浅析网络入侵检测技术与发展.docVIP

浅析网络入侵检测技术发展入侵检测作为一门新兴的安全技术是网络安全系统中的重要组成部分。文阐述了入侵检测的Intrusion detection, as a newly emerging security technology, is playing an important role of whole security system on the Internet. Definition of Intrusion detection, classification of Intrusion detection system (IDS) and how to implement the intrusion detection technology are expatiated in this paper. Besides, the future development of the Intrusion detection technology and other related information are also included in this article. 关键词：网络安全入侵检测政府、商务金融、媒体网络应用范围的不断扩大，攻击破坏也与日俱增。入侵检测的定义入侵检测是从系统网络的关键点采集信息并分析信息，系统网络中是否有违法安全策略的行为，保证系统网络的安全性，完整性和可用性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。对于入侵检测而言的网络攻击可以分为4类：　　检查单IP包（包括TCP、UDP）首部即可发觉的攻击，如winnuke、ping of death、land.c、部分OS detection、source routing等。 　　检查单IP包，但同时要检查数据段信息才能发觉的攻击，如利用CGI漏洞，缓存溢出攻击等。　　通过检测发生频率才能发觉的攻击，如端口扫描、SYN Flood、smurf攻击等。 　　利用分片进行的攻击，如teadrop，nestea，jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类攻击，必须提前（在IP层接受或转发时，而不是在向上层发送时）作组装尝试。分片不仅可用来攻击，还可用来逃避未对分片进行组装尝试的入侵检测系统的检测。入侵检测一般分为3个步骤，依次为信息收集、数据分析、响应（被动响应和主动响应）。 　　入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。 (1) 基于主机的入侵检测系统（HIDS：Host-based Intrusion Detection System） 基于主机的入侵检测是根据主机的审计跟踪数据和系统日志来发现可疑事件。它的目标环境是主机系统，通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。 利用的系统信息主要有：1用户行为，如登录时间、击键频率、击键错误率、键入命令等。2系统状态，如CPU利用率、内存使用率、I/O及硬盘使用率等。3进程行为，如系统调用、CPU利用率、I/O操作等。4网络事件，在网络栈处理通信数据之后应用层程序处理之前对通信数据进行解释。 基于主机的入侵检测系统存在的问题是：首先它在一定程度上依赖于系统的可靠性，它要求系统本身应该具备基本的安全功能并具有合理的配置，然后才能提取入侵信息；即使进行了正确的设置，对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时的将系统日志抹去，从而不被发觉；并且主机的日志能够提供的信息有限，有的入侵手段和途径不会在日志中有所反应，日志系统对有的入侵行为不能做出正确的响应。在数据提取的事实性、充分性、可靠性方面基于主机的日志的入侵检测系统不如基于网络的入侵监测系统。难以检测针对网络的攻击，如消耗网络资源的DoS攻击、端口扫描等。(2) 基于网络的入侵检测系统（NIDS：Network-based Intrusion Detection System） 基于网络的入侵检测利用网络数据包作为其数据源，基于网络的入侵检测系统式通过连接在网络上的站点对报文进行捕获，并根据网络流量、协议分析等数据来判断入侵是否发生。 基于网络的检测有以下优点：监测速度快，基于网络的监测器通常能够在微秒或秒级发现问题，而大多数基于主机的产品则要依靠对最近几分钟之内的审计记录的分析；隐蔽性好，基于网络的监视器不运行其他的应用程序，不提供网络服务，可以不响应其他计算机，因此可以做的比较安全；操作系统无关性，基于网络的IDS作