作者簡(jiǎn)介∶本文作者賴(lài)左罕為畢業(yè)于倫敦大學(xué)皇家學(xué)院（RoyalHolloway,UniversityofLondon）之資訊安全碩士，目前任職顧問(wèn)公司，擔(dān)任資訊安全顧問(wèn)一職，主要專(zhuān)長(zhǎng)包含安全管理（SecurityManagement）、資訊安全政策制定（SecurityPolicy）、防火墻（FirewallImplementation）、入侵偵測(cè)系統(tǒng)（IntrusionDetectionSystems）、入侵安全測(cè)試（PenetrationTesting）、電腦犯罪搜證（Computerforensics）及緊急事件應(yīng)變程序。

入侵偵測(cè)系統(tǒng)其實(shí)可以算是一個(gè)偵測(cè)程序，主要在于偵測(cè)外部攻擊者以及內(nèi)部人員對(duì)未經(jīng)授權(quán)之資訊系統(tǒng)做不正當(dāng)?shù)拇嫒』蚬?。接下?lái)將為大家介紹入侵偵測(cè)系統(tǒng)的基本概念，其所使用的偵測(cè)技巧以及各項(xiàng)偵測(cè)技巧與建置方式的優(yōu)缺點(diǎn)比較。

基本上入侵偵測(cè)系統(tǒng)分為兩種建置方式∶主機(jī)端入侵偵測(cè)系統(tǒng)（Host-basedIDS）以及網(wǎng)路端入侵偵測(cè)系統(tǒng)（Network-basedIDS）。

什么是主機(jī)端入侵偵測(cè)系統(tǒng)？
「主機(jī)端」入侵偵測(cè)系統(tǒng)主要是靠記錄并分析該主機(jī)上的各項(xiàng)活動(dòng)程序以偵測(cè)是否有不適當(dāng)?shù)拇嫒⌒袨?。藉由這樣的方式來(lái)判斷該主機(jī)上某個(gè)特定的處理程序或使用者是否正在進(jìn)行可疑的攻擊行為。

主機(jī)端入侵偵測(cè)系統(tǒng)的優(yōu)缺點(diǎn)
優(yōu)點(diǎn)∶
「主機(jī)端」入侵偵測(cè)系統(tǒng)可以偵測(cè)到「網(wǎng)路端」入侵偵測(cè)系統(tǒng)所偵測(cè)不到的攻擊行為，因?yàn)樗轻槍?duì)本地主機(jī)做事件記錄的檢視。

「主機(jī)端」入侵偵測(cè)系統(tǒng)可以在有加密（encrypted）的網(wǎng)路環(huán)境下運(yùn)作，只要加密的記錄資訊，能在監(jiān)聽(tīng)的主機(jī)上解密（decrypted）或在送達(dá)監(jiān)聽(tīng)主機(jī)之前解密即可。

「主機(jī)端」入侵偵測(cè)系統(tǒng)可以在交換式網(wǎng)路（switchednetwork）環(huán)境下運(yùn)作使用。因?yàn)椤钢鳈C(jī)端」入侵偵測(cè)系統(tǒng)僅針對(duì)該監(jiān)聽(tīng)主機(jī)所接收到的封包做分析，因此對(duì)是否建置在交換網(wǎng)路上并不會(huì)有任何影響。

缺點(diǎn)∶
收集監(jiān)聽(tīng)記錄的機(jī)制通常必須在每一臺(tái)所要監(jiān)聽(tīng)的主機(jī)上安裝并維護(hù)。正因?yàn)椤钢鳈C(jī)端」入侵偵測(cè)系統(tǒng)部份的系統(tǒng)是安裝在所要監(jiān)聽(tīng)的主機(jī)上，所以當(dāng)所監(jiān)聽(tīng)的主機(jī)受到攻擊時(shí)，「主機(jī)端」入侵偵測(cè)系統(tǒng)可能也會(huì)同時(shí)受到攻擊，或者可能會(huì)被較高明的攻擊者在入侵后將其監(jiān)聽(tīng)功能關(guān)閉。[nextpage]

「主機(jī)端」入侵偵測(cè)系統(tǒng)對(duì)網(wǎng)段上的掃瞄并不能有效地偵測(cè)，因?yàn)槠鋬H能偵測(cè)到該主機(jī)所收到的封包而不能得知其它主機(jī)是否也收到類(lèi)似的攻擊?！钢鳈C(jī)端」入侵偵測(cè)系統(tǒng)通常對(duì)阻斷服務(wù)式攻擊（Denial-of-Serviceattack）有偵測(cè)上的困難，而且也無(wú)法有效地在阻斷服務(wù)式攻擊下正常運(yùn)作。「主機(jī)端」入侵偵測(cè)系統(tǒng)在運(yùn)作時(shí)是占用所被監(jiān)聽(tīng)主機(jī)的硬體資源。

