一、引言

　　由于現(xiàn)在有了因特網(wǎng)，網(wǎng)絡(luò)安保已經(jīng)成了工業(yè)企業(yè)最關(guān)注的話題。入侵檢測系統(tǒng)(IDS)用于檢測那些不需要對工業(yè)自動化控制系統(tǒng)(IACS)訪問和操作，特別是通過網(wǎng)絡(luò)。它是一種專用工具，知道如何分析和解釋網(wǎng)絡(luò)流量和主機活動。 IDS的主要目標(biāo)是對IACS網(wǎng)絡(luò)檢測入侵和入侵企圖，讓網(wǎng)絡(luò)管理員采取適當(dāng)?shù)木徑夂脱a救措施。IDS不會阻止這些攻擊，但會讓用戶知道什么時候發(fā)生了攻擊。

　　此外，IDS把已知的攻擊特征和相關(guān)的活動、流量、行為模式存儲到數(shù)據(jù)庫，當(dāng)監(jiān)測數(shù)據(jù)發(fā)現(xiàn)存儲的特征與當(dāng)前的特征或者行為非常接近時，通過比對就可以識別出來。這時，IDS能發(fā)出警報或警示，并搜集這些破壞活動的證據(jù)。

　　入侵檢測提供了一種識別的方法，因此可以對系統(tǒng)的攻擊進(jìn)行反應(yīng)。檢測到攻擊是一回事，阻止攻擊則是另一回事。這時，最高等級的IT安保行動是防止攻擊和可能的災(zāi)害;而IDS往往只能帶來一點點這樣的功能。因此，對入侵檢測系統(tǒng)功能的擴展，就產(chǎn)生了入侵防御系統(tǒng)(IPS)。在當(dāng)前防御能力不足的情況下，驅(qū)動了這一新的安全產(chǎn)品誕生，被稱為入侵防御系統(tǒng)。

　　入侵防御系統(tǒng)是一種網(wǎng)絡(luò)安全設(shè)備，監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的活動，對惡意或有害的行為可以進(jìn)行實時反應(yīng)，以阻止或防止這些活動帶來的破壞。

　　IPS是基于應(yīng)用內(nèi)容來決定是否能對IACS進(jìn)行訪問，而不是像傳統(tǒng)的防火墻，用IP地址或端口做決定。這種系統(tǒng)采用的是積極的防御機制，在正常的網(wǎng)絡(luò)信息流中檢測惡意數(shù)據(jù)包并阻止其入侵，看在任何損害發(fā)生之前自動阻斷惡意流量，而不是簡單地提出警報，或者在惡意的有效載荷已交付之后再動作。

　　二、入侵檢測系統(tǒng)

　　IDS對網(wǎng)絡(luò)信息進(jìn)行分析，發(fā)現(xiàn)惡意活動時就立即報警。在攻擊開始后他們一般都能夠發(fā)出特殊報文復(fù)位TCP連接，有些甚至可以與防火墻系統(tǒng)連接，馬上重寫防火墻的規(guī)則集。

　　IDS有兩種基本類型，即特征型和啟發(fā)型。運行在工作站上的IDS被稱為主機入侵檢測系統(tǒng)(HIDS)，而那些獨立在網(wǎng)絡(luò)上運行的設(shè)備被稱為網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)。 HIDS利用其主機的資源，在主機上監(jiān)測信息流檢測攻擊。NIDS作為一種獨立設(shè)備在網(wǎng)絡(luò)上監(jiān)測信息流檢測攻擊。 NIDS也有兩種形式，特征型NIDS和啟發(fā)型NIDS。這兩種類型提供了不同程度的網(wǎng)絡(luò)入侵檢測。

　　今天，我們可以按照IDS所監(jiān)視的活動、流量、交易、或系統(tǒng)來區(qū)分IDS：

　　· 監(jiān)測網(wǎng)絡(luò)連接和骨干尋找攻擊特征的IDS被稱為：基于網(wǎng)絡(luò)的IDS，而那些在主機上運行，??保衛(wèi)和監(jiān)視操作和文件系統(tǒng)入侵跡象的IDS，被稱為基于主機的IDS;

　　· 作為遠(yuǎn)程檢測并向中央管理站報告的IDS組，被稱為分布式IDS;

　　· 一個網(wǎng)關(guān)IDS是一種網(wǎng)絡(luò)IDS，部署在內(nèi)部網(wǎng)絡(luò)和其他網(wǎng)絡(luò)之間，監(jiān)視進(jìn)出內(nèi)部網(wǎng)絡(luò)中轉(zhuǎn)站的信息流。

　　· 側(cè)重于理解和分析特定應(yīng)用程序邏輯以及底層協(xié)議的IDS通常被稱為應(yīng)用IDS。

　　按照事件分析方法也可以區(qū)分不同的IDS。有的IDS主要使用特征檢測技術(shù)。這與許多防病毒程序的方法類似，使用病毒特征碼(特征)來識別，并阻止受感染的文件、程序或活動Web內(nèi)容進(jìn)入計算機。依靠當(dāng)前網(wǎng)絡(luò)流量和正常活動的差異發(fā)出入侵警告的IDS被稱為異常檢測系統(tǒng)(ADS)。這種類型的IDS通常捕捉來自網(wǎng)絡(luò)的數(shù)據(jù)，對數(shù)據(jù)使用ADS規(guī)則檢出差異。

　　漏報與誤報

　　考慮組織機構(gòu)的首要安保指標(biāo)是NIDS檢測攻擊的準(zhǔn)確性和準(zhǔn)確性頻率。為了確定啟發(fā)型和特征型NIDS的準(zhǔn)確率，要對這些系統(tǒng)的漏報和誤報進(jìn)行統(tǒng)計。誤報與特征型NIDS相關(guān)。特征型NIDS需要把其數(shù)據(jù)庫中的特征與進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)特征進(jìn)行匹配。