根據(jù)檢測(cè)原理進(jìn)行分類

傳統(tǒng)的觀點(diǎn)根據(jù)入侵行為的屬性將其分為異常和濫用兩種，然后分別對(duì)其建立異常檢測(cè)模型和濫用檢測(cè)模型。近四五年來又涌現(xiàn)出了一些新的檢測(cè)方法，它們產(chǎn)生的模型對(duì)異常和濫用都適用，如人工免疫方法、遺傳算法、數(shù)據(jù)挖掘等。根據(jù)系統(tǒng)所采用的檢測(cè)模型，將IDS分為三類。
1．異常檢測(cè)
在異常檢測(cè)中，觀察到的不是已知的入侵行為，而是所研究的通信過程中的異?，F(xiàn)象，它通過檢測(cè)系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統(tǒng)計(jì)概率模型，明確所觀察對(duì)象的正常情況，然后決定在何種程度上將一個(gè)行為標(biāo)為“異?！?，并如何做出具體決策。
異常檢測(cè)只能識(shí)別出那些與正常過程有較大偏差的行為，而無法知道具體的入侵情況。由于對(duì)各種網(wǎng)絡(luò)環(huán)境的適應(yīng)性不強(qiáng)，且缺乏精確的判定準(zhǔn)則，異常檢測(cè)經(jīng)常會(huì)出現(xiàn)虛警情況。
異常檢測(cè)可以通過以下系統(tǒng)實(shí)現(xiàn)。
（1）自學(xué)習(xí)系統(tǒng)
自學(xué)習(xí)系統(tǒng)通過學(xué)習(xí)事例構(gòu)建正常行為模型，又可分為時(shí)序和非時(shí)序兩種。
（2）編程系統(tǒng)
該類系統(tǒng)需要通過編程學(xué)習(xí)如何檢測(cè)確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統(tǒng)的安全。編程系統(tǒng)可以再細(xì)分為描述統(tǒng)計(jì)和缺省否認(rèn)兩種。
異常檢測(cè)IDS分類如表1所示。
　
2．濫用檢測(cè)
在濫用檢測(cè)中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。所以，可事先定義某些特征的行為是非法的，然后將觀察對(duì)象與之進(jìn)行比較以做出判別。
濫用檢測(cè)基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測(cè)。它能夠準(zhǔn)確地檢測(cè)到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測(cè)系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏警。
濫用檢測(cè)通過對(duì)確知決策規(guī)則編程實(shí)現(xiàn)，可以分為以下四種：
（1）狀態(tài)建模：它將入侵行為表示成許多個(gè)不同的狀態(tài)。如果在觀察某個(gè)可疑行為期間，所有狀態(tài)都存在，則判定為惡意入侵。狀態(tài)建模從本質(zhì)上來講是時(shí)間序列模型，可以再細(xì)分為狀態(tài)轉(zhuǎn)換和Petri網(wǎng)，前者將入侵行為的所有狀態(tài)形成一個(gè)簡(jiǎn)單的遍歷鏈，后者將所有狀態(tài)構(gòu)成一個(gè)更廣義的樹形結(jié)構(gòu)的Petri網(wǎng)。
（2）專家系統(tǒng)：它可以在給定入侵行為描述規(guī)則的情況下，對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行推理。一般情況下，專家系統(tǒng)的檢測(cè)能力強(qiáng)大，靈活性也很高，但計(jì)算成本較高，通常以降低執(zhí)行速度為代價(jià)。
（3）串匹配：它通過對(duì)系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進(jìn)行子串匹配實(shí)現(xiàn)。該方法靈活性欠差，但易于理解，目前有很多高效的算法，其執(zhí)行速度很快。
（4）基于簡(jiǎn)單規(guī)則: 類似于專家系統(tǒng)，但相對(duì)簡(jiǎn)單一些，故執(zhí)行速度快。
濫用檢測(cè)IDS分類如表2所示。
　
3． 混合檢測(cè)
近幾年來，混合檢測(cè)日益受到人們的重視。這類檢測(cè)在做出決策之前，既分析系統(tǒng)的正常行為，同時(shí)還觀察可疑的入侵行為，所以判斷更全面、準(zhǔn)確、可靠。它通常根據(jù)系統(tǒng)的正常數(shù)據(jù)流背景來檢測(cè)入侵行為，故而也有人稱其為“啟發(fā)式特征檢測(cè)”。
