入侵检测技术的研究与发展.pdfVIP

信息产业 ·101· 入侵检测技术的研究与发展 李金凤 杨文君 （牡丹江师范学院工学院，黑龙江 牡丹江 157011） 摘 要：入侵检测技术主要是研究计算机系统和 网络安全的新兴技术，通过对计算机网络或计算机系统 中若干关键点收集信息并对 其进行分析，从中发现 网络或 系统中是否有违反安全策略的行为和被攻击的迹象 。本文主要阐述 了入侵检测技术的产生背景，入侵检测 技术的工作原理、主要分类以及发展方向。 关键词：入侵检测 ；异常检测 ；误用检测 1 概述 户的活动而被检测出来。例如，一个正常的消极的公共网络服务器试图 随着计算机网络技术的不断发展，给人们的生活和学习带来了很 去打开许多地址连接可能被认为是蠕虫病毒感染。异常入侵检测方法 多便利，实现了资源共享，信息的实时交换，引进了电子商务，人们可以 需要建立一个正常行为模式库，然而这个模式库可能不能完全反映出 在网上进行购物、转帐、交费等行为；同时也存在着许多安全隐患，个人 计算机系统复杂的动态行为，会导致错误的检测。这种检测方法在检测 信息和数据的泄漏、丢失、更改等，使得网络安全面临着严竣的考验。传 许多未知攻击方面是非常成功的，较少依赖于特定的主机操作系统，对 统的安全防御策略包括访问控制机制、加密技术、安装防火墙等。随着 于内部合法用户的越权违法行为的检测能力较强，但是会产生误检测， 网络入侵技术的不断发展和传统安全防御策略自身存在的不足，以及 误报率高，行为模型建立困难，难以对入侵行为进行分类和命名。 人们对信息安全的苛求，引入了入侵检测技术。 误用入侵检测方法也称为基于知识的检测技术或者模式匹配检测 入侵检测是指通过对行为、安全日志或审计数据或其它网络上可 技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式 以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测 和特征，如果把以往出现的所有网络攻击的特征总结出来并建立一个 是防火墙的合理补充，被认为是防火墙之后的第二道安全闸门，在不影 入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与 响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和 入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认为是入 误操作的实时保护，帮助系统对付网络攻击，扩展了系统管理员的安全 侵行为。误用检测技术检测准确度高，技术相对成熟，便于进行系统防 管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基 护，但是不能检测出新的入侵行为，完全依赖于入侵特征的有效性，维 础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分 护特征库的工作量大，难以检测来自用户的攻击。 析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹 4 入侵检测技术的发展 象。 当前的入侵方式具有如下特征：入侵或攻击的综合化与复杂化；入 2 入侵检测技术的原理 侵主体对象的间接化；入侵或攻击的规模扩大；入侵或攻击技术的分布 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能 化；攻击对象的转移。 够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测 随着入侵手段和规模的不断发展，使得入侵技术也在不断的演 计算机网络中违反安全策略行为的技术。通过对入侵行为的过程与网 化。入侵检测技术向着以下的方向进行发展：分布式入侵检测；智能 络会话数据特征匹配，从而判断该数据会话的可靠性。 化入侵检测即使用智能化的方法与手段来进行入侵检测，所谓的智 入侵检测通过执行以下任务来实现：（1）监视、分析用户及系统活 能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原 动；（2）系统构造和弱点的审计；（3）识别反映已知进攻的活动模式并向 理等方法，这些方法常用于入侵特征的辨识与泛化；应用层入侵检 相关人士报警；（4）异常行为模式的统计分析；（5）评估重要系统和数据 测许多入侵的语义只有在应用层才能理解，而目前的IDS 仅能检测 文件的完整性；（6）操作系统的审计跟踪管理，并识别用户违反安全策 如Web 之类的通用协议，而不能处理如Lotus Notes、数据库系统等 略的行为。 其他的应用系统；宽带高速网络的实时入侵检测技术，在IDS 中，截 在本质上，入侵检测系统是一个典型的“窥探设备”。它不跨接多个 获网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特 物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网 征需要花费大量的时间和系统资源，因此大部分现有的IDS 只有几 络上被动地、无声息地收集它所关心的报文即可。IDS 处理过程分为数 十兆的检测速度，随着百兆、甚至千兆网络的大量应用，需要研究高 据采集阶段、数据处