分布式入侵检测系统相关技术的研究.docVIP

分布式入侵检测系统相关技术的研究 　　【摘 要】本文从网络安全技术角度出发研究入侵检测系统的相关入侵技术和防御手段，总结了目前分布式入侵检测系统存在的问题并分析出以后入侵检测系统的研究方向。 　　【关键词】入侵检测；网络安全；漏洞评估；分布式计算 　　在计算机网络技术飞速发展的当下，信息与网络安全形势也日趋严峻和复杂化。各国计算机技术人员的共同目标是从技术、管理、法律等多方面采取综合措施保障信息与网络安全。但是计算机网络在协议、服务和管理等方面都存在缺陷，网络黑客利用这些漏洞进行非法活动，因此研究高效的安全检测技术和开发实用的安全检测系统具有重大的理论和实践意义。 　　1 Internet的本身就存在着安全性问题 　　Internet的不安全因素主要集中在以下几个方面：TCP/IP协议和服务本身的弱点，网络配置中缺乏统一策略，弱用户认证机制，易受到冒充和探测，社会和人为因素等。计算机网络中活跃着的黑客们寻找系统的漏洞进行攻击，通过上述一些缺陷就可以进行攻击，造成网络的不安全性。 　　2 网络安全技术分析 　　为了保护Internet上信息、服务和访问的安全性，人们开发了多种安全协议和技术，主要有以下几种： 　　（1）存取控制：存取控制规定操作权限的分配，它一般与身份验证技术一起使用，根据不同身份的用户给予不同的操作权限，以实现不同安全级别的信息分级管理。 　　（2）数据完整性：保证数据完整性至关重要，以免在传输过程中被篡改，因此需要验证收到的数据和原来数据之间保持一致。 　　（3）加密技术：加密是一种最基本的安全技术，主要用在数据存储、数据传输和口令技术中。现在金融系统和商界普遍使用的算法是美国商界加密标准DE3。 　　（4）用户身份认证：它是互联网上信息安全的第一道屏障。用户身份认证即校验用户访问系统和使用信息的资格，它是网络安全的关键技术。 　　（5）安全协议：目前在TCP/IP下一版本（IPv6）中就增加TAH和ESP机制及其它安全措施。 　　（6）防火墙技术：防火墙技术可通过与加密技术、用户身份认证技术相结合，能够保证对安全协议的保护，是一种比较有效的保护网络安全的方法。 　　（7）入侵检测技术：入侵检测和漏洞检测技术是网络安全技术的重要组成部分，它们不但可以实现复杂的信息系统安全管理，而且还可以从目标信息系统和网络资源中采集信息，分析来自网络外部和内部的入侵信号和网络系统中的漏洞，发出警告或实时对攻击做出反应。 　　3 网络入侵技术分析 　　IDS的研究始于20世纪80年代，安德逊于1980年引入入侵检测概念时，将入侵企图或威胁定义为故意非授权的企图进行以下活动的潜在可能性，这些活动包括：访问信息、修改信息、致使系统不可靠或不可用。因此入侵可以定义为任何企图破坏信息或资源的机密性、完整性、以及可用性的行为。 　　美国IDG InfoWorld测试中心小组开发了一种可以称之为Benchmarking类型的测试基准：IWSS16。通过收集上千种典型且可以公开得到的攻击方法并对其进行组合，形成了IWSS16。IWSS16主要由四种主要类型的攻击手段组成： 　　（1）收集信息：网络攻击者经常在攻击之前，先进行试探性的攻击，以便获得系统有用的信息，主要手段有捕包（sniffing），PING扫描，端口扫描，帐户扫描，DNS转换等操作。 　　（2）获取访问权限以各种手段获取对网络和系统的特权访问，目的是获取有价值的信息。 　　（3）拒绝服务（Denial of Service）DoS是最不容易捕获的攻击，因为它不易留下痕迹，安全管理人员不易确定攻击来源。这种攻击通过大量不间断的申请使得系统处于繁忙状态直至系统瘫痪；拒绝服务供给还可以利用操作系统的漏洞进行针对性的攻击。 　　（4）逃避检测：入侵者往往在攻击之后，使用各种逃避检测的手段，使其攻击的行为不留痕迹。典型的特点是修改系统的安全审计记录。 　　4 安全检测技术 　　入侵检测已经被视为防火墙的合理补充，它从安全审计，安全监控，攻击识别，以及对攻击的反应这几方面加强了系统管理员的安全管理能力。通过入侵检测系统可以使计算机系统对攻击有所准备并能及时做出反应。入侵检测系统从计算机系统的大量数据中搜集信息并分析这些信息以查找出有安全问题的症状。入侵检测系统通过收集和分析信息能够完成诸多功能，如检测和分析用户的活动、审核系统配置和漏洞、对系统和数据文件的完整性进行评估、识别反映己知攻击模式的行为、统计分析异常行为模式、操作系统日志管理，并支持对违反策略的用户行为的识别。 　　漏洞评估工具对系统执行严格的检查以定位可导致安全侵害的弱点。漏洞评估工具使用两种策略来执行这些检查。 　　第一种是被动的，从主机本身出发进行检查，通过系统配