入侵檢測系統(tǒng)的技術(shù)與應(yīng)用

李寶健　楊俊　張雨田　羅守山



　　摘 要 隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也變得越來越重要。入侵檢測技術(shù)是實現(xiàn)網(wǎng)絡(luò)安全的一個重要的手段，也是目前的一個研究熱點。本文對入侵檢測系統(tǒng)的發(fā)展歷史和入侵檢測技術(shù)做了一個簡要的介紹。


　　關(guān)鍵詞 網(wǎng)絡(luò)安全 入侵檢測



1 引言


　　在信息化社會中，計算機(jī)通信網(wǎng)絡(luò)在政治、軍事、金融、商業(yè)、交通、電信、文教等方面的作用日益增大。社會對計算機(jī)網(wǎng)絡(luò)的依賴也日益增強(qiáng)。隨著計算機(jī)技術(shù)、數(shù)字通信技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，世界已經(jīng)進(jìn)入了數(shù)字化、信息化的時代。計算機(jī)網(wǎng)絡(luò)已由單個的局域網(wǎng)發(fā)展到目前的跨區(qū)域的、國際性的計算機(jī)網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)的開放性、共享性及互聯(lián)性的擴(kuò)大，特別是Internet的出現(xiàn)，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。隨著網(wǎng)絡(luò)上各種新業(yè)務(wù)的興起，比如電子商務(wù)、電子現(xiàn)金、數(shù)字貨幣、網(wǎng)絡(luò)銀行等興起，以及各種專用網(wǎng)的建設(shè)，使網(wǎng)絡(luò)安全問題顯得越來越重要。


　　對于企業(yè)內(nèi)部網(wǎng)來說，入侵的來源可能是多種多樣的，比如說，它可能是企業(yè)內(nèi)部心懷不滿的員工、網(wǎng)絡(luò)黑客，甚至是競爭對手。攻擊者可能竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息，還可以篡改數(shù)據(jù)庫的內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更為嚴(yán)重的是攻擊者可以刪除數(shù)據(jù)庫的內(nèi)容，摧毀網(wǎng)絡(luò)的節(jié)點，釋放計算機(jī)病毒，直到整個企業(yè)網(wǎng)絡(luò)陷入癱瘓。因此，能否成功阻止網(wǎng)絡(luò)黑客的入侵、保證計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運行便成為網(wǎng)絡(luò)管理員所面臨的一個重要問題。


　　入侵檢測技術(shù)是近20年來出現(xiàn)的一種主動保護(hù)自己免受黑客攻擊的新型網(wǎng)絡(luò)安全技術(shù)。什么是入侵檢測呢？簡單地說，從系統(tǒng)運行過程中產(chǎn)生的或系統(tǒng)所處理的各種數(shù)據(jù)中查找出威脅系統(tǒng)安全的因素，并對威脅做出相應(yīng)的處理，就是入侵檢測。相應(yīng)的軟件或硬件稱為入侵檢測系統(tǒng)。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。


2 入侵檢測系統(tǒng)的發(fā)展歷史


　　入侵檢測的研究最早可追溯到James P. Anderson在1980年的工作。在這一年的4月，他為美國空軍做了一份題為“計算機(jī)安全威脅監(jiān)控與監(jiān)視”( Computer Security Threat Monitoring and Sur-
veillance ) 的技術(shù)報告，這份報告被公認(rèn)為是入侵檢測的開山之作。在報告中，他首次提出了入侵檢測的概念，將入侵嘗試 ( intrusion attempt ) 或威脅 ( th-


reat ) 定義為：潛在的有預(yù)謀未經(jīng)授權(quán)訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。在報告中，Anderson還提出審計跟蹤可應(yīng)用于監(jiān)視入侵活動的思想。但由于當(dāng)時所有已有的系統(tǒng)安全程序都著重于拒絕未經(jīng)認(rèn)證主體對重要數(shù)據(jù)的訪問，這一設(shè)想的重要性當(dāng)時并未被理解。


　　1986年，為檢測用戶對數(shù)據(jù)庫異常訪問，W. T.Tener在IBM主機(jī)上用COBOL開發(fā)的Discovery系統(tǒng)，成為最早的基于主機(jī)的IDS雛形之一。


　　1987年，喬治敦大學(xué)的Dorothy E. Denning提出了一個實時的入侵檢測系統(tǒng)抽象模型——IDES（Intrusion Detection Expert System，入侵檢測專家系統(tǒng)），首次將入侵檢測的概念作為一種計算機(jī)系統(tǒng)安全防御問題的措施提出。與傳統(tǒng)加密和訪問控制的常用方法相比，IDS是全新的計算機(jī)安全措施。她提出的模型由六個部分組成：主體、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則。它獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提供了一個通用的框架。


