(1.河南省驻马店市委党校；2.驻马店市网通公司，河南 驻马店 463000) 
摘 要： 文章回顾了入侵检测技术的历史进程，重点探讨了入侵检测技术的工作原理、分类方法及其 标准化工作，并展望了入侵检测技术未来的发展动向。
关键词：网络安全；入侵检测技术；cidf
中图分类号：tp393.08  文献标识码：a  文章编号： 1007—6921(2008)21—0040—03 

随着internet迅猛发展，计算机网络已经成为国家重要的经济基础和命脉。然而，计算机网 络的共享性、开放性在为社会带来便利与高效的同时，也带来了各种各样的问题，其中安全 问题尤为突出。

传统的网络安全防御策略是防火墙、数据加密、身份认证以及访问控制、操作系统加固等静 态安全防御策略。然而随着入侵技术的不断发展、攻击手段日趋复杂化和多样化，这些被动 的、静态的安全防御体系已经无法满足当前安全状况的需要。由于入侵检测技术所需要分析 的数据源仅是记录系统活动轨迹的审计数据，其几乎适用于所有的计算机系统，很好地弥补 了传统保护机制的不足，从而成为目前动态安全工具的主要研究方向。
1 入侵检测技术历史进程

1980年4月，james p.anderson为美国空军做了一份题为《computer security threat moni toring and surveillance》的技术报告，第一次详细阐述了入侵检测的概念，被公认为是 入侵检测的开山之作。
1987年denning在ieee上发表了题为《an intrusion-detection model》的学术报告，再次 引起了人们对入侵检测的强烈关注。在这篇文献中，提出了一个重要的入侵检测系统的抽象 模型，首次将入侵检测的概念作为一种全新的、与传统加密认证和访问控制完全不同的计算 机系统安全防御措施而提出，被认为是对入侵检测研究具有推动性的工作。

由于internet的发展及通信和计算机带宽的增加，人们对网络安全的关注也显著地增加。在 美国空军、国家安全局和能源部的资助下，由美国空军密码支持中心、lawrence livermor 国家实验室、加州大学davis分校和haystack实验室共同参与研究，将基于主机的入侵检测 系统同基于网络的入侵检测系统集成到一块，采用分层结构，形成了

分布式的入侵检测系统，大大增强了对入侵攻击检测的能力。
从20世纪90年代到现在，入侵检测技术的研究呈现出百家争鸣的繁荣局面，并在智能化和分 布式两个方面取得了巨大的进步。数据挖掘、人工免疫、信息检索、容错技术、代理技术也 渗透或融合到了入侵检测系统中，从而将入侵检测技术的发展推向了一个新的高度。
2 入侵检测系统工作原理

入侵是指试图破坏资源的完整性、机密性及可用性的活动集合。入侵检测，顾名思义，是对 入侵行为的发觉，它对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或 者攻击结果，以保证系统资源的机密性、完整性和可用性。进行入侵检测的软件与硬件的组 合便是入侵检测系统(intrusion detection system，ids)。入侵检测系统作为网络安全防 护体系的重要组成部分，提供了对内部攻击、外部攻击和误操作的实时保护，在计算机系统 受到危害之前拦截和响应入侵。

一般的，入侵检测系统由数据提取、数据分析和结果处理三个功能模块组成，图1给出了一 个通用的入侵检测系统结构。

740)this.width=740" border=undefined onmousewheel="return zoom_img(event,this)">
其中：①数据提取模块的作用在于为系统提供数据。数据的来源可以是主机上的日志信息、变动 信息，也可以是网络上的数据信息，甚至是流量变化等。数据提取模块在获得数据之后，需 要对数据进行简单的处理，如简单的过滤、数据格式的标准化等，然后将经过处理的数据提 交给数据分析模块。②数据分析模块的作用在于对数据进行分析，发现攻击并根据分析的结果产生事件，传递 给结果处理模块。数据分析的方式多种多样，可以简单到对某种行为的计数（如一定时间内 某个特定用户登录失败的次数，或者某种特定类型报文的出现次数），也可以是一个复杂的专家系统。该模块是整个入侵检测系统的核心。③结果处理模块的作用在于入侵检测系统发现入侵后根据预定的策略及时地做出响应，包 括切断网络连接、记录事件和报警等。响应一般分为主动响应和被动响应两种类型。主动响 应由用户驱动或系统本身自动执行，可对入侵者采取行动，如断开连接、修正系统环境或收 集有用信息；被动响应则包括告警、设置snmp（简单网络管理协议）陷阱等。

因此，入侵检测作为一种积极主动的安全防护技术，具有以下几个基本功能：

从系统的不同环节收集信息；分析该信息，试图寻找入侵活动的特征；对检测到的行为做出 响应；纪录并报告检测过程结果。
3 入侵检测技术分类

根据着眼点的不同，对入侵检测技术的分类方法很多，下面分别讨论依据不同的标准对入侵 检测技术进行的分类。
3.1 根据数据来源分类

按照原始数据的来源，可以将入侵检测技术分为基于主机的入侵检测、基于网络的入侵检测 和混合型的入侵检测。
3.1.1 基于主机的入侵检测

基于主机的入侵检测通常采用系统日志、应用程序日志等审计数据作为检测的数据源，从所 在的主机收集这些信息进行分析来发现入侵活动。这种检测方法要求系统根据配置信息设定 需要审计的事件，这些事件一旦发生，系统就将具体参数记录在日志文件中。检测系统则根 据一定的算法对日志文件中的审计数据进行分析，最后得出结果报告。能否及时采集到审计 数据是这种系统的关键。

这种方法的优点是可以提供更好的应用层安全，在网络传输被加密的情况下仍能工作。但也 存在一些重大缺陷，如对整个网络的拓扑结构认识有限