计算机系统入侵检测的分类和技术分析.docVIP

计算机系统入侵检测的分类和技术分析 　　摘要：计算机系统入侵检测是近年来网络安全研究的热点，是一种用于对违反计算机和网络上安全策略的行为进行识别和响应的系统。计算机入侵检测把原来的被动的安全保障变为积极主动的监控和审计，能对黑客入侵、内部人员违规操作等行为进行实时的报警和阻断，从而降低了计算机系统和网络遭受到的风险。本文主要讨论计算机入侵检测的分类和技术。 　　关键词：计算机；入侵检测；分类；技术 　　Abstract: intrusion detection in computer system is a network security research in recent years is hot, for violation of computer and network security policy behavior recognition and response system. Computer intrusion detection to the original passive protection into active monitoring and audit, to hacking, internal personnel illegal operations and conduct real-time alarm and blocked, thereby reducing the computer systems and network from risk. This paper mainly discusses the computer classification of intrusion detection technology. 　　Key words: computer technology; intrusion detection; classification 　　[中图分类号] TP393[文献标识码]A[文章编号] 　　 　　 　　网络的广泛应用使得网络安全日益成为一个突出课题，计算机入侵检测是近年来网络安全研究的热点，计算机入侵检测是指在特定的网络环境下发现未经授权或者是恶意的攻击和入侵，并对此作出反应的过程，入侵系统可以能对黑客入侵、内部人员违规操作等行为进行实时的报警和阻断，从而降低计算机系统和网络遭受到的风险。目前，常用的入侵检测系统主要是IDS，IDS是一套运用入侵检测技术对计算机或者网络资源进行实时检测的系统工具，IDS不仅可以检测出未经授权的对象和恶意的攻击，还可以监视授权对象，已经得到了广泛的应用。 　　一、计算机系统入侵检测的分类 　　计算机系统入侵检测可以分为集中式IDS和分布式IDS，集中式IDS采集的数据是在一台主机上进行，数据是分布的，分布式IDS数据的处理和采集工作主要通过多台主机来完成，目前，就针对集中式IDS和分布式IDS中存在的优缺点做一个详细的分析。 　　 （一）集中式IDS中存在的问题 　　由于集中式IDS采集数据的工作是在一台主机上进行，所以，集中式IDS所在的计算机很可能成为被恶意攻击的目标，如果入侵者用非法的技术手段使得集中式IDS所在的主机瘫痪，那么整个网络就会失去保护，这种后果是十分严重的。除了易被攻击外，由于一台主机的处理能力有限，所以集中式IDS的可伸缩性能也有限，负责的网络不能太大，否则集中式IDS无法及时处理，反而给网络带来更大的负担。 　　 （二）分布式IDS的优点 　　分布式IDS的数据采集工作主要通过多台主机进行，扩展性和伸缩性较好，分布式IDS的数据可以互相通信，如果其中一台主机出现问题时，其他主机不容易受到影响，因此，采用分布式IDS的系统，即使出现一部分故障，也不会导致整个模块的瘫痪。目前，分布式IDS的使用非常广泛。 　　二、计算机系统入侵技术分析 　　计算机系统入侵技术主要包括信息收集和信号分析两方面。 　　 （一）检测信息的收集 　　 计算机系统入侵检测的首要任务是进行信息的采集，需要采集的信息涉及较广，包括网络、数据以及用户活动的行为和变化，一般来说，检测的信息主要来自以下几个方面。 　　1.网络日志的收集 　　网络日志中包含发生在网络以及系统中不正常的活动，根据网络日志可以判断出是否有黑客入侵的痕迹，收集网络日志可以及时了解系统是否安全，如果发现有入侵企图，那么维护人员一定要及时的启动应急预案。 　　2.目录和文件的收集 　　在网络环境下由很多的目录和文件，这些目录和文件一般包含有重要的信息，往往成为黑客攻击的目标，黑客在攻击这些文件后，往往会经常修改和替换访问的文件，修改相关的日志。因此，维护人员一定要做好目录和文件的收集工作，根据收集的信息判读是否有黑