基于协议分析的入侵检测系统的设计.pdfVIP

2014年第 6期 信 息通 信 2O14 (总第 138期) INFORMATIoN C0MMUNICAT10NS (Sum．No 138) 基于协议分析的入侵检测系统的设计 龚 良强 ，殷小虹 (1．南昌高新区创业投资有限公司，江西南昌330108； 2．南昌工学院，江西南昌330108) 摘要：对基于协议分析的入侵检测系统的有关技术进行了分析和研究，将网络入侵检测系统的有关协议和传统的监测系 统相结合 ，通过协议的规范性来减少网络监测系统的工作难度，利用模式规范来确保网络的安全性。 关键词：协议分析；入侵检测 中图分类号：TP393 文献标识码：A 文章编号 ：1673．1131(2014)06—0090．01 当前，随着计算机的发展和普及，给人类的生产生活带了 其提供的防护措施更加的主动，而防火墙等属于被动式的网络防 很多的方便，同时在实际的使用过程中也隐含着很多的危害。 护，因此网络入侵检测系统通常被称为安全防护的最后保障。 计算机使用环境的复杂化、信息内容的开放性、软件的多样化 2入侵检测系统常用的模型及其发展研究 等都给网络安全带来了很大的威胁。我们在享受网络所带来 从策略上来看，网络入侵检测可以分为误用的监测和异常 的便利时，网络的安全 问题也 日益显现。病毒传播、信息泄露、 的监测两种，从分析方法来看，网络入侵检测又可以分为统计 垃圾邮件等快速地增长，利用网络来进行敲诈、诈骗、窃取商业 型、数据挖掘型等。笔者从 ID的整体框架出发将入侵检测模 秘密等事件时有发生，这严重影响到了网络的正常使用，损害 型划分为了三种：通用型、层次型、智能型。 了网民的切身利益，暴力、色情等不 良信息的传播严重地危害 (1)通用型入侵检测模型。通用型的网络入侵检测模型是 的青少年的身心健康，使得当前网络安全成为了网民普遍关注 由DorothyE．Denning提出的，这种模型结果后期的不断改进， 的一个重要话题。随着计算机的普及和应用，对网络的入侵成 逐步加入了一些异常监测系统和专家系统等内容。异常监测 为了当前全球范围内一个重要的问题。加强对网络入侵的监 系统是在传统异常模型的基础上建立起来的，专家系统常常是 测力度迫在眉睫。网络入侵和传统的入侵方式相比，有下面几 在一定协议规范的基础上进行的监测方式。通用型入侵检测 个方面的特点：不受地域时间的限制；隐蔽性较强；入侵的手法 模型由三个部分构成：发生器、信息记录器、规则集。其中发生 较为多样化；入侵所需要的技术含量较大；入侵后所带来的危 器就是网络行为信息；信息记录器就是对网络行为所产生的有 害较大；入侵的工具越来越完善，对入侵者的计算机专业知识 关数据信息进行记录；规则集就是对信息记录器所收集到的信 要求越来越低 。 息进行核查和分析，从而来判定入侵行为是否带有攻击性。 网络安全越来越受到网民的关注，已经从单一的防护转变