网络入侵检测系统及性能指标

落红卫

摘要　互联网应用日益普及，网络安全作为一个无法回避的问题呈现在人们面前。网络入侵检测系统作为一种积极主动的安全防护系统成为安全市场上新的热点。本文首先描述了网络入侵检测系统体系架构，然后介绍了其检测原理和性能指标，最后分析了其当前存在的问题。

关键词　网络入侵检测系统　误用检测　异常检测

1、引言

　　网络入侵检测系统是指从计算机网络的若干关键点收集信息并对其进行分析，从中发现网络中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定措施的软件与硬件的组合。

　　网络入侵检测技术是网络动态安全的核心技术，相关设备和系统是整个安全防护体系的重要组成部分。目前，防火墙是静态安全防御技术，但对网络环境下日新月异的攻击手段缺乏主动的响应，不能提供足够的安全保护。而网络入侵检测系统能对网络入侵事件和过程做出实时响应，与防火墙共同成为网络安全的核心设备。

2、系统描述

　　按照功能划分，网络入侵检测系统至少包括四个基本组件，即事件产生器、事件分析器、响应单元和事件数据库。网络入侵检测系统的框架如图1所示。

图1　网络入侵检测系统框架

　　事件产生器从系统所处的计算机网络环境中收集事件，并将这些事件转换成一定格式以传送给其它组件。可以说，事件产生器是实时监视网络数据流并依据入侵检测规则产生事件的一种过滤器。

　　事件分析器可以是一个特征检测工具，用于在一个事件序列中检查是否有已知的攻击特征；也可以是一个统计分析工具，检查现在的事件是否与以前某个事件来自同一个事件序列；此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放到一起，以利于以后的进一步分析。

　　事件数据库用来存储事件产生器和事件分析器产生的临时事件，以备系统需要的时候使用。

　　响应单元根据事件产生器检测到的和事件分析器分析到的入侵行为而采取相应的响应措施。在检测到入侵攻击后，基于网络的入侵检测系统的响应单元主要有两类响应方式：被动响应方式和主动响应方式。被动响应方式是系统在检测出入侵攻击后只是产生报警和日志通知管理员，具体处理工作由管理员完成；主动响应方式是系统在检测出入侵攻击后可以自动对目标系统或者相应网络设备做出修改制止入侵行为。

　　在网络入侵检测系统框架中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则往往以文件或数据流的形式出现。四个组件只是逻辑实体，它们以固定的格式进行数据交换。这四个组件是网络入侵检测系统最核心的部分，可以完成最基本的入侵检测功能。但是作为一个完整的网络入侵检测系统，系统管理组件和日志审计组件也是必不可少的。系统管理组件完成对系统的操作与配置，而日志审计组件是任何安全设备必须具备的功能。系统管理组件负责网络入侵检测系统的管理，主要包括权限管理、设备管理、规则管理、升级管理。日志审计组件完成对操作日志和入侵检测日志的审计。

3、检测原理

　　网络入侵检测系统检测模式有两种，即误用检测模式和异常检测模式。

　　在误用检测模式中，系统首先将所有入侵行为及其变种，表达为确定的模式或特征，建立一个入侵模式库。检测时，主要通过判别网络中所检测到的事件的数据特征是否在所收集到的入侵模式库中出现而断定是否是入侵行为。由于误用检测模式基于已知的系统缺陷和入侵模式，故也称特征检测模式。它能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，漏报的情况比较多。为了提高检测的准确率，必须不断更新入侵模式库，以对付不断出现的黑客攻击手法。

　　在异常检测模式中，系统首先对事件行为进行统计分析，建立正常行为模型，并定义正常行为判断的阈值。检测时，将系统检测到的行为与预定义的正常行为比较，得出是否有被攻击的迹象。这种检测模式的优点是可以检测到未知的入侵行为和复杂的入侵行为；缺点是只能识别出那些与正常行为有较大偏差的行为，而无法知道具体的入侵情况。由于正常行为模型相对固定，所以异常检测模式对网络环境的适应性不强，误报的情况比较多，且不适应用户正常行为的突然改变。