Wenke Lee從數(shù)據(jù)挖掘得到啟示，開發(fā)出了一個(gè)混合檢測(cè)器RIPPER。它并不為不同的入侵行為分別建立模型，而是首先通過大量的事例學(xué)習(xí)什么是入侵行為以及什么是系統(tǒng)的正常行為，發(fā)現(xiàn)描述系統(tǒng)特征的一致使用模式，然后再形成對(duì)異常和濫用都適用的檢測(cè)模型。
根據(jù)系統(tǒng)特征分類

作為一個(gè)完整的系統(tǒng)，IDS顯然不應(yīng)該只包括檢測(cè)器，它的很多系統(tǒng)特征同樣值得認(rèn)真研究。為此，將以下一些重要特征作為分類的考慮因素。
1．檢測(cè)時(shí)間：有些系統(tǒng)以實(shí)時(shí)或近乎實(shí)時(shí)的方式檢測(cè)入侵活動(dòng)，而另一些系統(tǒng)在處理審計(jì)數(shù)據(jù)時(shí)則存在一定的延時(shí)。一般的實(shí)時(shí)系統(tǒng)可以對(duì)歷史審計(jì)數(shù)據(jù)進(jìn)行離線操作，系統(tǒng)就能夠根據(jù)以前保存的數(shù)據(jù)重建過去發(fā)生的重要安全事件。
2．?dāng)?shù)據(jù)處理的粒度：有些系統(tǒng)采用了連續(xù)處理的方式，而另一些系統(tǒng)則在特定的時(shí)間間隔內(nèi)對(duì)數(shù)據(jù)進(jìn)行批處理操作，這就涉及到處理粒度的問題。它跟檢測(cè)時(shí)間有一定關(guān)系，但二者并不完全一樣，一個(gè)系統(tǒng)可能在相當(dāng)長(zhǎng)的時(shí)延內(nèi)進(jìn)行連續(xù)數(shù)據(jù)處理，也可以實(shí)時(shí)地處理少量的批處理數(shù)據(jù)。
3．審計(jì)數(shù)據(jù)來源：主要有兩種來源：網(wǎng)絡(luò)數(shù)據(jù)和基于主機(jī)的安全日志文件。后者包括操作系統(tǒng)的內(nèi)核日志、應(yīng)用程序日志、網(wǎng)絡(luò)設(shè)備（如路由器和防火墻）日志等。
4．入侵檢測(cè)響應(yīng)方式：分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。被動(dòng)響應(yīng)型系統(tǒng)只會(huì)發(fā)出告警通知，將發(fā)生的不正常情況報(bào)告給管理員，本身并不試圖降低所造成的破壞，更不會(huì)主動(dòng)地對(duì)攻擊者采取反擊行動(dòng)。主動(dòng)響應(yīng)系統(tǒng)可以分為兩類：
（1）對(duì)被攻擊系統(tǒng)實(shí)施控制。它通過調(diào)整被攻擊系統(tǒng)的狀態(tài)，阻止或減輕攻擊影響，例如斷開網(wǎng)絡(luò)連接、增加安全日志、殺死可疑進(jìn)程等。
（2）對(duì)攻擊系統(tǒng)實(shí)施控制的系統(tǒng)。這種系統(tǒng)多被軍方所重視和采用。
目前，主動(dòng)響應(yīng)系統(tǒng)還比較少，即使做出主動(dòng)響應(yīng)，一般也都是斷開可疑攻擊的網(wǎng)絡(luò)連接，或是阻塞可疑的系統(tǒng)調(diào)用，若失敗，則終止該進(jìn)程。但由于系統(tǒng)暴露于拒絕服務(wù)攻擊下，這種防御一般也難以實(shí)施。
5．?dāng)?shù)據(jù)收集地點(diǎn)：審計(jì)數(shù)據(jù)源可能來自某單一節(jié)點(diǎn)，也可能來自于網(wǎng)絡(luò)中多個(gè)分布式節(jié)點(diǎn)。
6．?dāng)?shù)據(jù)處理地點(diǎn)：審計(jì)數(shù)據(jù)可以集中處理，也可以分布處理。
7．安全性：指系統(tǒng)本身的抗攻擊能力。
8．互操作性：不同的IDS運(yùn)行的操作系統(tǒng)平臺(tái)往往不一樣，其數(shù)據(jù)來源、通信機(jī)制、消息格式也不盡相同，一個(gè)IDS與其他IDS或其他安全產(chǎn)品之間的互操作性是衡量其先進(jìn)與否的一個(gè)重要標(biāo)志。
系統(tǒng)特征IDS分類如表3所示。
　 
根據(jù)體系結(jié)構(gòu)分類
按照體系結(jié)構(gòu)，IDS可分為集中式、等級(jí)式和協(xié)作式三種，如表4所示。

