入侵检测技术地研究.pdfVIP

入侵检测技术的研究 吴 进 唐榕樯 辽宁省通信管理局 110013 摘要:入侵检测是网络安全模型中的重要组成部分，对保证计算机和网络系统的 安全和正常运行起到积极作用，本文主要介绍其基本原理和实现方式。 关键词: 网络安全;入侵检测 检测在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误 操作的实时保护。 入侵检测系统分类 入侵检测系统的数据源通常为网络数据和系统数据，因此，根据数据源可以把人侵 检测系统分为基于主机的(HIDS)和基于网络的(NIDS)。 2．1基于主机的入侵检测系统 基于主机的入侵检测系统出现在20世纪80年代初期，那时网络还没有像今天这样 普遍和复杂，网络之间也没有完全连通。由于入侵在当时是相当少见的，对攻击进行的 事后分析就可以防止今后的攻击了。 基于主机的系统检测分析所需数据来自主机系统，通常是系统日志和审计记录。保 目标，这些服务器应该安装基于主机的IDS以提高整体安全性。它可以精确地判断针 对本主机的人侵事件，并可以立即对人侵事件做出反应，但同时也会占用主机宝贵的资 源。 2．2基于网络的入侵检测系统 基于网络的入侵检测系统使用原始网络上的数据包作为数据源。它通常将某台主机 的网卡设于混杂模式，实时监听并分析所有本网段内的数据包，或直接在路由设备上放 置入侵检测模块。一旦检测到了攻击行为，IDS的响应模块就提供多种选项以通知、报 警并对攻击采取相应的反应。一般网络入侵检测系统担负着保护整个网段的任务。这种 入侵检测系统容易丢包，因而精确度较差，并且在交换网络环境中难于配置，导致防范 入侵欺骗的能力下降，但是它可以提供实时的细粒度的网络监控手段。 入侵检测的检测方法 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。 detection)。 3．1基于异常行为的入侵检测 基于异常行为的入侵检测首先给系统对象(如用户、文件、目录和设备等)创建一 个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之 外时，就认为有人侵发生。其优点是可检测到未知的人侵和更为复杂的入侵，缺点是误 163 报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系 统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之 中。 3．2基于特征的入侵检测 基于特征的入侵检测是指将收集到的信息与已知的网络入侵和系统误用模式数据库 进行比较，从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻 找一个简单的条目或指令)，也可以很复杂(如利用正规的数学表达式来表示安全状态 的变化)。一般来讲，一种进攻模式可以用一个过程(如执行一条指令)或一个输出 (如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统 负担，且技术已相当成熟。它与防病毒软件采用的方法类似，检测准确率和效率都相当 高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能 检测到从未出现过的黑客攻击手段。 入侵检测技术的发展 基于网络和基于主机的入侵检测系统各有优势，两者可以相互补充。这两种方式都 能发现对方无法检测到的一些入侵行为。例如，从某个重要服务器的键盘发出的本地攻 击并不经过网络，因此基于网络的入侵检测系统无法检测到，只能通过使用基于主机的 入侵检测系统来检测。又如，基于网络的入侵检测系统通过检查所有数据包的包头来进 行检测，而基于主机的入侵检测系统往往并不查看包头，许多基于IP的拒绝服务攻击 只能通过查看它们通过网络传输时的包头标识才能识别，因此，此类攻击只能通过网络 入侵检测系统检测。联合使用基于主机和基于网络这两种方式能够达到更好的检测效 果。 ， 基于主机的入侵检测系统使用系统日志作为检测依据，因此它们在确定攻击是否已 经取得成功时比基