胁的特征。畸形的数据包头、不正常路由信息、受限制的广播都可能预示着攻击行为的发生。除了数据包头，我们也可以从网络封包的内容中识别出许多安全威胁。例如一个FTP会话中如果出现了exec命令，既使这不是一次攻击行为也通常意味着存在一个安全漏洞或风险。攻击者常常利用从FTP服务获得的特权执行这个命令，以获得访问系统命令的能力。对于基于主机的入侵检测系统来说，也有一些基本的规则制订技巧。大多数的安全威胁标志是单一事件，例如对系统文件的更改、系统安全策略的变更、对某些特殊系统路径的访问尝试等等。这些事件通常都被淹没于数以万计的信息条目中，手动的筛选和查找是非常不现实的，这也是基于主机的入侵检测带给我们的一个主要效用。除了单一事件标志之外，我们还应该关注一些多事件标志，例如多次登录失败就是一个攻击行为发生的高危标志。多事件在很多时候可以分解为单事件与某些条件的组合，例如以上的例子就是登录失败单事件与发生次数条件的组合。事实上，虽然大部分的安全事件标志都是单事件类型，但我们通常会在一条规则中组合多个单一事件和条件，这样能够更有效的对安全威胁进行识别和判断。另外，除了在主机中识别单一事件标志和多事件标志，我们还能够将多台主机中的事件标志组合起来以判断攻击和误用的发生。

入侵检测的未来发展

自从八十年代误用检测的概念被提出之后，入侵检测系统已经走过了多年的发展历程。在这条道路上，我们不断的去污存箐，很多不适当的目标和理念被历史的洪流锁淹没。入侵检测系统已经成为了继防火墙之后的又一个主要的安全系统组成，选择合适的产品和操作人员完成入侵检测工作正成为信息安全领域的重要课题。更多的了解入侵检测技术特别是未来的发展趋势对成功的实施入侵检测是非常重要的。因为网络攻击的泛滥已经成为全球性的课题，我们认为在未来的若干年中基于网络的入侵检测系统仍旧是主流趋势。尽管内部产生的误用造成的损失也非常严重，但是用户和厂商对网关型防御设备的热衷在近期仍不会降低。基于网络的分布式检测系统将致力于处理分布式DDoS攻击、恶意代码、漏洞扫描等常见的安全问题，并且与其它边界防御设施整合完成安全任务。基于主机的入侵检测系统虽然在近期未必会有爆炸性的发展，但是其成长将是稳定和可预期的。内部信息安全管理特别是访问控制措施会逐步展现出对入侵检测技术的需要。入侵检测的技术基础已经相当成熟，未来的主要发展空间在于是否能充分利用人工智能的成功加强系统效能。虽然在可预期的未来人工智能技术还无法提供检测未知威胁的能力，但是仍旧可以提高入侵检测系统在检测水平和误报率方面的表现。另外，更多更完善的技术和标准将会出现，这可以使得入侵检测系统与其它安全系统的互动更加有效，我们有望使用统一的规则描述语言在更高的抽象层次对安全防御设施进行管理。目前大部分的入侵检测设施都有组织内部的管理人员负责，可能是安全管理员也可能是系统管理员。这种配备是为了保障对入侵检测事件的及时响应，随着入侵检测系统复杂度和应用深度的增加，能够保证这种及时性将成为重大挑战。虽然尚无法预测入侵检测厂商将以何种方式来应对，但集成于产品内部的管理特性是在技术领域之外的最重要的成长基点。在入侵检测技术发展的早期，需要很多安全专家来制订和处理安全规则，随着系统可用性的不断进步，这种状况在今天已经获得了极大的缓解。未来的入侵检测系统将更加易用，并且会有更多的信息安全公司提供外包性的服务和技术指导。

本文出自 “离子翼” 博客，转载请与作者联系！