韩文明-文献综述重点.doc

文献综述 题 目 网络安全入侵检测防御系统 学生姓名 韩文明 专业班级 信息安全12-02班 学 号 541213420209 院 （系） 计算机与通信工程学院 指导教师(职称) 蒋亚平（副教授） 完成时间 2014年 月 日 网络安全入侵防御系统 摘要:入侵防御系统(IPs)是能够检测到任何攻击行为，包括已知和未知攻击，并能够有效地阻断攻击的硬件或者软件系统，讨论了入侵防御系统的概念和特征，分析7当前IPs的4种实现模型(在线模型、7层交换模型，7层防火堵模型和混合模型)的优缺点。为解决这些模型在同时提高网络性能和入侵检测准确度方面的难题，给出了一个基于WindForce千兆网络数据控制卡的嵌入式入慢防御系统的实现实例。 关键词:入侵防御系统;嵌入式;高速网络;防火墙;网络安全 1 引言 在目前流行的网络安全防范体系中，防火墙是抵御入侵的第一道防线，入侵检测系统则是防火墙的补充。入侵检测可以定义为识别针对计算机或网络资源的恶意企图和行为并对此做出反应的过程，入侵检测系统((IDS)则是完成如上功能的独立系统。根据检测所用数据来源，IDS分为基于主机的IDS和基于网络的IDS;根据检测所用分析方法，IDS分为误用检测型和异常检测型。经过20多年的发展历程，IDS己经从实验室走向应用，CSI/FB12003年计算机犯罪与安全调查示，在接受调查的530个对象中，73%在他们的网络中部署IDS设备。虽然得到了广泛的应用，但IDS的表现却是差强人意，也使得人们对IDS的实用性产生了置疑。以下几个方面的缺陷是IDS目前所面临的严重问题： (1) 缺乏有效的攻击阻断功能:传统的IDS只能在旁路(通常是镜像)上通过探测获取经过交换端口的数据包，因为IDS只是以被动方式检测数据流量，所以当IDS检测到数据包里的攻击代码时，无法阻止攻击数据流量。一般来说，IDS通常采用两种方法进行攻击阻断:①往数据流中加入TCP数据包，对目标服务器上的会话进行复位。然而，攻击流却可能在TCP复位数据包到达之前已经全部到达目标服务器，这样一来，IDS的响应为时已晚。而且，这种方式对于非TCP攻击是无能为力的，例如最近的蠕虫。②重新配置防火墙规则，检测到攻击后，IDS向防火墙发出阻断会话的请求，但同样，这种请求可能来得太晚，因而无法防御攻击。而且目前防火墙和IDS系统间的互动接口并没有一个被广泛承认的标准，给攻击阻断带来了很大的困难。 (2) 难以突破百兆瓶颈，不能适用于千兆网络：传统)DS通常采用基于网卡混杂模式的数据采集方式，这种数据采集方式受到系统总线速度和中断发生速度的制约，在千兆位网络上很难做到不丢失报文;在大量小数据包的时候非常容易丢包，抓取到的数据也需要通过总线送至内存和CPU，受总线带宽限制，数据的分发和预处理难度相当大。 (3) 误报率过高:大部分的报警消息都属于误报，即把一些正常的网络活动当成了入侵，海量的虚假报警消息反倒把真实有用的报警信息给淹没了，安全管理员根本无暇、也无法从中仔细挖掘出真实的入侵信息。现有IDS系统错报(或称虚警)概率偏高，严重干扰了结果:如果系统对原本不是攻击的事件产生了错误的IDS警报，则假的警报一般称为虚警。通常这些错报会干扰管理员的注意力，产生两种后果:①忽略报警，但这样做的结果和安装系统的初衷相背;②重新调整临界IDS闽值使系统对虚报的事件不再敏感，但这样做之后一旦有真的相关攻击事件发生，将不再报警，这同样损失了IDS的功效。 这些问题使得人们对入侵检测系统的安全防护能力产生了怀疑，认为在网络安全防范体系中，IDS不能作为防火墙的边界防护能力的充分补充。为解决以上问题，就诞生了入侵防御系统(intrusion prevention system， IPS)。下文首先论述了入侵防御系统的概念和特征，然后叙述了几种常见的IPS实现模型，最后给出了一个作者已经部分实现的入侵防御系统: 2 IPS的概念和特征 目前还没有一个明确的入侵防御系统定义，我们将它定义为，任何能够检测到攻击行为(包括已知和未知攻击)，并能够有效地阻断攻击的硬件或软件系统。入侵防御系统在线地检测网络和主机[3]，发现攻击后能够实施有效的阻断，防止攻击到达目标网络或主机。从技术沿革上来说，入侵防御系统吸取、融合了防火墙和入侵检测技术，目的是为网络提供深层次的、有效的安全防护。入侵防御系统可能成为下一代入侵检测