I入侵检测系统的技术发展及应用前景.docVIP

入侵检测系统的技术发展及应用前景 摘要 当今世界，人们的日常生活越来越离不开网络。随着网络的发展，人们也越来越重视网络信息安全的问题，特别是网络中涉及商业机密以及国家安全的信息。单纯的采用防火墙已经不足以保护这些重要信息，还要能够及时的发现恶意行为，并在恶意行为实施前做好保护措施，如断开连接，发出警告，过滤IP，甚至发起反击，这就是入侵检测技术。本文主要介绍入侵检测技术的发展概况及其分类的情况，并就入侵检测技术的应用前景及发展趋势作简单分析。 关键字：网络安全; 入侵检测; IDS; 发展趋势; 网络攻击 入侵检测技术简介 入侵检测的发展概况 入侵检测可追溯到1986年，SRI的Dorothy E.Denning发表的一篇论文《AnIntrusion-Detection Model》，该文深入探讨了入侵检测技术，检索了行为分析的基本机制，首次将入侵检测的概念作为一种计算机安全防御措施提出，并建立了一个独立于系统、程序应用环境和系统脆弱性的通用入侵检测系统模型。90年代以前，SRI以及Los Alamos实验室都主要是针对主机IDS进行研究，分别开发了IDES、Haystack等入侵检测系统。1990年，UCD设计的网络安全监视器标志着入侵检测系统的研究进入网络领域。网络IDS的研究方法主要有两种：一是分析各主机的审计数据，并分析各主机审计数据之间的关系；二是分析网络数据包。由于90年代因特网的发展及通信和网络带宽的增加，系统的互连性已经有了显著提高，于是人们开始试图将主机和网络IDS集成。分布式入侵检测系统（DIDS）最早试图将基于主机的方法和网络监视方法集成在一起。可见，入侵检测系统的发展主要经历了三个阶段：主机IDS的研究、网络IDS的研究、最后将主机和网络IDS集成。 入侵检测的概念 入侵检测是对入侵行为的检测，通过收集和分析网络行为、安全日志、审计数据、以及其它网络上可以获得的信息以及计算机系统中若干关键点的信息，来检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。将入侵检测的软件与硬件相结合后便是入侵检测系统（Intrusion Detection System）。入侵检测是防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它能够在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵检测的作用 对一个成功的入侵检测系统来讲，它不但可以使系统管理员时刻了解网络系统的任何变更，还能给安全策略的制定提供指南。总的来说，IDS的作用和功能主要有：监控、分析用户和系统的活动；审计系统的配置和脆弱性；评估关键系统和数据文件的一致性；识别攻击的活动模式；对异常活动进行统计分析；对操作系统进行审计跟踪管理，识别违反政策的用户活动。 入侵检测系统 入侵检测系统的基本结构 如图所示为入侵检测系统的基本结构。主要由以下四个部分组成： 事件产生器 事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后将搜集到的原始数据转换为事件，并向系统的其他部分提供此事件。 事件分析器 事件分析器接收事件信息，然后对信息进行分析，判断所接收信息是否为入侵行为或异常现象，最后将判断的结构转变为警告信息。 3、事件数据库 事件数据库是存放各种中间和最终数据的地方，它从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。 响应单元 响应单元根据警告信息作出反应，其可以做出切断连接、改变文件属性等强烈反应，也可以指示简单的报警，是入侵检测系统中的主动武器。 当前主要入侵检测系统的分类 1） 根据入侵检测方法分类 根据入侵检测所采用的技术，可以分为异常检测系统和误用检测系统。 异常入侵检测系统：异常检测是指根据使用者的行为或资源使用状况来判断是否发生入侵事件，而不依赖于具体行为是否出现来检测，因此是基于行为的检测。其主要思想是根据系统的正常活动建立一个特征文件，通过统计那些不同于用户已建立的特征文件的所有系统状态来识别入侵。 误用入侵检测系统：误用检测的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，并根据这些模式或特征建立一个数据库，然后将搜集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。因此是基于知识的检测技术或模式匹配检测技术。如果说异常检测是量化的入侵检测分析手段，那么误用检测应该是一种质化的检测手段。 2） 根据目标系统的类型分类 根据目标系统的类型可以分为基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）。 基于主机的入侵检测系统：该系统通过监视和分析主机上的审计日志，来检