入侵检测系统

2024年3月31日发(作者：)

入侵检测系统

1. 引言

1.1 背景

近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱

动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的

目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增

长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，

入侵检测系统(Intrusion Detection System，简称 IDS)得到了迅猛的

发展。 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内

部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，

但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内

部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于

企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及

其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测

到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程

中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的

相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能

力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安

全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内

部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

1.2 背国内外研究现状

入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如

开放源代码的snort，虽然它已经跟不上发展的脚步，但它也是各种商

业IDS的参照系；NFR公司的NID等，都已相当的完善。虽然国内起步

晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，

不过国外有相当完善的技术基础，国内在这方面相对较弱。

2. 入侵检测的概念和系统结构

2.1 入侵检测的概念

入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵

信号的分析过程。使监控和分析过程自动化的软件或硬件产品称为入侵

检测系统（Intrusion Detection System），简称IDS。一个完整的入

侵检测系统必须具有：经济性、时效性、安全性、可扩展性的特点。

2.2 入侵检测的系统结构

入侵检测系统的基本结构构成CIDF（Common Intrusion Detection

Frame,公共入侵检测框架）提出了通用模型，将入侵检测系统分为四个

基本组件：事件产生器、事件分析器、响应单元和事件数据库，见图。

图2-1公共入侵检测框架（CIDF）的体系结构

(1) 事件产生器（Event generators） 事件产生器是入侵检测系统

中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后

将收集到的原始数据转换为事件，并向系统的其他部分提供此事件。

(2) 事件分析器（Event analyzers） 事件分析器接收事件信息，

然后对它们进行分析，判断是否是入侵行为或异常现象，最后把判断的

结果转换为警告信息。

(3) 事件数据库（Response units ） 事件数据库是存放各种中间

和最终数据的地方。

(4) 响应单元（Response units ） 响应单元根据警告信息做出反

应，如切断连接、改变文本属性等强烈的反应，也可能是简单地报警。

它是入侵检测系统中的主动武器。

3. 入侵检测系统的分类