内容发布更新时间 : 2024/6/28 18:02:25星期一 下面是文章的全部内容请认真阅读。

入侵检测系统和入侵防御技术

黄鑫 1341901201

(江苏科技大学 计算机科学与工程学院，江苏镇江）

摘要 入侵检测与防御技术作为新一代的网络信息安全保障技术，它主动地对网络信息系统中的恶意入侵行为进行识别和响应，不仅检测和防御来自外部网络的入侵行为，同时也监视和防止内部用户的未授权活动和误操作行为。本文从入侵检测/入侵防范的概念入手，对两者的技术特点，原理进行了详细的分析，进而讨论了入侵检测和入侵防范之间的关系。 关键字：入侵检测系统、入侵防范系统、安全

Abstract The technique of intrusion detection and intrusion prevention has become the new generation information security technique. It actively identifies the malicious usage behavior of information system and actively responses to it. The IDS(Intrusion Detection System) and IPS(Intrusion Prevention System) not only detect and prevent the exterior network s intrusion behavior, but also keep watching and preventing Internal users of unauthorized activities and misuse behavior.Starting from the concept of Intrusion Detection and Intrusion Protection, this article presents a detailed analysis of their technological characteristics and principles, and then discusses their relationships.

Key Words Intrusion Detection System Intrusion Prevention System Security

1.引言

网络信息系统的安全问题是一个十分复杂的问题，涉及到技术、管理、使用等许多方面。传统的网络安全防范工具是防火墙，它是一种用来加强网络之间访问控制的特殊网络互联设备，通过对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。在这个需求背景下，入侵检测技术乃至入侵防范便应运而生，可以弥补防火墙的不足，为网络提供实时的监控，并结合其他的网络安全产品，在网络系统受到威胁之前对入侵行为做出实时反应。本文就目前各种网络入侵检测和防御技术进行综合性描

述，指出它们各自的优点及缺点，并探讨和研究了网络入侵检测防御技术未来的发展趋势。

2.IDS/IPS技术介绍

入侵检测系统(IDS)

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。 入侵防御系统(IPS)

IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

3.IPS与IDS的区别与选择

IPS是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。

IPS检测攻击的方法也与IDS不同。一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。

从产品价值角度讲：入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。

从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端

之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。

4.IDS/IPS产品调研

绝大多数的入侵检测产品都以纯软件的形式出售，但为了达到性能最佳，往往需要对安装的系统进行优化调整。这样把产品做成黑盒子的形式出售就可以达到目的，如Cisco公司的Secure IDS和金诺网安的KIDS等。同时随着入侵检测产品在规模庞大企业中的应用越来越广泛，分布式技术也开始融入到入侵检测产品中来，目前绝大多数的入侵检测产品尤其是企业级的产品都具有分布式结构

[5]

。

基于网络的入侵检测产品放置在比较重要的网段内，对每一个数据包或可疑

的数据包进行特征分析。商品化的产品包括：国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler，以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。

基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。

混合式入侵检测系统综合了基于网络和主机的两种结构特点，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。

文件完整性检查工具通过检查文件的数字摘要与其他一些属性，判断文件是否被修改，从而检测出可能的入侵。这个领域的产品有半开放源代码的Tripwire等。

5.IDS/IPS存在的问题及发展趋势

IDS/IPS存在的问题

IDS/IPS不但可以发现外部攻击也可以发现内部的攻击，成为了防火墙的必要补充。但是由于这项技术诞生的时间还不是很长，并且防范和攻击之间总是存在着一种此消彼长的博弈关系，所以入侵检测/防范产品中还是存在有不少问题。 (1) 漏报和误报

这一问题可以说几乎对于所有的安全软件都是存在的。造成漏报的原因有很多。首先入侵检测产品的一个重要的指标就是包截获能力，当网络数据流量超过入侵检测产品本身的包获取能力时，就会有部分数据包无法被分析，这样就有可能导致漏报。误报也是一个值得关注的问题。造成误报的主要原因有，当大量发