1、入侵檢測系統綜述

1.1入侵檢測系統

隨著信息技術的發展，計算機成為社會活動中的必不可少的工具，大量重要的信息存儲在系統中，同時，連入網絡中的計算機數量也在成倍增加，這些都使得信息安全問題日益嚴重。入侵檢測已經成為網絡安全的一個重要的研究領域。

入侵(Intrusion)是指系統的未經授權用戶試圖或已經竊取了系統的訪問權限，以及系統的被授權用戶超越或濫用了系統所授予的訪問權限，而威脅或危害了網絡系統資源的完整性、機密性或有效性的行為集合[1]。其中，完整性是指防止網絡系統資源被非法刪改或破壞；機密性是指防止網絡系統內部信息的非法泄露；有效性是指網絡資源可以被授權用戶隨時正常訪問和程序資源能夠按期望的方式正常地運行。入侵檢測就是檢測入侵活動，并采取對抗措施。入侵檢測主要有兩種：濫用檢測和異常檢測。

濫用檢測（MisuseDetection）是假定所有入侵行為和手段（及其變種）都能夠表達為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法發現。濫用檢測的關鍵是如何表達入侵的模式，把真正的入侵和正常行為區分開來。濫用檢測的優點是可以有針對性地建立高效的入侵檢測系統，其主要缺陷是不能檢測未知的入侵，也不能檢測已知入侵的變種，因此可能發生漏報。

異常檢測(AnomalyDetection)[2]是假定所有入侵行為都是與正常行為不同的。異常檢測需要建立目標系統及其用戶的正常活動模型，然后基于這個模型對系統和用戶的實際活動進行審計，以判定用戶的行為是否對系統構成威脅。常用的異常檢測方法有：專家系統、神經網絡、機器學習、和人工免疫等。異常檢測的關鍵問題是：①特征量的選擇。異常檢測首先是要建立系統或用戶的“正常”行為特征輪廓，這就要求在建立正常模型時，選取的特征量既要能準確地體現系統或用戶的行為特征，又能使模型最優化，即以最少的特征量就能涵蓋系統或用戶的行為特征。②參考閾值的選定。因為在實際的網絡環境下，入侵行為和異常行為往往不是一對一的等價關系，這樣的情況是經常會有的：某一行為是異常行為，而它并不是入侵行為。同樣存在某一行為是入侵行為，而它卻并不是異常行為的情況。這樣就會導致檢測結果的虛警和漏警的產生。由于異常檢測是先建立正常的特征輪廓作為比較的參考基準，這個參考基準即參考閾值的選定是非常關鍵的，閾值定的過大，那漏警率會很高；閾值定的過小，則虛警率就會提高。合適的參考閾值的選定是影響這一檢測方法準確率的至關重要的因素。

入侵檢測系統（IntusionDetectionSystem，IDS）可以定義為識別針對計算機或網絡資源的惡意企圖和行為并對此做出反映的系統。

1.2當前分布式入侵檢測系統特點及存在的問題
當前分布式系統的整體結構多為分級的多層次結構，見圖1。

這是一種自頂向下的樹狀結構，由控制節點、數據聚合節點和數據搜集節點組成。位于樹頂層的是控制節點，負責控制整個系統以及提供接口與外界通信；處在中間層的是數據聚合節點，它接受來自上層的命令后對下層進行控制，分析來自下層的數據流并進行縮減后遞交到上層；而底層的葉節點負責數據搜集功能，它既可以是網絡中的某臺主機，也可以是網絡中的某個數據采集器。

這種系統架構的優點是顯而易見的：它能很好的處理基于濫用和基于異常的入侵檢測模型，從而保護網絡的安全；并且能適應網絡通信大小的需要，很方便地隨時進行擴充和縮減從而達到它所監控的網絡環境的最優化。

但是正因為它的分層結構也導致了它自身的不安全性。表現在兩個方面：

（1）在這種系統中，網絡中有大量的數據傳送將造成網絡擁塞。

（2）由于分層結構使得IDS極易受到攻擊。攻擊者通過攻擊內部節點有可能切斷某一控制分支，甚至破壞整個IDS。

圖1層次架構的分布式入侵檢測系統模型