一、引言

　　由于現(xiàn)在有了因特網(wǎng)，網(wǎng)絡(luò)安保已經(jīng)成了工業(yè)企業(yè)最關(guān)注的話題。入侵檢測系統(tǒng)(IDS)用于檢測那些不需要對工業(yè)自動化控制系統(tǒng)(IACS)訪問和操作，特別是通過網(wǎng)絡(luò)。它是一種專用工具，知道如何分析和解釋網(wǎng)絡(luò)流量和主機(jī)活動。 IDS的主要目標(biāo)是對IACS網(wǎng)絡(luò)檢測入侵和入侵企圖，讓網(wǎng)絡(luò)管理員采取適當(dāng)?shù)木徑夂脱a(bǔ)救措施。IDS不會阻止這些攻擊，但會讓用戶知道什么時候發(fā)生了攻擊。

　　此外，IDS把已知的攻擊特征和相關(guān)的活動、流量、行為模式存儲到數(shù)據(jù)庫，當(dāng)監(jiān)測數(shù)據(jù)發(fā)現(xiàn)存儲的特征與當(dāng)前的特征或者行為非常接近時，通過比對就可以識別出來。這時，IDS能發(fā)出警報或警示，并搜集這些破壞活動的證據(jù)。

　　入侵檢測提供了一種識別的方法，因此可以對系統(tǒng)的攻擊進(jìn)行反應(yīng)。檢測到攻擊是一回事，阻止攻擊則是另一回事。這時，最高等級的IT安保行動是防止攻擊和可能的災(zāi)害;而IDS往往只能帶來一點點這樣的功能。因此，對入侵檢測系統(tǒng)功能的擴(kuò)展，就產(chǎn)生了入侵防御系統(tǒng)(IPS)。在當(dāng)前防御能力不足的情況下，驅(qū)動了這一新的安全產(chǎn)品誕生，被稱為入侵防御系統(tǒng)。

　　入侵防御系統(tǒng)是一種網(wǎng)絡(luò)安全設(shè)備，監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的活動，對惡意或有害的行為可以進(jìn)行實時反應(yīng)，以阻止或防止這些活動帶來的破壞。

　　IPS是基于應(yīng)用內(nèi)容來決定是否能對IACS進(jìn)行訪問，而不是像傳統(tǒng)的防火墻，用IP地址或端口做決定。這種系統(tǒng)采用的是積極的防御機(jī)制，在正常的網(wǎng)絡(luò)信息流中檢測惡意數(shù)據(jù)包并阻止其入侵，看在任何損害發(fā)生之前自動阻斷惡意流量，而不是簡單地提出警報，或者在惡意的有效載荷已交付之后再動作。

　　二、入侵檢測系統(tǒng)

　　IDS對網(wǎng)絡(luò)信息進(jìn)行分析，發(fā)現(xiàn)惡意活動時就立即報警。在攻擊開始后他們一般都能夠發(fā)出特殊報文復(fù)位TCP連接，有些甚至可以與防火墻系統(tǒng)連接，馬上重寫防火墻的規(guī)則集。

　　IDS有兩種基本類型，即特征型和啟發(fā)型。運(yùn)行在工作站上的IDS被稱為主機(jī)入侵檢測系統(tǒng)(HIDS)，而那些獨立在網(wǎng)絡(luò)上運(yùn)行的設(shè)備被稱為網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)。 HIDS利用其主機(jī)的資源，在主機(jī)上監(jiān)測信息流檢測攻擊。NIDS作為一種獨立設(shè)備在網(wǎng)絡(luò)上監(jiān)測信息流檢測攻擊。 NIDS也有兩種形式，特征型NIDS和啟發(fā)型NIDS。這兩種類型提供了不同程度的網(wǎng)絡(luò)入侵檢測。

　　今天，我們可以按照IDS所監(jiān)視的活動、流量、交易、或系統(tǒng)來區(qū)分IDS：

　　· 監(jiān)測網(wǎng)絡(luò)連接和骨干尋找攻擊特征的IDS被稱為：基于網(wǎng)絡(luò)的IDS，而那些在主機(jī)上運(yùn)行，??保衛(wèi)和監(jiān)視操作和文件系統(tǒng)入侵跡象的IDS，被稱為基于主機(jī)的IDS;

　　· 作為遠(yuǎn)程檢測并向中央管理站報告的IDS組，被稱為分布式IDS;