　　1988年的Morris Internet蠕蟲事件使得Internet近5天無法使用，該事件促進(jìn)了人們投入更多的精力于IDS的研究。


　　1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。這一年，加州大學(xué)戴維斯分校的L. T. Heberlein等人提出了一個新的概念：基于網(wǎng)絡(luò)的入侵檢測——NSM（Network Security Monitor），NSM與此前的IDS系統(tǒng)最大的不同在于它并不檢查主機(jī)系統(tǒng)的審計記錄，它可以通過在局域網(wǎng)上主動地監(jiān)視網(wǎng)絡(luò)信息流量來追蹤可疑的行為。這是第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。從此之后，入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，入侵檢測系統(tǒng)中的兩個重要研究方向開始形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。同時，在1988年莫里斯蠕蟲事件發(fā)生之后，網(wǎng)絡(luò)安全引起了軍方、學(xué)術(shù)界和企業(yè)的高度重視。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家實驗室、加州大學(xué)戴維斯分校、Haystack實驗室，開展對分布式入侵檢測系統(tǒng)（DIDS）的研究，將基于主機(jī)和基于網(wǎng)絡(luò)的檢測方法集成到一起。DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品，它的檢測模型采用了分層結(jié)構(gòu)。


　　1991年，NADIR（Network Anomaly Detection and Intrusion Reporter）與DIDS（Distribute Intrusion Detection System）提出了收集和合并處理來自多個主機(jī)的審計信息以檢測一系列主機(jī)的協(xié)同攻擊。


　　1994年，Mark Crosbie和Gene Spafford建議使用自治代理（autonomous agents）以便提高IDS的可伸縮性、可維護(hù)性、效率和容錯性，該理念非常符合正在進(jìn)行的計算機(jī)科學(xué)其他領(lǐng)域 （如軟件代理，software agent）的研究。


　　1995年開發(fā)了IDES完善后的版本——NIDES（Next-Generation Intrusion Detection System）可以檢測多個主機(jī)上的入侵。


　　另一條致力于解決當(dāng)代絕大多數(shù)入侵檢測系統(tǒng)伸縮性不足的途徑于1996年提出，這就是GrIDS（Graph-based Intrusion Detection System）的設(shè)計和實現(xiàn)，該系統(tǒng)使得對大規(guī)模自動或協(xié)同攻擊的檢測更為便利，這些攻擊有時甚至可能跨過多個管理領(lǐng)域。


　　近些年來，入侵檢測的主要創(chuàng)新包括：Forrest等將免疫原理運用到分布式入侵檢測領(lǐng)域。1998年Ross Anderson和 Abida Khattak將信息檢索技術(shù)引進(jìn)到入侵檢測。


　　2000年2月，對Yahoo！、Amazon、CNN等大型網(wǎng)站的DDOS（分布式拒絕服務(wù)）攻擊引發(fā)了對IDS系統(tǒng)的新一輪研究熱潮。


3 入侵檢測技術(shù)


　　隨著入侵檢測技術(shù)的發(fā)展，到目前為止出現(xiàn)了很多入侵檢測系統(tǒng)，不同的入侵檢測系統(tǒng)具有不同的特征。根據(jù)不同的分類標(biāo)準(zhǔn)，入侵檢測系統(tǒng)可分為不同的類別。對于入侵檢測系統(tǒng)，要考慮的因素（分類依據(jù)）主要有：信息源、入侵、事件生成、事件處理、檢測方法等。下面就不同的分類依據(jù)及分類結(jié)果分別加以介紹。


3.1 根據(jù)原始數(shù)據(jù)的來源


　　入侵檢測系統(tǒng)要對其所監(jiān)控的網(wǎng)絡(luò)或主機(jī)的當(dāng)前狀態(tài)做出判斷，并不是憑空臆測，它需要以原始數(shù)據(jù)中包含的信息為基礎(chǔ)，做出判斷。按照原始數(shù)據(jù)的來源，可以將入侵檢測系統(tǒng)分為基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于應(yīng)用的入侵檢測系統(tǒng)。


　　1. 基于主機(jī)的入侵檢測系統(tǒng)


