网络入侵检测技术综述38297.pdfVIP

电脑编程技巧与维护 网络入侵检测技术综述 谭兵 ，吴宗文 。黄伟 (1．重庆大学软件学院，重庆 400044； 2．成都军区78098部队装备部，崇州 611237) 摘 要：入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念，阐述两类基本的检测技 术，详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词 ：入侵检测 ；异常检测 ；误用检测 NetworkIntrusionDetectionTechnology TANB ，WUzo旺g飘 ，HUANGWei (1|TheSchoolofSoftwareEngineering，ChongqingUniversity，Chongqing400044； 2．Chengdumilitaryregion78098armylogisticsdepartments，Chongzhou611237) Abstract：Thework in thecomputernetwork intrusion detection system，a key node．Thispaperintroduces the basic conceptsofintrusiondetection，describedtwotypesofbasicdetectiontechnology，intrusiondetectionarediscussedindetail theprocessandtesttechnologychallengesandtrends． Keywords：Intursiondetection；Anomalydetection；Misusedetection 入侵检测 (IntrusionDetection)，顾名思义 ，即是对入侵 信息量过于丰富且只能手动分析，所以管理员主要用审计 日 行为的发觉。它在计算机网络或计算机系统中的若干关键点 志作为判据 ，以便在发生特别安全事件后，确定引起这一事 收集信息，通过对这些信息的分析来发现网络或系统中是否 件的原因。基本上不可能靠它发现正在进行的攻击。 有违反安全策略的行为和被攻击的迹象。入侵检测技术是为 随着存储器价格的降低 ，审计 日志转移到网上且开发出 保证计算机系统的安全而设计与配置的一种能够及时发现并 了分析相关数据的程序。然而，分析过程慢且需频繁而密集 报告系统中未授权或异常现象的技术，是一种用于检测计算 计算 ，因此，入侵检测程序往往是在系统用户登录量少的夜 机网络中违反安全策略行为的技术。违反安全策略的行为有： 间进行。所以，大多数的入侵行为还是在发生后才被检测到。 入侵一非法用户的违规行为；滥用一用户的违规行为。 90年代早期，研究人员开发出了实时入侵检测系统，即 对于入侵检测的使用，人们总会 问这样一个 问题。如果 对审计数据进行实时评估。由于实现了实时反应，且在一些 已经安装了防火墙，给操作系统打了补丁，并为安全设置了 情况下，可以预测攻击，因此 ，这就使攻击和试图攻击发生 密码，为什么还要检测入侵呢?答案非常简单 ：因为入侵会 时即可被检测到成为可能。 不断发生。举个例子，就像人们有时候会忘记锁上窗户 ，人 近年来 ，很多入侵检测方面的努力都集中在一些开发的 们有时也会忘记正确的升级防火墙规则设置。 产品上 ，这些产品将被用户有效配置在广大网络中。在计算 即使在最高级别的保护措施下 ，计算机系统也不是百分 机环境不断持续变化和无数新攻击技术不断产生的情况下 ， 之百的安全。实际上，大多数计算机安全专家认为 ，既定的 要使安全方面也不断升级是个非常困难任务 ill。 用户要求属性 ，如网络连接，还未能达到成为百分之百安全 2