什么是網(wǎng)路端入侵偵測(cè)系統(tǒng)？
「網(wǎng)路端」入侵偵測(cè)系統(tǒng)以記錄并分析網(wǎng)路封包的方式來(lái)偵測(cè)入侵行為，其主要建置在網(wǎng)路的骨干上。單一的「網(wǎng)路端」入侵偵測(cè)系統(tǒng)便可監(jiān)聽(tīng)大量的網(wǎng)路資訊?！妇W(wǎng)路端」入侵偵測(cè)系統(tǒng)通常包含一組監(jiān)聽(tīng)裝置，用于監(jiān)聽(tīng)記錄網(wǎng)路封包并將所偵測(cè)到疑似攻擊的封包回報(bào)到單一獨(dú)立的管理控制臺(tái)（ManagementConsole）。大多數(shù)的入侵偵測(cè)系統(tǒng)是處在隱形模式（StealthMode）下運(yùn)作，所以對(duì)攻擊者而言，在偵測(cè)這些系統(tǒng)的存在以及其所部署的位置是非常困難的。

網(wǎng)路端入侵偵測(cè)系統(tǒng)的優(yōu)缺點(diǎn)
優(yōu)點(diǎn)∶
少數(shù)、但位置部署良好的「網(wǎng)路端」入侵偵測(cè)系統(tǒng)，對(duì)偵測(cè)大型網(wǎng)路活動(dòng)具有非常高的效率。由于「網(wǎng)路端」入侵偵測(cè)系統(tǒng)為被動(dòng)式的裝置（passivedevice），因此其建置與部署并不會(huì)對(duì)原本的網(wǎng)路流量及運(yùn)作有顯著的影響。所以建置「網(wǎng)路端」入侵偵測(cè)系統(tǒng)可以說(shuō)是一項(xiàng)花費(fèi)最少成本卻可得到最有效率的投資?！妇W(wǎng)路端」入侵偵測(cè)系統(tǒng)可以被設(shè)定為隱形模式，安全地保護(hù)其主機(jī)以避免成為攻擊者的目標(biāo)。

缺點(diǎn)∶
「網(wǎng)路端」入侵偵測(cè)系統(tǒng)對(duì)處理流量頻繁的大型網(wǎng)路之封包有某種程度的困難，因此在封包流量高時(shí)，可能會(huì)有遺漏偵測(cè)到正潛在進(jìn)行的攻擊行為的可能性。部份廠商試著將「網(wǎng)路端」入侵偵測(cè)系統(tǒng)完全地建置在硬體平臺(tái)上以得到較好的效能來(lái)解決這樣的缺點(diǎn)。但是對(duì)「網(wǎng)路端」入侵偵測(cè)系統(tǒng)而言，最重要的是如何以最低的電腦運(yùn)算效能去分析網(wǎng)路封包，而達(dá)到最高的偵測(cè)準(zhǔn)確率。

大部份較先進(jìn)的「網(wǎng)路端」入侵偵測(cè)系統(tǒng)并不完全適用于交換式網(wǎng)路環(huán)境（switchednetwork）。因?yàn)榇蟛糠莸慕粨Q式網(wǎng)路并不提供通用的監(jiān)聽(tīng)埠（monitoringport）而導(dǎo)致「網(wǎng)路端」入侵偵測(cè)系統(tǒng)僅能監(jiān)聽(tīng)單一主機(jī)。

「網(wǎng)路端」入侵偵測(cè)系統(tǒng)無(wú)法對(duì)加密（encrypted）的資訊進(jìn)行分析。這將會(huì)成為一個(gè)嚴(yán)重的問(wèn)題，因?yàn)闊o(wú)論是企業(yè)界或是攻擊者使用加密技術(shù)（encryption）來(lái)傳遞資訊的情況已日益頻繁。

大部份的「網(wǎng)路端」入侵偵測(cè)系統(tǒng)并不會(huì)對(duì)攻擊行為是否成功作回報(bào)，它們僅會(huì)對(duì)是否有攻擊行為的發(fā)生作回報(bào)。所以對(duì)系統(tǒng)管理者而言，在每次偵測(cè)到有攻擊行為發(fā)生時(shí)，他們必須親自對(duì)疑似被攻擊的主機(jī)作檢視調(diào)查以判斷攻擊行為是否成功。[nextpage]

入侵偵測(cè)系統(tǒng)的偵測(cè)技術(shù)
目前入侵偵測(cè)系統(tǒng)所使用的偵測(cè)技術(shù)主要分為兩種方式∶不當(dāng)使用偵測(cè)方式（MisuseDetection）及異常使用偵測(cè)方式（AnomalyDetection）。「不當(dāng)使用」偵測(cè)方式目前廣泛地被各大入侵偵測(cè)系統(tǒng)的廠商所采用；而「異常使用」偵測(cè)方式目前尚在研究階段，主要為入侵偵測(cè)系統(tǒng)研究機(jī)構(gòu)以及少數(shù)廠商所采用。