　　主要用于保護(hù)運行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視與分析主機(jī)的審計記錄和日志文件來檢測入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。通常，基于主機(jī)的IDS可監(jiān)測系統(tǒng)、事件和Windows NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄，從中發(fā)現(xiàn)可疑行為。當(dāng)有文件發(fā)生變化時，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警并向別的目標(biāo)報告，以采取措施。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法，是通過定期檢查校驗和來進(jìn)行的，以便發(fā)現(xiàn)意外的變化。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。此外，許多IDS還監(jiān)聽主機(jī)端口的活動，并在特定端口被訪問時向管理員報警。


　　比如，上文提到的IDES就屬于這一類。它是一個獨立于系統(tǒng)、應(yīng)用環(huán)境、系統(tǒng)弱點和入侵類型的實時入侵檢測專家系統(tǒng)。該系統(tǒng)可以看作是一個基于規(guī)則的模式匹配系統(tǒng)。審記記錄一旦產(chǎn)生，就與相應(yīng)的描述模型進(jìn)行比較，與描述模型中的特定信息進(jìn)行比較，確定用什么規(guī)則來更新描述模型，檢測異�；顒雍蛨蟾鏅z測異常結(jié)果。規(guī)則和描述模型結(jié)構(gòu)是獨立于系統(tǒng)的。


　　IDES獨立于系統(tǒng)的特點使其擁有較強(qiáng)的可移植性。但是，如果對目標(biāo)系統(tǒng)的弱點有充分的了解，就有利于建立更有效的入侵檢測系統(tǒng)。IDES對入侵的反應(yīng)僅是向系統(tǒng)安全管理員發(fā)出警告，反應(yīng)能力有限。


　　盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實具有基于網(wǎng)絡(luò)的系統(tǒng)無法比擬的優(yōu)點。這些優(yōu)點包括：


　　· 能確定攻擊是否成功。主機(jī)是攻擊的目的所在，所以基于主機(jī)的IDS使用含有已發(fā)生的事件信息，可以比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。就這一方面而言，基于主機(jī)的IDS與基于網(wǎng)絡(luò)的IDS互相補(bǔ)充，網(wǎng)絡(luò)部分盡早提供針對攻擊的警告，而主機(jī)部分則可確定攻擊是否成功。


　　· 監(jiān)控粒度更細(xì)�；�于主機(jī)的IDS，監(jiān)控的目標(biāo)明確，視野集中，它可以檢測一些基于網(wǎng)絡(luò)的IDS不能檢測的攻擊。它可以很容易地監(jiān)控系統(tǒng)的一些活動，如對敏感文件、目錄、程序或端口的存取。例如，基于主機(jī)的IDS可以監(jiān)督所有用戶登錄及退出登錄的情況，以及每位用戶在連接到網(wǎng)絡(luò)以后的行為。它還可監(jiān)視通常只有管理員才能實施的非正常行為。針對系統(tǒng)的一些活動，有時并不通過網(wǎng)絡(luò)傳輸數(shù)據(jù)，有時雖然通過網(wǎng)絡(luò)傳輸數(shù)據(jù)但所傳輸?shù)臄?shù)據(jù)并不能提供足夠多的信息，從而使得基于網(wǎng)絡(luò)的系統(tǒng)檢測不到這些行為，或者檢測到這個程度非常困難。


　　· 配置靈活。每一個主機(jī)有其自己的基于主機(jī)的IDS，用戶可根據(jù)自己的實際情況對其進(jìn)行配置。


　　· 可用于加密的以及交換的環(huán)境。加密和交換設(shè)備加大了基于網(wǎng)絡(luò)IDS收集信息的難度，但由于基于主機(jī)的IDS安裝在要監(jiān)控的主機(jī)上，根本不會受這些因素的影響。


　　· 對網(wǎng)絡(luò)流量不敏感。基于主機(jī)的IDS一般不會因為網(wǎng)絡(luò)流量的增加而丟掉對網(wǎng)絡(luò)行為的監(jiān)視。


　　· 不需要額外的硬件。


　　基于主機(jī)的入侵檢測系統(tǒng)的主要缺點是：它會占用主機(jī)的資源，在服務(wù)器上產(chǎn)生額外的負(fù)載；缺乏平臺支持，可移植性差，因而應(yīng)用范圍受到嚴(yán)重限制。


　　在網(wǎng)絡(luò)環(huán)境中，某些活動對于單個主機(jī)來說可能構(gòu)不成入侵，但是對于整個網(wǎng)絡(luò)是入侵活動。例如“旋轉(zhuǎn)門柄”攻擊，入侵者企圖登錄到網(wǎng)絡(luò)主機(jī)，他對每臺主機(jī)只試用一次用戶ID和口令，并不窮盡搜索，如果不成功，便轉(zhuǎn)向其他主機(jī)。這種攻擊方式，各主機(jī)上的入侵檢測系統(tǒng)顯然無法檢測到，這就需要建立面向網(wǎng)絡(luò)的入侵檢測系統(tǒng)。


