入侵检测系统研究的论文.docVIP

　　入侵检测系统研究的论文 摘要 介绍了入侵检测系统的概念，分析了入侵检测系统的模型；并对现有的入侵检测系统进行了分类，讨论了入侵检测系统的评价标准，最后对入侵检测系统的发展趋势作了有意义的预测。 关键词 入侵检测系统； cidf ；网络安全；防火墙 0 引言 近年来，随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，特别是各种官方机构的网站，成为黑客攻击的热门目标。近年来对电子商务的热切需求，更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内，并且很容易被绕过，所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为，对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统（ids）概念 1980年，james p.anderson 第一次系统阐述了入侵检测的概念，并将入侵行为分为外部滲透、内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy e.denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型，命名为入侵检测专家系统（ides），1990年，l.t.heberlein等设计出监视网络数据流的入侵检测系统，nsm(onitor)。自此之后，入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。.而入侵检测的定义为[4]：发现非授权使用计算机的个体（如“黑客”）或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为：检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为三个步骤：信息收集、数据分析、响应。 入侵检测的目的：（1）识别入侵者；（2）识别入侵行为；（3）检测和监视以实施的入侵行为；（4）为对抗入侵提供信息，阻止入侵的发生和事态的扩大； 2 入侵检测系统模型 美国斯坦福国际研究所（sri）的d.e.denning于1986年首次提出一种入侵检测模型[2]，该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展，后来人们又提出了基于规则的检测方法。结合这两种方法的优点，人们设计出很多入侵检测的模型。通用入侵检测构架（mon intrusion detection frameeliness）。一个ids必须尽快地执行和传送它的分析结果，以便在系统造成严重危害之前能及时做出反应，阻止攻击者破坏审计数据或ids本身。 除了上述几个主要方面，还应该考虑以下几个方面：（1）ids运行时，额外的计算机资源的开销；（2）误警报率／漏警报率的程度；（3）适应性和扩展性；（4）灵活性；（5）管理的开销；（6）是否便于使用和配置。 5 ids的发展趋 随着入侵检测技术的发展，成型的产品已陆续应用到实践中。入侵检测系统的典型代表是iss（国际互联网安全系统公司）公司的realsecure。目前较为著名的商用入侵检测产品还有：nai公司的cybercop monitor、axent公司的proonitoring and surveillance [p] . pa 19034,usa, 1980.4 [2]denning d e .an intrusion-detection model [a] . ieee symp on security privacy[c] ,1986.118-131 [3] 张杰，戴英侠，入侵检测系统技术现状及其发展趋势[j]，计算机与通信，2002.6：28-32 [4] 曾昭苏，王锋波，基于数据开采技术的入侵检测系统[j]，自动化博览，2002,8:29-31 [5] 唐洪英，付国瑜，入侵检测的原理与方法[j]，重庆工学院学报，2002.4：71－73