作者简介∶本文作者赖左罕为毕业于伦敦大学皇家学院（RoyalHolloway,UniversityofLondon）之资讯安全硕士，目前任职顾问公司，担任资讯安全顾问一职，主要专长包含安全管理（SecurityManagement）、资讯安全政策制定（SecurityPolicy）、防火墙（FirewallImplementation）、入侵侦测系统（IntrusionDetectionSystems）、入侵安全测试（PenetrationTesting）、电脑犯罪搜证（Computerforensics）及紧急事件应变程序。

入侵侦测系统其实可以算是一个侦测程序，主要在于侦测外部攻击者以及内部人员对未经授权之资讯系统做不正当的存取或攻击。接下来将为大家介绍入侵侦测系统的基本概念，其所使用的侦测技巧以及各项侦测技巧与建置方式的优缺点比较。

基本上入侵侦测系统分为两种建置方式∶主机端入侵侦测系统（Host-basedIDS）以及网路端入侵侦测系统（Network-basedIDS）。

什么是主机端入侵侦测系统？
「主机端」入侵侦测系统主要是靠记录并分析该主机上的各项活动程序以侦测是否有不适当的存取行为。藉由这样的方式来判断该主机上某个特定的处理程序或使用者是否正在进行可疑的攻击行为。

主机端入侵侦测系统的优缺点
优点∶
「主机端」入侵侦测系统可以侦测到「网路端」入侵侦测系统所侦测不到的攻击行为，因为它是针对本地主机做事件记录的检视。

「主机端」入侵侦测系统可以在有加密（encrypted）的网路环境下运作，只要加密的记录资讯，能在监听的主机上解密（decrypted）或在送达监听主机之前解密即可。

「主机端」入侵侦测系统可以在交换式网路（switchednetwork）环境下运作使用。因为「主机端」入侵侦测系统仅针对该监听主机所接收到的封包做分析，因此对是否建置在交换网路上并不会有任何影响。

缺点∶
收集监听记录的机制通常必须在每一台所要监听的主机上安装并维护。正因为「主机端」入侵侦测系统部份的系统是安装在所要监听的主机上，所以当所监听的主机受到攻击时，「主机端」入侵侦测系统可能也会同时受到攻击，或者可能会被较高明的攻击者在入侵后将其监听功能关闭。[nextpage]

「主机端」入侵侦测系统对网段上的扫瞄并不能有效地侦测，因为其仅能侦测到该主机所收到的封包而不能得知其它主机是否也收到类似的攻击。「主机端」入侵侦测系统通常对阻断服务式攻击（Denial-of-Serviceattack）有侦测上的困难，而且也无法有效地在阻断服务式攻击下正常运作。「主机端」入侵侦测系统在运作时是占用所被监听主机的硬体资源。

什么是网路端入侵侦测系统？
「网路端」入侵侦测系统以记录并分析网路封包的方式来侦测入侵行为，其主要建置在网路的骨干上。单一的「网路端」入侵侦测系统便可监听大量的网路资讯。「网路端」入侵侦测系统通常包含一组监听装置，用于监听记录网路封包并将所侦测到疑似攻击的封包回报到单一独立的管理控制台（ManagementConsole）。大多数的入侵侦测系统是处在隐形模式（StealthMode）下运作，所以对攻击者而言，在侦测这些系统的存在以及其所部署的位置是非常困难的。

网路端入侵侦测系统的优缺点
优点∶
少数、但位置部署良好的「网路端」入侵侦测系统，对侦测大型网路活动具有非常高的效率。由于「网路端」入侵侦测系统为被动式的装置（passivedevice），因此其建置与部署并不会对原本的网路流量及运作有显着的影响。所以建置「网路端」入侵侦测系统可以说是一项花费最少成本却可得到最有效率的投资。「网路端」入侵侦测系统可以被设定为隐形模式，安全地保护其主机以避免成为攻击者的目标。

缺点∶
「网路端」入侵侦测系统对处理流量频繁的大型网路之封包有某种程度的困难，因此在封包流量高时，可能会有遗漏侦测到正潜在进行的攻击行为的可能性。部份厂商试着将「网路端」入侵侦测系统完全地建置在硬体平台上以得到较好的效能来解决这样的缺点。但是对「网路端」入侵侦测系统而言，最重要的是如何以最低的电脑运算效能去分析网路封包，而达到最高的侦测准确率。