　　· 一個網(wǎng)關(guān)IDS是一種網(wǎng)絡(luò)IDS，部署在內(nèi)部網(wǎng)絡(luò)和其他網(wǎng)絡(luò)之間，監(jiān)視進(jìn)出內(nèi)部網(wǎng)絡(luò)中轉(zhuǎn)站的信息流。

　　· 側(cè)重于理解和分析特定應(yīng)用程序邏輯以及底層協(xié)議的IDS通常被稱為應(yīng)用IDS。

　　按照事件分析方法也可以區(qū)分不同的IDS。有的IDS主要使用特征檢測技術(shù)。這與許多防病毒程序的方法類似，使用病毒特征碼(特征)來識別，并阻止受感染的文件、程序或活動Web內(nèi)容進(jìn)入計算機(jī)。依靠當(dāng)前網(wǎng)絡(luò)流量和正?；顒拥牟町惏l(fā)出入侵警告的IDS被稱為異常檢測系統(tǒng)(ADS)。這種類型的IDS通常捕捉來自網(wǎng)絡(luò)的數(shù)據(jù)，對數(shù)據(jù)使用ADS規(guī)則檢出差異。

　　漏報與誤報

　　考慮組織機(jī)構(gòu)的首要安保指標(biāo)是NIDS檢測攻擊的準(zhǔn)確性和準(zhǔn)確性頻率。為了確定啟發(fā)型和特征型NIDS的準(zhǔn)確率，要對這些系統(tǒng)的漏報和誤報進(jìn)行統(tǒng)計。誤報與特征型NIDS相關(guān)。特征型NIDS需要把其數(shù)據(jù)庫中的特征與進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)特征進(jìn)行匹配。

　　已知病毒和其他惡意代碼的特征放在數(shù)據(jù)庫中用于特征匹配。其結(jié)果，任何具有特征的攻擊可以被準(zhǔn)確地識別和檢出。不幸的是，新創(chuàng)建的惡意代碼或更改后的已知病毒使系統(tǒng)無法發(fā)現(xiàn)，這被稱為漏報。這種缺點是特征型NIDS的缺陷，不具備檢測新型攻擊或改頭換面攻擊的能力。特征型NIDS還會誤報的情況是使用過時的惡意特征，可能會對一個新的良性應(yīng)用特征報警，這要到特征更新后才能消除。

　　不同于特征型NIDS，啟發(fā)型系統(tǒng)的漏報率比較低。他們不依賴特征，使用統(tǒng)計和行為模式做為手段，所以能夠檢測到新型的惡意代碼。啟發(fā)型NIDS使用用戶、應(yīng)用和其他程序文件的行為模式開發(fā)正常和不正常的行為模式，然后用來檢測攻擊的發(fā)生。接著，系統(tǒng)內(nèi)用戶或程序的任何行為偏差將被檢出和標(biāo)記，然后產(chǎn)生一個報警。

　　不幸的是，大多數(shù)報警都是良性的，誤報是導(dǎo)出的結(jié)果。例如，一個程序員具有系統(tǒng)各個方面的授權(quán)，但通常處理的是程序文件，在訪問日志文件后，結(jié)果被標(biāo)記和報警，因為他偏離了程序員的正常行為。高誤報，這會導(dǎo)致系統(tǒng)管理員對啟發(fā)型NIDS有清楚的認(rèn)識，檢查少則報警多。雖然，高誤報率是可以解決的。按照啟發(fā)型NIDS的結(jié)構(gòu)，基于連續(xù)抽樣統(tǒng)計和行為模式細(xì)化進(jìn)行分析，可供使用的采樣數(shù)據(jù)容量越大，區(qū)分良性應(yīng)用行為與惡意應(yīng)用的行為偏差的能力就越強(qiáng)。

　　三、入侵防御系統(tǒng)

　　IPS已經(jīng)成為IT安保系統(tǒng)中的一個強(qiáng)大工具和重要組件。IPS是這樣一種設(shè)備：具有檢測已知和未知攻擊并具有成功防止攻擊的能力。

　　IDS技術(shù)與IPS技術(shù)有一個重要的區(qū)別。IPS技術(shù)可以對檢測出的威脅進(jìn)行響應(yīng)，通過嘗試防止攻擊。按照他們使用的響應(yīng)技術(shù)，可分為以下幾類。

　　1. IPS的響應(yīng)技術(shù)

　　a. IPS可以阻止攻擊本身。它可以使攻擊的網(wǎng)絡(luò)連接或用戶會話終止，并阻止攻擊者的帳號、IP地址、或其他屬性。

　　b. IPS可以改變安保環(huán)境。IPS可以改變安?？刂频呐渲猛呓夤簟?/FONT>