網路安全防護-入侵檢測技術概述

網路入侵的原理是什麼

入侵檢測系統（Intrusion Detection System，IDS）作為一種積極主動的安全防護手段，在保護計算機網路和資訊保安方面發揮著重要的作用。

入侵檢測是監測計算機網路和系統以發現違反安全策略事件的過程。

入侵檢測系統工作在計算機網路系統的關鍵節點上，透過實施手機和分析計算機網路或系統中的資訊，來檢查是否出現違反安全策略的行為和遭到襲擊的跡象，進而達到防治攻擊、預防攻擊的目的。

1。入侵檢測概述

（1） IDS的產生

1980年4月，James P。Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》（計算機安全威脅監控與監視）的技術報告，報告裡第一次詳細闡述了入侵檢測的概念。

他提出了一種對計算機系統風險和威脅的分類方法，並將威脅分為外部滲透、內部滲透和不法行為三種，還提出了利用審計跟蹤資料，監視入侵活動的思想。

1984年到1986年，Dorothy E。 Denning和Peter Neumann研究並發展了一個實時入侵檢測系統模型，IDES（入侵檢測專家系統），為構架入侵檢測系統提供了一個通用的框架。

1987年，Denning提出一個經典的異常檢測抽象模型，首次將入侵檢測作為一種計算機系統安全的防禦措施提出。

1988年Morris Internet 蠕蟲事件導致了許多IDS系統的開發研製。1990年是入侵檢測系統發展史上的一個分水嶺。

這一年，加州大學戴維斯分校的L。 T。 Heberlein等人開發出了NSM（Network Security Monitor）。NSM是入侵檢測研究史上一個非常重要的里程碑，從此之後，入侵檢測系統發展史翻開了新的一頁，兩大陣營正式形成：基於網路的IDS和基於主機的IDS。

1991年，美國空軍等多部門進行聯合，開展對分散式入侵檢測系統（DIDS）的研究，將基於主機和基於網路的檢測方法整合到一起。

DIDS是分散式入侵檢測系統歷史上的一個里程碑式的產品，它的檢測模型採用了分層結構。

1994年，Mark Crosbie和Gene Spafford建議使用自治代理（autonomous agents）以便提高IDS的可伸縮性、可維護性、效率和容錯性，該理念非常符合正在進行的計算機科學其他領域（如軟體代理，software agent）的研究。

1995年開發了IDES完善後的版本—NIDES（Next- Generation Intrusion Detection System）可以檢測多個主機上的入侵。

（2） IDS的功能與模型

入侵檢測就是監測計算機網路和系統以發現違反安全策略事件的過程。

它透過在計算機網路或計算機系統中的若干關鍵點收集資訊並對收集到的資訊進行分析，從而判斷網路或系統中是否有違反安全策略的行為和被攻擊的跡象。

完成入侵檢測功能的軟體、硬體組合便是入侵檢測系統。

簡單來說，IDS包括3個部分：提供事件記錄流的資訊源，即對資訊的收集和預處理；入侵分析引擎；基於分析引擎的結果產生反應的響應部件。

一般來說，IDS能夠完成下列活動：監控、分析使用者和系統的活動；發現入侵企圖或異常現象；審計系統的配置和弱點；評估關鍵系統和資料檔案的完整性；對異常活動的統計分析；識別攻擊的活動模式；實時報警和主動響應。

IDS在結構上可劃分為資料收集和資料分析兩部分。

入侵檢測工作組（Intrusion Detection Working Group，IDWG）和通用入侵檢測框架（Common Intrusion Detection Framework，CIDF）負責IDS標準化研究工作，將入侵檢測系統分為四個基本元件：事件產生器（Event generators）、事件分析器（Event analyzers）、響應單元（Response units）和事件資料庫（Event databases），提出了一個入侵監測系統的通用模型。

CIDF體現了入侵檢測系統必須具有的體系結構：資料獲取、資料分析、行為響應和資料管理，因此具有通用性。

2。入侵檢測系統的基本原理

攻擊檢測系統工作流程分為資訊收集、資訊分析和動作響應三個階段，這三個階段對應CIDF功能單元分別是事件產生器、事件分析器和響應單元。

資訊收集階段收集被保護網路和系統的特徵資訊，攻擊檢測系統的資料來源主要來自主機、網路和其他安全產品。

基於主機的資料來源主要有系統的配置資訊、系統執行狀態資訊、系統記賬資訊、系統日誌、系統安全性審計資訊和應用程式的日誌；

基於網路的資料來源主要有SNMP資訊和網路通訊資料包；其他攻擊檢測系統的報警資訊、其他網路裝置和安全產品的資訊也是重要的資料來源之一。

資訊分析階段利用一種或多種攻擊檢測技術對收集到的特徵資訊進行有效的組織、整理、分析和提取，從而發現存在的攻擊事件。

這種行為的鑑別可以實時進行，也可以事後分析，在很多情況下，事後的進一步分析是為了尋找行為的責任人。

動作響應階段對資訊分析的結果做出相應的響應。被動響應是系統僅僅簡單地記錄和報告所檢測出的問題，主動響應則是系統要為阻塞或影響程序而採取反擊行動。

理想的情況下，系統的這一部分應該具有豐富的響應功能特性，並且這些響應特性在針對安全管理小組中的每一位成員進行裁剪後，能夠為他們提供服務。

我是木子雨辰，一位資訊保安領域從業者，@木子雨辰將一直帶給大家資訊保安知識，每天兩篇安全知識、由淺至深、採用體系化結構逐步分享，大家有什麼建議和問題，可以及留言，多謝大家點選關注、轉發、評論，謝謝大家。

大家如果有需要了解安全知識內容需求的可以留言，溝通，願與大家攜手前行。