入侵检测系统分类：实验成果

现有入侵检测系统的分类，大都基于信息源和分析方法进行分类。

（1）按信息源分类

信息源是入侵检测信息收集的来源，这些来源成为了入侵检测的对象，可以分为基于主机型和基于网络型两大类，也包括基于主机和基于网络的混合模式的入侵检测系统。

1）基于主机的入侵检测系统（HIDS）通常是被安装在被重点检测的主机上，往往以系统日志、应用程序日志、WindowsNT下的安全记录以及UNIX环境下的系统记录等作为数据源，也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。当发现系统中文件被修改时，IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。

●优点：监视所有系统的行为；系统误报率低，检测数据流简单，系统简单；适应交换和加密；不需要额外硬件。对分析“可能的攻击行为”非常有用。举例来说，有时候它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事：他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。

●缺点：看不到网络活动状况；运行审计功能需要占用系统资源；对入侵行为的分析的工作量将随着主机数目增加而增加。主机入侵检测系统的缺点是它依赖于服务器固有的日志与监视能力。

2）基于网络的入侵检测系统（NIDS）通常被设置在比较重要的网段内，以网络包作为分析数据源。NIDS能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，IDS的响应模块就作出适当的响应，比如报警、切断相关用户的网络连接等。目前，大部分入侵检测系统的产品是基于网络的。

●优点：不需要改变服务器等主机的配置。不需要在业务系统的主机中安装额外的软件；不影响系统机器的CPU、I/O与磁盘等资源的使用；不影响业务系统的性能。

●缺点：对加密通信无能为力；对高速网络无能为力；不能预测命令的执行后果。

3）基于主机和基于网络的入侵检测系统的集成。HIDS和NIDS各有优缺点，单纯使用一种入侵检测系统可能会防御系统的布健全。通常许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统，即一种混合模式的入侵检测系统。因为这两种系统在很大程度上是互补的。实际上，许多客户在使用IDS时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部Internet的攻击。DNS、E-mail和Web服务器经常是攻击的目标，但是它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以应当在各个服务器上安装基于主机的入侵检测系统，其检测结果也要向分析员控制台报告。因此，即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。(www.xing528.com)

（2）按检测分析方法分类

根据检测所用分析方法的不同，可分为误用检测和异常检测。

1）误用检测。假定所有的入侵行为和手段都能够表达一种模式或特征。如果将以往发现的网络攻击的行为的特征总结出来，并建立一个入侵特征信息库，当入侵检测系统捕获到的网络行为特征，与特征信息库中的特征进行比较，如果匹配，则当前的网络行为就可以被认定为是入侵行为。误用检测方法对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式，通过系统当前状态与攻击模式的状态进行匹配，判断入侵行为是否发生。

●优点：通常可以准确地检测出已知的入侵行为，并对每一种入侵提供比较详细的信息，以便入侵检测系统的使用者能够快速准确地作出反应。误用检测方法具有检测准确度高、技术相对成熟、便于进行系统防护等优点。

●缺点：对入侵的信息收集和更新困难，难以检测本地入侵行为、不能检测未知的入侵行为、特征库的维护存在困难等。

2）异常检测。异常检测假设网络攻击行为是不常见的或异常的，区别于正常的行为。为实现该类检测，IDS建立正常活动的“规范集”，当主体的行为违反其统计规律时，认为可能是“入侵”行为。如果能够对用户和系统所有正常行为总结活动规律并建立行为模型，那么入侵检测系统只要将捕获到的网络行为与行为模型进行比较，若该行为偏离了行为模型规定的行为，就可以被认定为入侵。

●优点：能够检测出新的入侵行为或从未发生过的入侵行为；对操作系统的依赖性较小；可以检测出属于滥用权限的入侵。

●缺点：对系统抽象出正常活动的行为模型比较困难，而且报警率很高。