浅析入侵检测技术.docVIP

浅析入侵检测技术 　　摘 要 入侵检测系统是一个能够对网络或计算机系统的活动进行实时监测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络安全管理提供有价值的信息。 　　关键词 入侵检测 信号分析 模型匹配 分布式 　　中图分类号：TP393 文献标识码：A 　　随着计算机技术尤其是网络技术的发展，计算机系统已经从独立的主机发展到复杂的、互连的开放式系统。这给人们在信息利用和资源共享上带来了无与伦比的便利，但又面临着由于入侵而引发的安全问题。传统的安全防御策略（ 如访问控制机制、防火墙技术等）均属于静态的安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。由于静态的安全技术自身存在着不可克服的缺点，促发了人们在研究过程中新的探索，从而引出入侵检测这一安全领域的新课题的诞生。入侵检测是动态安全技术的最核心技术之一，是防火墙的合理补充，是安全防御体系的一个重要组成部分。 　　1 入侵检测系统（ IDS） 执行的主要任务 　　所谓IDS就是一个能够对网络或计算机系统的活动进行实时监测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络安全管理提供有价值的信息。IDS 执行的主要任务是：监视、分析用户及系统活动；对系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 　　2 入侵检测的步骤 　　2.1 信息收集 　　入侵检测的第一步是信息收集。内容包括系统、网络、数据及用户活动的状态和行为。 　　入侵检测利用的信息一般来自以下4方面：系统和网络日志文件：目录和文件中的不期望的改变； 程序执行中的不期望行为；物理形式的入侵信息。这包括两个方面的内容：一是未授权的对网络硬件的连接；二是对物理资源的未授权访问。 　　2.2 信号分析 　　对上述4 类收集到的有关系统、网络、数据及用户活动的状态和行为等信息， 一般通过3 种技术手段进行分析：模式匹配、统计分析和完整分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。 　　2.3 响应 　　入侵检测系统在发现入侵后会及时做出响应， 包括切断网络连接、记录事件和报警等。响应一般分为主动响应和被动响应两种类型。主动响应由用户驱动或系统本身自动执行， 可对入侵者采取行动、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络管理协议（ SNMP） 陷阱和插件等。 　　3 常用的入侵检测方法 　　3.1基于用户行为概率统计模型的入侵检测方法 　　这种入侵检测方法是基于对用户历史行为建模， 以及在早期的证据或模型的基础上， 审计系统实时的检测用户对系统的使用情况， 根据系统内部保存的用户行为概率统计模型进行检测， 当发现有可疑的用户行为发生时， 保持跟踪并监测、记录该用户的行为。 　　3.2 基于神经网络的入侵检测方法 　　这种方法是利用神经网络技术进行入侵检测。因此， 这种方法对用户行为具有学习和自适应功能， 能够根据实际检测到的信息有效地加以处理并作出入侵可能性的判断。 　　3.3 基于专家系统的入侵检测技术 　　该技术根据安全专家对可疑行为进行分析的经验来形成一套推理规则， 然后在此基础上建立相应的专家系统， 由此专家系统自动对所涉及的入侵行为进行分析该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。 　　4 入侵检测技术的发展方向 　　4.1 分布式入侵检测与通用入侵检测架构 　　传统的IDS一般局限于单一的主机或网络架构， 对异构系统及大规模的网络的监测明显不足， 同时不同的IDS 系统之间不能协同工作， 为解决这一问题， 需要分布式入侵检测技术与通用入侵检测架构。 　　4.2 智能化的入侵检测 　　入侵方法越来越多样化与综合化， 尽管已经有智能体、神经网络与遗传算法在入侵检测领域的应用研究， 但是这只是一些尝试性的研究工作， 需要对智能化的IDS 加以进一步地研究以解决其自学习与自适应能力。 　　4.3入侵检测的评测方法 　　用户需对众多的IDS 系统进行评价， 评价指标包括IDS 检测范围、系统资源占用、IDS 系统自身的可靠性。从而设计通用的入侵检测测试与评估方法和平台， 实现对多种IDS 系统的检测已成为当前IDS 的另一重要研究与发展领域。 　　4.4 与其它网络安全技术相结合 　　结合防火墙、PKIX、安全电子交易SET 等新的网络安全与电子商务技术，提供完整的网络安全保障。 　　入侵检测作为一种积极主动的安全防护技术， 提供了对内部攻击、外部攻击和误操作的实时保护， 在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多