大部份较先进的「网路端」入侵侦测系统并不完全适用于交换式网路环境（switchednetwork）。因为大部份的交换式网路并不提供通用的监听埠（monitoringport）而导致「网路端」入侵侦测系统仅能监听单一主机。

「网路端」入侵侦测系统无法对加密（encrypted）的资讯进行分析。这将会成为一个严重的问题，因为无论是企业界或是攻击者使用加密技术（encryption）来传递资讯的情况已日益频繁。

大部份的「网路端」入侵侦测系统并不会对攻击行为是否成功作回报，它们仅会对是否有攻击行为的发生作回报。所以对系统管理者而言，在每次侦测到有攻击行为发生时，他们必须亲自对疑似被攻击的主机作检视调查以判断攻击行为是否成功。[nextpage]

入侵侦测系统的侦测技术
目前入侵侦测系统所使用的侦测技术主要分为两种方式∶不当使用侦测方式（MisuseDetection）及异常使用侦测方式（AnomalyDetection）。「不当使用」侦测方式目前广泛地被各大入侵侦测系统的厂商所采用；而「异常使用」侦测方式目前尚在研究阶段，主要为入侵侦测系统研究机构以及少数厂商所采用。

1.不当使用侦测方式
「不当使用」侦测方式又可被称为「特征比对」方式（signature-based），主要是以比对的方式将所侦测到的可疑攻击行为与系统事先所定义的入侵攻击模式资料库进行分析比对，而入侵攻击模式资料库中则详细定义着各种入侵攻击方式的特征资料（attackpattern/signature），一旦比对出相似的入侵攻击模式，便将其视为是一种入侵攻击行为。采用此方式的入侵侦测系统必须事先进行设定微调以得到最高的效能及准确的侦测率。

优点∶
「不当使用侦测方式」的入侵侦测系统在侦测攻击行为上非常有效率而且不会产生过多的误判警讯（falsepositive）。
「不当使用侦测方式」的入侵侦测系统能够快速并可靠地侦测出特定的攻击手法，能有效的帮助资讯安全人员迅速地整理出正确的应对之策。

缺点∶
「不当使用」侦测方式的入侵侦测系统必须经过手动微调设定以侦测各种不同的攻击，因此必须经常不断地更新最新的入侵攻击方式特征资料，以便有效地侦测最新的攻击行为。

大部份「不当使用」侦测方式的入侵侦测系统刻意地缩小入侵攻击方式特征的定义范围，以避免侦测到不同版本的一般攻击行为。其目的是为了提高侦测的准确率，但却牺牲了侦测的弹性空间。

2.异常使用侦测方式
「异常使用」侦测方式又可被称为「政策比对」方式（policy-based）。「异常使用」侦测方式的入侵侦测系统以识别不寻常的主机或网路运作行为的方式来侦测是否有攻击行为发生。此种方式以观察攻击行为不同于一般使用状态的相异处来进行侦测。通常需事先建立正常使用状态下的基准线（baseline），再对网路系统上的各种活动进行比对是否有别于一般正常状态下的使用。很可惜的是因为技术层面上的瓶颈，采用此方式的入侵侦测系统一般来说产生过多的误判警讯，因为一般的使用者行为及网路上的各项活动是非常难掌握的。另外，研究学者强烈地认为「异常使用」侦测方式的入侵侦测系统将有效地提供侦测未知攻击方式的能力，有别于「不当使用」侦测方式的入侵侦测系统仅能对已知的攻击方式做侦测。

优点∶
「异常使用」侦测方式的入侵侦测系统以侦测不寻常的行为模式的方式，因此不需要经过特定的微调设定即可侦测到各种不同的攻击行为，而且也不需要如「不当使用」侦测方式一般，需经常性地更新及维护入侵攻击模式资料库。
「异常使用」侦测方式入侵侦测系统所收集的资讯可以提供给「不当使用」侦测方式入侵侦测系统用来作各种入侵攻击方式特征的定义。

缺点∶
「异常使用」侦测方式通常会产生大量的错误警讯，主要是因为使用者行为及网路活动之不可预测的天性。
「异常使用」侦测方式通常需要大量经过筛选的系统事件记录，以便确实地描述一般行为的特征。