第六节 入侵检系统(IDS).docVIP

5.5 入侵检测系统 5、入侵检测系统 5.1 入侵检测的发展历史5.2 入侵检测系统的分类5.3 发展趋势及主要研究方向5.4 IDS技术面临挑战 5.5.1 入侵检测的发展历史 入侵检测的发展历史 ????1980年,James Anderson最早提出入侵检测概念????1987年,D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。????1988年,Morris蠕虫事件直接刺激了IDS的研究????1988年,创建了基于主机的系统,主要有：IDES，Haystack等等????1989年,提出基于网络的IDS系统,主要有：NSM, NADIR,DIDS等等 入侵检测的发展历史 ????90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统；????2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮；????2001年至今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。 5.5.2 入侵检测系统的分类  5.5.2.1 基于主机的入侵检测系统 基于主机的入侵检测系统 ????初期多以基于主机的入侵检测研究为主，即在每个要保护的主机上运行一个代理程序。????它以计算机主机作为目标环境，只考虑系统局部范围的用户，因此大大简化了检测任务。由入侵检测工具对主机的审计信息分析来进行检测，并报告安全可疑事件。 基于主机的入侵检测系统 检测内容：统调用、端口调用、系统日志、安全审记、应用日志 基于主机的入侵检测系统具有以下优点： ???1.性能价格比高，适用在主机数量较少的情况下；???2.更加细腻，可以很容易地监测一些活动，如对敏感文件、目录、程序或端口的存取；???3.视野集中，最有可能区分正常的活动和非法的活动；???4.易于用户剪裁，每一个主机有其自己的代理；???5.对网络流量不敏感，一般不会因为网络流量的增加而丢掉对网络行为的监视。???6.随着Internet的发展，基于网络的攻击日益增多。基于主机的IDS已难以胜任入侵检测任务，入侵检测也发展为基于网络的入侵检测，主要研究方向为分布式系统。 ？ 5.5.2.2 基于网络的入侵检测系统 基于网络的入侵检测系统 ????基于网络的入侵检测系统，是通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式或将引起网络系统异常，以此来判别是否为入侵者。 基于网络的入侵检测系统  基于网络的检测有以下优点： 1.侦测速度快，实时性好；??? 2.隐蔽性好，网络上的监测器不易遭受攻击；??? 3.视野更宽，可以在网络的边缘上制止攻击；??? 4.使用较少的监测器进行保护；??? 5.占用资源少。 目前，开发特定的工具来侦听网络数据报文，分析负载，搜索可疑命令成为检测网络攻击的主要手段。管理员可以通过分布少量的工具检测到大多数攻击。 5.5.3.1 发展趋势 发展趋势 ????随着网络攻击手段向分布式方向发展(如目前出现的分布DOS攻击），并采用了各种数据处理技术，其破坏性和隐蔽性也越来越强。相应的，也要求入侵检测系统向分布式结构发展，采用分布收集信息、分布处理、多方协作的方式,将基于主机的IDS和基于网络的IDS结合使用，构筑面向大型网络的IDS。同时，在处理速度及各类相关性能上也有了更高的要求。 5.5.3.2 主要研究方向 主要研究方向 ??? l.IDS体系结构研究??? 2.具有多系统的互操作性，重用性的通用入侵检测框架，总体结构和各部件相互关系；??? 3.系统安全策略；??? 4.具有可伸缩性的统一的IDS系统结构；??? 5.IDS的管理等；??? 6.研究DARP提出的通用入侵检测框架[The Common Intrusion Detection Framework (CIDF)；设计具有可伸缩性、重用性的系统框架；制定安全、健壮、可扩展的安全策略。 安全通信技术研究 ????目前，分布式系统中的安全通讯机制也是研究领域的一个热点，而且，目前尚无明确有效的标准。其主要研究内容有：????l.安全认证机制；????2.建立高效的安全通道；????3.远程控制等安全。 5.5.3.3 入侵检测(ID)技术研究 入侵检测（ID）技术研究 ????目前已有的入侵检测技术包括基于知识的检测和基于行为的检测。????基于知识的检测包括专家系统、模型推理、状态转换图、信号分析、Petri nets图等；这种方法由于依据具体特征库进行判断，所以准确度很高、方便响应。但与具体系统依赖性太强，移植性不好，维护工作量大，受已有知识的