1．集中式。這種結(jié)構(gòu)的IDS可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測(cè)服務(wù)器。審計(jì)程序把當(dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。但這種結(jié)構(gòu)的IDS在可伸縮性、可配置性方面存在致命缺陷：第一，隨著網(wǎng)絡(luò)規(guī)模的增加，主機(jī)審計(jì)程序和服務(wù)器之間傳送的數(shù)據(jù)量就會(huì)驟增，導(dǎo)致網(wǎng)絡(luò)性能大大降低；第二，系統(tǒng)安全性脆弱，一旦中央服務(wù)器出現(xiàn)故障，整個(gè)系統(tǒng)就會(huì)陷入癱瘓；第三，根據(jù)各個(gè)主機(jī)不同需求配置服務(wù)器也非常復(fù)雜。
2．等級(jí)式。它用來監(jiān)控大型網(wǎng)絡(luò)，定義了若干個(gè)分等級(jí)的監(jiān)控區(qū)，每個(gè)IDS負(fù)責(zé)一個(gè)區(qū)，每一級(jí)IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí)IDS。這種結(jié)構(gòu)仍存兩個(gè)問題：首先，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí)，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整；第二，這種結(jié)構(gòu)的IDS最后還是要把各地收集到的結(jié)果傳送到最高級(jí)的檢測(cè)服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒有實(shí)質(zhì)性的改進(jìn)。
3．協(xié)作式。將中央檢測(cè)服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的IDS，這些IDS不分等級(jí)，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。所以，其可伸縮性、安全性都得到了顯著的提高，但維護(hù)成本卻高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計(jì)開銷、蹤跡分析等。
發(fā)展趨勢(shì)
　
一個(gè)有趣的現(xiàn)象是: 基于網(wǎng)絡(luò)的IDS被人們討論得最多，似乎它應(yīng)該代表IDS的發(fā)展潮流，但實(shí)際情況并非如此。部分原因是：① 所監(jiān)控的網(wǎng)絡(luò)流量超過100Mbps之后，計(jì)算量非常之大，系統(tǒng)的數(shù)據(jù)處理與分析能力會(huì)顯著降低，這使得它面臨著一個(gè)難以逾越的技術(shù)門檻；② 只能監(jiān)控明文格式數(shù)據(jù)流，無法監(jiān)控加密數(shù)據(jù)流，這不能不說是一個(gè)硬傷。
通過對(duì)上述分類的認(rèn)真觀察，我們發(fā)現(xiàn)IDS今后有如下一些發(fā)展趨勢(shì)。
1．檢測(cè)模型走向自適應(yīng)。自適應(yīng)模型結(jié)合了自學(xué)習(xí)系統(tǒng)的優(yōu)點(diǎn)和特征系統(tǒng)的檢測(cè)效率，這種混合模型已經(jīng)被學(xué)術(shù)界公認(rèn)為發(fā)展熱點(diǎn)。
2．體系結(jié)構(gòu)從集中式轉(zhuǎn)向分布式。
3．響應(yīng)方式由被動(dòng)轉(zhuǎn)向主動(dòng)。
4．互操作性亟待提高。目前，IDS的研究基本上還處于各自為政的山大王紛爭(zhēng)時(shí)代，不同的IDS之間及與其他安全產(chǎn)品之間的互操作性很差。為了推動(dòng)IDS產(chǎn)品及部件之間的互操作性，DARPA和IETF入侵檢測(cè)工作組分別制訂了CIDF和IDMEF標(biāo)準(zhǔn)，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面規(guī)范IDS。
5．安全性需要增強(qiáng)。作為安全防護(hù)體系中的重要組成部分，IDS自身的安全性必須得到加強(qiáng)。
IDS目前的發(fā)展還處于幼年期，國(guó)產(chǎn)IDS產(chǎn)品更是多處于特征檢測(cè)的初級(jí)階段，在異常檢測(cè)方面與國(guó)外還存在相當(dāng)大的差距，在混合檢測(cè)領(lǐng)域更是一片空白。