网络安全等级保护：入侵检测系统概念

等级保护工作中，在法律要求中应采取防范危害网络安全行为的技术措施。网络运营者应当依照法律、行政法规及网络安全等级保护制度的规定，切实采取技术防范措施，从技术上防范计算机病毒和网络攻击、网络侵入等网络安全风险。例如，安装防病毒软件，防范计算机病毒；安装网络身份认证系统、网络入侵检测系统、网络风险审计系统等，防范网络攻击、侵入等。

在《网络安全等级保护基本要求》的入侵防范要求中，需要相应的入侵防范系统或设备，而入侵检测系统就是该类系统或设备的代表。很多入侵检测类产品，会以不同的名字出现，其归根结底还是入侵检测系统的功能与性能的一个扩增。

入侵检测技术是用于检测任何损害或企图损害系统的安全技术。入侵检测技术监视受保护系统的状态和活动，采用异常检测或误用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。IDS(Intrusion Detection Systems) 是由硬件和软件组成的，IDS通过实时的检测，检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式，监视与安全有关的活动。

前段时间我们系统性的简单介绍了防火墙，接下来我们则介绍入侵检测系统。

了解 IDS 概念

对入侵检测系统的全面讨论肯定是超出了本文的讨论范围。不过，这部分概述了 IDS，以解释这些系统的工作原理。入侵检测和预防有六种基本方法。其中一些方法在各种软件包中实现，其他方法只是组织可以用来降低成功入侵可能性的策略。以下段落描述并检查了每一个。

让我们从概念开始讨论入侵检测系统。IDS 是如何工作的？为了探索这个问题，我们必须首先回顾一下网络是如何运作的。从历史上看，当 IDS 首次开发时，集线器的使用非常频繁。如今，人们使用交换机而不是集线器。通过集线器，数据包从源网络到达目的网络（通过目的IP地址进行路由）后，最终到达目标所在网段。到达最后一段后，MAC 地址用于查找目标。该网段上的所有计算机都可以看到该数据包，但由于目标 MAC 地址与其网卡的 MAC 地址不匹配，因此它们忽略该数据包。

在某些时候，有进取心的个人意识到，如果他们只是选择不忽略不是发往其网卡的数据包，他们就可以看到该网段上的所有流量。换句话说，我们可以查看该网段上的所有数据包。因此数据包嗅探器诞生了。此后，分析这些数据包以查找攻击迹象的想法的出现只是时间问题，从而催生了入侵检测系统。

抢先封锁

先发制人的阻止，有时称为驱逐警惕，旨在防止入侵发生。这是通过注意到即将发生的威胁的任何危险迹象，然后阻止这些迹象所源自的用户或 IP 地址来完成的。此技术的示例包括尝试检测即将发生的入侵的早期足迹阶段，然后阻止作为足迹活动来源的 IP 或用户。如果您发现某个特定的 IP 地址是系统频繁端口扫描和其他扫描的来源，那么您可以在防火墙处阻止该 IP 地址。

这种入侵检测和避免可能非常复杂，并且有可能错误地阻止合法用户。复杂性源于区分合法流量和即将发生攻击的流量。这可能会导致误报问题，即系统错误地将合法流量识别为某种形式的攻击。通常，软件系统只会提醒管理员发生了可疑活动。然后，人工管理员将决定是否阻止流量。如果软件自动阻止任何它认为可疑的地址，您都面临着阻止合法用户的风险。还应该指出的是，没有什么可以阻止攻击者转移到另一台机器上继续他或她的攻击。这种方法应该只是整个入侵检测策略的一部分，而不是整个策略。

签名匹配

与防病毒系统非常相似，IDS/IPS 具有已知攻击的签名列表。与防病毒系统不同，IDS/IPS 签名可以包含的不仅仅是恶意软件。这些签名可以包括表明拒绝服务 (DoS)攻击的网络活动、来自外部各方的漏洞扫描以及可能表明攻击的许多其他活动。签名匹配的优点是能够高精度地识别其签名的攻击；然而，签名匹配对于新的攻击无效。这就是为什么大多数系统（无论是防病毒软件还是 IDS/IPS）仅使用签名匹配作为整体方法的一部分。

异常检测

异常检测涉及用于检测入侵尝试并通知管理员的实际软件。这是许多人在谈论入侵检测系统时所想到的。一般过程很简单：系统查找任何异常行为。任何与正常用户访问模式不匹配的活动都会被记录下来。该软件将观察到的活动与预期的正常使用情况进行比较。配置文件通常是为特定用户、用户组或应用程序开发的。任何不符合正常行为定义的活动都被视为异常并被记录。有时我们将此称为“回溯”检测或过程。这也可以称为网络行为分析（NBA）。我们能够确定该数据包是从哪里发送的。检测异常的具体方式包括：

阈值监控

阈值监控预设可接受的行为水平并观察是否超过这些水平。这可能包括像有限次数的失败登录尝试这样简单的事情，也可以包括像监视用户连接时间和用户下载的数据量这样复杂的事情。阈值提供可接受行为的定义。不幸的是，仅通过阈值限制来描述入侵行为可能有些困难。建立适当的阈值或检查这些阈值的适当的时间范围通常是相当困难的。这可能会导致误报率很高，系统会将正常使用错误地识别为可能的攻击。

资源分析

资源分析测量系统范围内的资源使用情况并开发历史使用情况概况。查看用户通常如何利用系统资源使系统能够识别超出正常参数的使用级别。这种异常读数可能表明正在进行非法活动。然而，解释整个系统使用情况变化的含义可能很困难。使用量的增加可能只是表明一些良性的事情，例如工作流程的增加，而不是试图破坏安全性。

用户/组工作分析

在用户/组工作配置文件中，IDS 维护有关用户和组的单独工作配置文件。这些用户和组应遵守这些配置文件。当用户更改其活动时，他的预期工作配置文件会更新以反映这些更改。一些系统尝试监控短期与长期配置文件的交互。短期配置文件捕捉最近变化的工作模式，而长期配置文件提供了较长一段时间内的使用情况视图。然而，分析不规则或动态的用户群可能很困难。定义得太宽泛的配置文件可以使任何活动通过审核，而定义太窄的配置文件可能会阻碍用户工作。

可执行文件分析

可执行分析旨在测量和监视程序如何使用系统资源，特别关注那些其活动始终无法追溯到特定原始用户的程序。例如，系统服务通常无法追踪到启动它们的特定用户。病毒、特洛伊木马、蠕虫、陷门和其他此类软件攻击是通过分析系统对象（例如文件和打印机）通常如何被用户以及用户的其他系统主体使用来解决的。例如，在大多数传统系统中，任何程序（包括病毒）都会继承执行该软件的用户的所有特权。该软件不受最小权限原则的限制，只限于正确执行所需的权限。

可执行分析使 IDS 能够识别可能表明攻击的活动。一旦识别出潜在危险，通知管理员的方法（例如通过网络消息或电子邮件）是特定于各个 IDS 的。