入侵检测系统的发展探讨.pdfVIP

2011年第09期 科技露向导 ◇信息技术◇ 入侵检测系统的发展探讨 张嘉晶 (中国专利信息中， 中国 北京 100088) I摘 要】本文通过介绍入侵检测系统的发展历程，分析了当前入侵检测系统有待解决的问题及其未来的发展趋势。 关【键词】入侵检测；入侵检测系统；网络安全 人侵检测技术是一种主动保护 自己免受攻击的网络安全技术 入 针对大规模的组合式、分布式攻击还没有较好的方法和解决方案。比 侵监测系统处于防火墙之后．在不影响网络性能情况下对网络活动进 如．异常检测通常采用统计方法来进行检测 ．而统计方法中的阈值难 行实时检测．帮助系统对付网络攻击．扩展了系统管理员的安全管理 以有效确定．太小的值会产生大量的误报 ．太大的值又会产生大量的 能力．提高了信息安全基础结构的完整性 漏报 错误的报警信息使得管理员耗费大量的时间来鉴别错误报警中 1．入侵检测的发展历程 的真正的攻击 ．造成许多企业都对报警信息置之不理．系统无法发挥 在 20世纪80年代早期 ．入侵检测就引起了研究人员的关注 作用．浪费了资源和管理员的精力 1980年 4月 ．JamesP．Anders0n为美国空军做了一份题为 《c0mputer 4．2产品适应能力差 SecurityThreatMonitoringandSurveillance》的技术报告，第一次详细阐 当前入侵手段的综合化与复杂化．使得入侵者在实施入侵或攻击 述了入侵检测的概念．提出了利用审计跟踪数据监视入侵活动的思 时往往同时采取多种攻击手段．以保证入侵的成功率．通过一定的技 想。这份报告被公认为是入侵检测的开山之作 1987年．D．Denning提 术．可掩盖攻击主体的源地址及主机位置．同时使用隐蔽技术可在攻 出了第一个人侵检测模型：入侵检测系统专家框架(IDES)。可以检测 击实施的初期掩盖攻击或入侵的真实 目的。因此．这就需要入侵检测 出黑客入侵、越权操作以及其他种类的非正常使用计算机系统的行 产品能动态调整．以适应网络安全防护的需求 为。与此同时．研究者们在IDES的基础上也相继提出了许多入侵检测 4．3缺少主动防御能力 模型，著名的有StevenR．Snapp的层次化人检测模型 IDM等 1990年 检测是被动且功能有限的技术．IDS缺少主动防御功能。由于IDS 加州大学戴维期分校的 L·T．Heberlein等人开发出了NSM(Network 采用了预设置和特征分析工作原理．在特征规则检查的更新方面．总 SecuritvMonitor)．第一次直接将网络流作为入侵征兆信息源，从而在 是落后于攻击手段的更新 不将网络流数据转换成统一格式的情况下监控异常主机 随后．北加 4．4缺乏准确定位和处理机制 利福尼亚州立大学提出了SNMP—IDSM模型．该模型主要是针对近年 IDS仅能识别 IP地址．无法定位 IP地址．不能识别数据来源。在 来 日渐猖獗的网络协同攻击而提出的 发现攻击事件时．只能关闭网络出口和服务器的少数端V1．但这样会 2．入侵检测系统分类 影响其他正常用户的使用．缺乏有效的响应处理机制。 2．1基于网络的入侵检测系统 4．5性能普遍不足 NIDS使用原始网络数据包作为数据源 NIDS通常利用一个运行 随着高速网络的发展，在大流量冲击、多 IP分片的情况下，都有 在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信 可能造成 IDS的瘫痪或丢包 目前入侵检测系统与理想还有非常大的 业务。它截获的数据包可能是多种协议的数据包．但通常是TCP3P数 差距 产生差距的原因在于入侵检测的基础并非严格的理论证明．而 据包 。 是依赖于已有的经验：尽管列举了很多用于入侵检测的方法．但是