入侵检测系统模型的设计与实践.docVIP

入侵检测系统模型的设计与实践 　　【文章摘要】 　　该课题论述了网络安全的必要性，设计并实现了入侵检测系统模型。入侵检测系统的实现可以对网络安全进行检测，及时发现入侵行为并发出警报，采取有效措施进行处理。该课题论述了网络入侵检测系统的组成模块及入侵信息检测技术，设计并实现了入侵检测系统模型。 　　【关键词】 　　入侵检测系统；网络；网络监测 　　1 入侵及入侵检测的定义 　　1.1入侵定义 　　入侵定义：在未经授权的情况下，通过网络蓄意访问信息、篡改信息等不良行为使资源的完整性、可用性、机密性遭到破坏。 　　1.2入侵检测定义 　　入侵检测：入侵检测是针对入侵行为的一种检测手段。入侵检测主要是针对计算机系统、网络中的某些关键点而言的，通过收集并分析所获得的信息来判断是否存在非法入侵现象。入侵检测系统能够有效地发现对信息系统的恶意攻击、试图篡改信息等非法行为，并采取措施阻止这种非法攻击，有效地防止恶意攻击的发生和扩大。 　　2 网络安全发展现状 　　随着网络技术的发展，它早已渗透到生活、军事、政治等多种领域。Internet的开放性、跨国性给人们带来便利的同时，也存在很大的安全隐患。网络安全对银行、军事等重要环节尤为重要。ISO对计算机系统安全做了如下定义：保护计算机的软、硬件及其数据，即使遭到偶然和蓄意攻击时，系统也不会遭到破坏、泄露、更改，以此来确保网络数据保密性、完整性。 　　现如今，常用的网络安全技术包括：访问控制、防火墙、数据加密、VPN虚拟专用网等。其中防火墙技术使用最为广泛，计算机互联网有三分之一受其保护，防火墙是Internet与内部网络之间的屏障，它起到过滤作用，只有合法的数据流才能通过防火墙，以此来确保系统的安权。网络管理者通过监管、控制网络访问者来进行网络访问。针对用户采用不同级别的系统访问权限，防治用户访问非法信息、网站等，确保信息、资源的安全性。数据加密技术可以将需要保密的重要信息通过加密转换成一些在外人看来没有意义的数据，想要得到原始数据只能用密码打开。VPN虚拟专用网是在两个通信点之间建立通道，将加密的传输数据封装在IP包中，数据不会被窃取盗用，适合用于远程操作。 　　3 组成入侵检测系统的模块 　　一般的入侵检测系统被分为以下几大模块：信息采集模块、入侵信息检测引擎、用户界面。有的系统可能还包括信息存储、安全知识库等模块，安全知识库可以提高完善安全检测，信息存储可以使数据分析能力得到提高。几大功能模块详情如下： 　　3.1信息采集模块 　　信息采集模块收集可能携带入侵行为的数据，确保系统、网络、数据等信息的安全。数据的采集设备是不同网段的传感器或者是不同主机的代理。过滤并预处理采集到的数据，并将数据送到入侵信息分析引擎，进行下一步处理。 　　3.2入侵信息检测引擎 　　将信息采集模块采集到的数据送到入侵信息检测引擎，计算机已经预先设定了算法，调用这些算法对数据进行分析，以此来判断是否有非法入侵操作并且进一步判断入侵行为属于何种类别。当引擎判断有入侵操作时就会产生一个警告信号并把信号传送到用户界面，网络管理人员通过界面显示的内容做出下一步处理。 　　3.3用户界面模块 　　通过用户界面可以清楚地看到入侵信息检测引擎检测到的入侵信号，方便管理员对入侵行为的排查、处理工作的开展。 　　4 入侵分析技术 　　入侵信息分析引擎是入侵检测系统的核心，该课题针对入侵信息分析引擎技术做了详细的论述。入侵信息引擎技术主要包括异常检测、误用检测。 　　4.1误用检测 　　误用检测是将已知的非法攻击的特征提取出来，并将这些特征收集到特征数据库进行整合管理，当检测到的入侵模式与数据库中存储的非法入侵行为相匹配时，判断系统出现非法入侵性行为。这种误用检测具有判断正确率高、漏报率也高的特点，因为很多入侵行为难以建立入侵模型，无法收入到数据库中，另外还有很多入侵是无法预估的，致使很多入侵行为无法囊括到数据库中，所以误用检测漏报率较高。 　　4.2异常检测 　　异常检测是通过检测用户行为、资源的使用情况，以此来判断是否有非法入侵行为的发生。异常检测可以检测到未曾出现过的非法入侵行为，但是这种检测具有准确率低的缺点，很有可能导致误检，因为这种不依赖具体模式进行判断的检测，针对改变频繁的数据、资源、行为等，它没有一个固定的界限划分正常、非正常的范围。 　　入侵分析引擎通过采用误用检测、异能检测相结合的方式评判是否发生入侵行为，另外针对数据不同类型采取不同的检测技术，用异能检测技术来检测系统日志，用误用检测技术检测网络的数据包。 　　5 入侵检测系统的设计 　　针对入侵检测系统的的三大模块进行了详细的设计： 　　5.1信息采集 　　根据数据的来源，信息采集模块被分成