　　2. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)


　　主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它偵聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象�；�于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源�；�于網(wǎng)絡(luò)的IDS通常利用一個運行在混雜模式下網(wǎng)絡(luò)的適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)，當(dāng)然也可能采用其他特殊硬件獲得原始網(wǎng)絡(luò)包。


　　基于網(wǎng)絡(luò)的IDS有許多僅靠基于主機(jī)的入侵檢測法無法提供的功能。實際上，許多客戶在最初使用IDS時，都配置了基于網(wǎng)絡(luò)的入侵檢測�；�于網(wǎng)絡(luò)的檢測有以下優(yōu)點：


　　· 監(jiān)測速度快�；�于網(wǎng)絡(luò)的監(jiān)測器通常能在微秒或秒級發(fā)現(xiàn)問題。而大多數(shù)基于主機(jī)的產(chǎn)品則要依靠對最近幾分鐘內(nèi)審計記錄的分析。


　　· 隱蔽性好。一個網(wǎng)絡(luò)上的監(jiān)測器不像一個主機(jī)那樣顯眼和易被存取，因而也不那么容易遭受攻擊�；�于網(wǎng)絡(luò)的監(jiān)視器不運行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計算機(jī)，因此可以做得比較安全。


　　· 視野更寬。可以檢測一些主機(jī)檢測不到的攻擊，如淚滴（tear drop）攻擊，基于網(wǎng)絡(luò)的SYN洪水等。還可以檢測不成功的攻擊和惡意企圖。


　　· 較少的監(jiān)測器。由于使用一個監(jiān)測器就可以保護(hù)一個共享的網(wǎng)段，所以你不需要很多的監(jiān)測器。相反地，如果基于主機(jī)，則在每個主機(jī)上都需要一個代理，這樣的話，花費昂貴，而且難于管理。但是，如果在一個交換環(huán)境下，就需要特殊的配置。


　　· 攻擊者不易轉(zhuǎn)移證據(jù)。基于網(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通信進(jìn)行實時攻擊的檢測。所以攻擊者無法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識別黑客身份和對其進(jìn)行起訴的信息。許多黑客都熟知審計記錄，他們知道如何操縱這些文件掩蓋他們的作案痕跡，如何阻止需要這些信息的基于主機(jī)的系統(tǒng)去檢測入侵。


　　· 操作系統(tǒng)無關(guān)性�；�于網(wǎng)絡(luò)的IDS作為安全監(jiān)測資源，與主機(jī)的操作系統(tǒng)無關(guān)。與之相比，基于主機(jī)的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。


　　· 可以配置在專門的機(jī)器上，不會占用被保護(hù)的設(shè)備上的任何資源。


　　 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要缺點是：只能監(jiān)視本網(wǎng)段的活動，精確度不高；在交換環(huán)境下難以配置；防入侵欺騙的能力較差；難以定位入侵者。


　　3. 基于應(yīng)用（application）的入侵檢測系統(tǒng)


　　基于應(yīng)用的入侵檢測系統(tǒng)可以說是基于主機(jī)的入侵檢測系統(tǒng)的一個特殊子集，也可以說是基于主機(jī)入侵檢測系統(tǒng)實現(xiàn)的進(jìn)一步的細(xì)化，所以其特性、優(yōu)缺點與基于主機(jī)的IDS基本相同。主要特征是使用監(jiān)控傳感器在應(yīng)用層收集信息。由于這種技術(shù)可以更準(zhǔn)確地監(jiān)控用戶某一應(yīng)用的行為，所以這種技術(shù)在日益流行的電子商務(wù)中也越來越受到注意。它監(jiān)控在某個軟件應(yīng)用程序中發(fā)生的活動，信息來源主要是應(yīng)用程序的日志。它監(jiān)控的內(nèi)容更為具體，相應(yīng)的監(jiān)控的對象更為狹窄。


　　這三種入侵檢測系統(tǒng)具有互補(bǔ)性，基于網(wǎng)絡(luò)的入侵檢測能夠客觀地反映網(wǎng)絡(luò)活動，特別是能夠監(jiān)視到系統(tǒng)審計的盲區(qū)；而基于主機(jī)的和基于應(yīng)用的入侵檢測能夠更加精確地監(jiān)視系統(tǒng)中的各種活動。實際系統(tǒng)大多是這三種系統(tǒng)的混合體。


