入侵检测系统的分类研究.pdfVIP

· 104· 信息产业 入侵检测系统的分类研究 高 凯 (陕西理工学院计算机科学与技术系，陕西 汉中 723001) 摘 要：入侵检测系统作为防火墙的合理补充，已经在网络安全中起着非常重要的作用。本文从入侵检测系统的定义出发，探讨入侵 检测的体系结构，分析了入侵检测系统的通用模型，最后详细探讨了入侵检测的分类。 关键词 ：网络安全 ；入侵检测系统；分类 1概述 基于网络的人侵检测系统：主要用于实时监控网络关键路径的 网络安全的本质是要保障数据的保密性 、完整性、可用性 、可控 信息，侦听网络上的所有分组来采集数据 ，使用原始的网络数据包 性和不可否认性。保密性指信息不泄露给非授权用户、实体或过程； 作为检测的数据源。一般利用一个网络适配器来实时监视和分析所 完整性指数据未经授权不能被改变的特性；可用性指可被授权实体 有通过网络进行传输的通信。一旦检测到攻击，应答模块通过通知、 访问并按需求使用的特性 ；可控性指对信息的传播及内容具有控制 报警以及中断连接等方式来对攻击做出反应。 能力；不可否认性指保证任何一方无法抵赖 自己曾经做过的操作， 4．2根据检测的方式不同分类： 从而防止中途欺骗。入侵检测技术就是通过收集和分析网络行为、 误用入侵检测系统(又称为模型匹配系统)：其基础是分析各种 安全 日志、审计数据等安全信息，检查计算机系统或网络中是否存 类型的攻击手段，并找出可能的“攻击特征”集合。误用入侵检测利 在违反安全策略的行为和被攻击的迹象。 用这些特征集合或者是对应的规则集合，对当前的数据源进行各种 2入侵检测系统的定义 处理后 ，再进行特征匹配或者规则匹配工作 ，如果发现满足条件的 入侵检测系统 IDS(IntrusionDetectionSystems)是一种主动保 匹配，则表明发生了一次攻击行为。 护 自己免受攻击的一种网络安全技术。作为防火墙的合理补充 ，入 异常入侵检测系统 ：首先根据系统的历史数据建立用户 、主机 侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全 或网络连接的正常活动的模型。将网络、系统的行为与统计出的正 管理能力，提高了信息安全基础结构的完整性。它从计算机网络系 常值相比较 ，任何观察值在正常值范围之外的行为都被认为是入 统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是 侵。 防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网 误用入侵检测比异常入侵检测具备更好的确定解释能力 ，即明 络进行监测，它可以防止或减轻对网络的威胁。 确指示当前发生的攻击手段类型。另一方面，误用入侵检测具备较 入侵监测系统处于防火墙之后对网络活动进行实时检测，可以 高的检测率和较低的虚警率。误用入侵检测的主要缺点在于一般只 记录和禁止网络活动，可以和你的防火墙和路南器配合1二作。入侵 能检测已知的攻击模式，模式库只有不断更新才能检测到新的攻击 监测系统 IDS与系统扫描器(system scanner)／f同。系统扫描器是根 方法。而异常入侵检测可以检测到未知的入侵行为。 据 “攻击特征数据库”来扫描系统漏洞的，它更关注配置上的漏洞而 4．3根据检测系统对入侵攻击的响应方式不同分类 ： 不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运 主动人侵检测系统 ：在检测出入侵后 ，可 自动地对 目标系统 中 行着扫描程序，也无法识别这种攻击。IDS扫描当前网络的活动，监 的漏洞采取修补以及关闭相关服务等对策和响应措施。 视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线 被动人侵检测系统 ：在检测出入侵后 ，只是产生报告信息通知 上的流量，并提供实时报警。 系统管理员，以后的处理工作则由管理员完成。 3入侵检测系统的体系结构 结束