1.不當(dāng)使用偵測(cè)方式
「不當(dāng)使用」偵測(cè)方式又可被稱(chēng)為「特征比對(duì)」方式（signature-based），主要是以比對(duì)的方式將所偵測(cè)到的可疑攻擊行為與系統(tǒng)事先所定義的入侵攻擊模式資料庫(kù)進(jìn)行分析比對(duì)，而入侵攻擊模式資料庫(kù)中則詳細(xì)定義著各種入侵攻擊方式的特征資料（attackpattern/signature），一旦比對(duì)出相似的入侵攻擊模式，便將其視為是一種入侵攻擊行為。采用此方式的入侵偵測(cè)系統(tǒng)必須事先進(jìn)行設(shè)定微調(diào)以得到最高的效能及準(zhǔn)確的偵測(cè)率。

優(yōu)點(diǎn)∶
「不當(dāng)使用偵測(cè)方式」的入侵偵測(cè)系統(tǒng)在偵測(cè)攻擊行為上非常有效率而且不會(huì)產(chǎn)生過(guò)多的誤判警訊（falsepositive）。
「不當(dāng)使用偵測(cè)方式」的入侵偵測(cè)系統(tǒng)能夠快速并可靠地偵測(cè)出特定的攻擊手法，能有效的幫助資訊安全人員迅速地整理出正確的應(yīng)對(duì)之策。

缺點(diǎn)∶
「不當(dāng)使用」偵測(cè)方式的入侵偵測(cè)系統(tǒng)必須經(jīng)過(guò)手動(dòng)微調(diào)設(shè)定以偵測(cè)各種不同的攻擊，因此必須經(jīng)常不斷地更新最新的入侵攻擊方式特征資料，以便有效地偵測(cè)最新的攻擊行為。

大部份「不當(dāng)使用」偵測(cè)方式的入侵偵測(cè)系統(tǒng)刻意地縮小入侵攻擊方式特征的定義范圍，以避免偵測(cè)到不同版本的一般攻擊行為。其目的是為了提高偵測(cè)的準(zhǔn)確率，但卻犧牲了偵測(cè)的彈性空間。

2.異常使用偵測(cè)方式
「異常使用」偵測(cè)方式又可被稱(chēng)為「政策比對(duì)」方式（policy-based）。「異常使用」偵測(cè)方式的入侵偵測(cè)系統(tǒng)以識(shí)別不尋常的主機(jī)或網(wǎng)路運(yùn)作行為的方式來(lái)偵測(cè)是否有攻擊行為發(fā)生。此種方式以觀察攻擊行為不同于一般使用狀態(tài)的相異處來(lái)進(jìn)行偵測(cè)。通常需事先建立正常使用狀態(tài)下的基準(zhǔn)線(xiàn)（baseline），再對(duì)網(wǎng)路系統(tǒng)上的各種活動(dòng)進(jìn)行比對(duì)是否有別于一般正常狀態(tài)下的使用。很可惜的是因?yàn)榧夹g(shù)層面上的瓶頸，采用此方式的入侵偵測(cè)系統(tǒng)一般來(lái)說(shuō)產(chǎn)生過(guò)多的誤判警訊，因?yàn)橐话愕氖褂谜咝袨榧熬W(wǎng)路上的各項(xiàng)活動(dòng)是非常難掌握的。另外，研究學(xué)者強(qiáng)烈地認(rèn)為「異常使用」偵測(cè)方式的入侵偵測(cè)系統(tǒng)將有效地提供偵測(cè)未知攻擊方式的能力，有別于「不當(dāng)使用」偵測(cè)方式的入侵偵測(cè)系統(tǒng)僅能對(duì)已知的攻擊方式做偵測(cè)。

優(yōu)點(diǎn)∶
「異常使用」偵測(cè)方式的入侵偵測(cè)系統(tǒng)以偵測(cè)不尋常的行為模式的方式，因此不需要經(jīng)過(guò)特定的微調(diào)設(shè)定即可偵測(cè)到各種不同的攻擊行為，而且也不需要如「不當(dāng)使用」偵測(cè)方式一般，需經(jīng)常性地更新及維護(hù)入侵攻擊模式資料庫(kù)。
「異常使用」偵測(cè)方式入侵偵測(cè)系統(tǒng)所收集的資訊可以提供給「不當(dāng)使用」偵測(cè)方式入侵偵測(cè)系統(tǒng)用來(lái)作各種入侵攻擊方式特征的定義。

缺點(diǎn)∶
「異常使用」偵測(cè)方式通常會(huì)產(chǎn)生大量的錯(cuò)誤警訊，主要是因?yàn)槭褂谜咝袨榧熬W(wǎng)路活動(dòng)之不可預(yù)測(cè)的天性。
「異常使用」偵測(cè)方式通常需要大量經(jīng)過(guò)篩選的系統(tǒng)事件記錄，以便確實(shí)地描述一般行為的特征。