3.2 根據(jù)檢測原理進(jìn)行分類


　　傳統(tǒng)的觀點根據(jù)入侵行為的屬性將其分為異常和誤用兩種，然后分別對其建立異常檢測模型和誤用檢測模型。異常入侵檢測是指能夠根據(jù)異常行為和使用計算機(jī)資源的情況檢測出來的入侵。異常入侵檢測試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。Anderson做了如何通過識別“異�！毙袨閬頇z測入侵的早期工作。他提出了一個威脅模型，將威脅分為外部闖入、內(nèi)部滲透和不當(dāng)行為三種類型，并使用這種分類方法開發(fā)了一個安全監(jiān)視系統(tǒng)，可檢測用戶的異常行為。外部闖入是指用戶雖然授權(quán)，但對授權(quán)數(shù)據(jù)和資源的使用不合法或濫用授權(quán)。誤用入侵檢測是指利用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測不同，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查出與正常行為相違背的行為。綜上，可根據(jù)系統(tǒng)所采用的檢測模型，將入侵檢測分為兩類：異常檢測和誤用檢測。


　　1. 異常檢測


　　在異常檢測中，觀察到的不是已知的入侵行為，而是所研究的通信過程中的異常現(xiàn)象，它通過檢測系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統(tǒng)計概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個行為標(biāo)為“異常”，并如何做出具體決策。


　　2. 誤用檢測


　　在誤用檢測中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。所以，可事先定義某些特征的行為是非法的，然后將觀察對象與之進(jìn)行比較以做出判別。誤用檢測基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測。它能夠準(zhǔn)確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏警。


3.3 根據(jù)體系結(jié)構(gòu)分類


　　按照體系結(jié)構(gòu)，IDS可分為集中式、等級式和協(xié)作式三種。


　　1. 集中式


　　這種結(jié)構(gòu)的IDS可能有多個分布于不同主機(jī)上的審計程序，但只有一個中央入侵檢測服務(wù)器。審計程序把當(dāng)?shù)厥占�到的�?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。但這種結(jié)構(gòu)的IDS在可伸縮性、可配置性方面存在致命缺陷。隨著網(wǎng)絡(luò)規(guī)模的增加，主機(jī)審計程序和服務(wù)器之間傳送的數(shù)據(jù)量就會驟增，導(dǎo)致網(wǎng)絡(luò)性能大大降低。并且，一旦中央服務(wù)器出現(xiàn)故障，整個系統(tǒng)就會陷入癱瘓。根據(jù)各個主機(jī)的不同需求配置服務(wù)器也非常復(fù)雜。


　　2. 等級式


　　在這種IDS中，定義了若干個分等級的監(jiān)控區(qū)域，每個IDS負(fù)責(zé)一個區(qū)域，每一級IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級IDS。這種結(jié)構(gòu)也存在一些問題：首先，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整；第二，這種結(jié)構(gòu)的IDS最后還是要把各地收集到的結(jié)果傳送到最高級的檢測服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒有實質(zhì)性的改進(jìn)。


　　3. 協(xié)作式


　　將中央檢測服務(wù)器的任務(wù)分配給多個基于主機(jī)的IDS，這些IDS不分等級，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動。所以，其可伸縮性、安全性都得到了顯著的提高，但維護(hù)成本卻高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計開銷、蹤跡分析等。


4 結(jié)束語


　　入侵檢測系統(tǒng)是保障計算機(jī)系統(tǒng)安全的一種手段。在20余年的時間中，入侵檢測系統(tǒng)的檢測對象已經(jīng)從主機(jī)的審計數(shù)據(jù)擴(kuò)展到廣域網(wǎng)的分布式信息，以期實現(xiàn)對整個計算機(jī)系統(tǒng)全面的安全保護(hù)。


（參考文獻(xiàn)略）



　　李寶健，男，43 歲，講師，首鋼工學(xué)院數(shù)學(xué)教研室教師，研究方向為信息安全、糾錯編碼。


　　楊 俊，男，38歲，副教授，北京郵電大學(xué)計算機(jī)學(xué)院教師，研究方向為網(wǎng)絡(luò)安全。


　　張雨田，男，39歲，講師，北京郵電大學(xué)理學(xué)院教師，研究方向為信息安全。


　　羅守山，男，40歲，博士，教授，研究方向為信息安全、糾錯編碼。



摘自《中國數(shù)據(jù)通信》