5.7入侵检测技术发展方向.pptVIP

* 第5章 网络入侵检测原理与技术 5.7 入侵检测技术发展方向 1. 入侵技术的发展与演化 （1） 入侵或攻击的综合化与复杂化 由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率， 并在攻击实施的初期掩盖攻击或入侵的真实目的。 （2） 入侵主体对象的间接化 通过一定的技术，可掩盖攻击主体的源地址及主机位置，即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。 （3）入侵或攻击的规模扩大 对于网络的入侵与攻击，在初期往往是针对于某个公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为， 也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，因此， 对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击可相提并论。信息战的成败与国家主干通信网络的安全是任何主权国家的最高级别安全。 （4） 入侵或攻击技术的分布化 以往常用的入侵与攻击行为往往由单机执行，由于防范技术的发展使得此类行为不能奏效。 所谓的分布式拒绝服务（DDOS）是在很短的时间内造成被攻击主机的瘫痪，且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。  （5） 攻击对象的转移 入侵与攻击常以网络为侵犯的主体， 但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS攻击的报道。攻击者详细地分析了IDS的审计方式、 特征描述、 通信模式，从而找出IDS的弱点，然后加以攻击。  从总体上讲，目前除了完善常规的、传统的技术（模式识别和完整性检测）外，入侵检测系统应重点加强与统计分析有关的研究。 许多学者在研究新的检测方法，如采用自动代理的主动防御方法， 将免疫学原理应用到入侵检测的方法等。 2. 入侵检测的主要发展方向 （1） 分布式入侵检测 第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击， 其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。 （2） 智能化入侵检测 即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、 模糊技术、免疫学原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的软件或模块的结合使用。 * 第5章 网络入侵检测原理与技术