網络入侵检测的应用与发展.docVIP

中央司法警官学院 学年论文 题 目：网络入侵检测技术的应用与发展 系 别： 信息管理与信息系统 专 业： 司法信息安全 年 级： 2010级__________ 姓 名： 王滢 学 号： 119031015320025 指导老师： 张伟 网络入侵检测技术的应用与发展 摘要：随着网络科学技术的发展，互联网已经深入到我们生活的各方各面，入侵检测最后一道是网络安全防线 关键词：入侵检测系统、网络安全、入侵检测 Abstract：Along with the network development of science and technology, the Internet has penetrated into all aspects of our lives, the intrusion detection system as the last tract after firewall is network security defense, its use has been very widely, this paper introduces the concept of intrusion detection technology, technology application, technical defects as well as the development of intrusion detection technologies. Key words: Intrusion detection system 、network security、intrusion detection 随着Internet的应用日益广泛和电子商务的兴起．网络安全作为一个无法回避的问题呈现在人们面前。提到网络安全，很多人首先想到的是防火墙，防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检查出经过它的合法流量中是否包含着恶意的入侵代码。在这种需求背景下，入侵检测系统(IDS)应运而生。入侵检测系统成为了安全市场上新的热点。不仅愈来愈多地受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。 一、入侵检测系统（IDS）的概念 1、什么是入侵检测系统 入侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集并分析信息，网络中是否有违反安全策略的行为和遭到袭击的迹象。在本质上，入侵检测系统是一种典型的“窥探设备”它不跨接多个物理网段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上收集它所关心的报文即可。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。 主要用于检测hacker或cracker通过网络进行的入侵行为用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。基于网络的入侵检测系统（NIDS）使用原始网络包作为数据源。通常利用一个运行在混杂模式下网络的适配器来实时监视并分析通过网络的所有通信业务，当然也可能采用其他特殊硬件获得原始网络包。　　基于网络的入侵检测系统（NIDS）的运行方式有两种，一种是在目标主机上运行以监测其本身的通讯信息，另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息，比如hub、路由器 图1基于网络的入侵检测系统示意图 （2）基于主机的入侵检测系统（IDES） 主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。 通常，基于主机的入侵检测系统可监测系统、事件和Windows NT下的安全记录以及UNIX环境下