入侵检测系统的脆弱性及评估.pdfVIP

婴：堕皇室全—— 入侵检测系统的脆弱性及评估 姜建国罗万伯 (四川大学数学学院中国工程物理研究院计算所) 【摘要】本文通过对当前入侵检测系统(]DS)的脆弱性进行分类分析，指出了 当前DS与任何其他系统一样有着自身的局限性和不可靠，需要进行检测和评估，提出 了新一代IDS的发展趋势和特点。 脆弱性网络攻击 【关键词】入侵检测系统(IDS) OU of Vulnerability Analysis Detection Intrusion System LuoWanbo Jianguo Jiang detection vulnerabilitiesofintrusion on the [Abstract]Based system，this analyzing likeother has localizationandistrustless article forwardthatcurrentIDSitsown systems， bring new IDSmustbedevised． andSO generation detection [Keywords]intrusionsystem，vulnerability，network，attack 1 引言 随着信息安全技术的进一步发展，各种安全解决方案，如防火墙技术、防黑 客技术、加密技术以及对整个系统不安全因素的扫描、检测和警报、防治等等相 继涌现和发展，这些技术总体看来，可划分为两种：静态和动态安全技术。目前 市场上很多流行的安全设备都属于静态安全技术范畴，如防火墙和系统外壳等外 围保护设备。静态安全技术的缺点是需要人工来实施和维护，不能主动跟踪入侵 者。而入侵检测则属于动态安全技术，它能够主动检测网络的易受攻击点和安全 漏洞，并且通常能够先于人工探测到危险行为。入侵检测能够发现危险攻击的特 征，进而探测出攻击行为并发出警报，同时采取保护措施。90年代末，美国ISS 186 四、信息安全 中入侵检测构成其核心技术。 入侵检测技术主要有两类，一是基于统计的异常检测，它主要是使用统计的 方法对用户正常的行为建立可操作的数学模型，凡是超出这一模式的行为都被认 为是潜在的攻击，不须考虑具体的攻击手段；再就是基于签名的违规检测，它是 通过对已知攻击手段的分析，使用特定的方法提取攻击事件模式特征，作为一种 签名，通过签名分析即对特征模式的匹配来判断攻击事件。目前，由于基于统计 的异常检测仍然处于理论研究阶段，得到实际应用的主要是基于签名的违规检 测。 作为安全系统的重要组成部件和其他安全技术手段的不可缺少的补充，入侵 检测系统已经越来越受到重视，人们对它的依赖程度也越来越高，从理论上说， 入侵检测系统(IDS)可以实时检测、反应和保护信息系统，而实际上IDS与任 何其他系统一样有着自身的局限性和脆弱性，而且会首当其冲地受到各种攻击。 因而IDS做为一种安全产品