计算机终端入侵检测探究.docVIP

计算机终端入侵检测探究摘 要:对于计算机终端的入侵检测与防御系统是计算机网络安全的一个非常重要技术手段,但是随着世界科技的不断进步,高速网络技术快速发展,所以关于IP网络中计算机终端的入侵检测和防御系统面临着严峻的挑战。本文通过对入侵检测的意义及用途进行分析,在此基础上探讨了对于网络中计算机终端的入侵检测的现状,最后对其存在的问题提出改进的措施,对以后入侵检测与防护有一定的帮助。 关键词:终端 入侵 检测 中图分类号:TP79 文献标识码:A 文章编号:1672-3791(2012)07(a)-0013-01 入侵检测系统(Intrusion Detection Sys-tem,IDS)能够有效地发现网络的非法访问行为。它通过硬件或者软件对IP网络上计算机的终端数据流进行不定时的检查,一旦发现计算机终端有被攻击的迹象,就应该立刻切断IP网络连接,或利用防火墙系统对访问控制进行关闭等。入侵检测的一般过程包括信息收集、信号分析和入侵检测响应三个环节。 1 入侵检测的基本概念 入侵检测(Intrusion Detection),是对入侵行为的发觉。入侵检测方法分为两类:异常入侵检测(Anomaly Detection)和误用入侵检测(Misuse Detection)。现阶段,我国常用的误用入侵检测方法主要有基于条件概率的误用检测方法、基于规则的误用检测方法等。误用检测能够准确检测到计算机网络当中事先存储的数据,但是对未知的攻击行为是无法检测的。异常检测依赖于异常模型的建立,它可以检测到新型的攻击,具有较低的漏警率,但是它有误警率高的缺点[1]。 2 入侵检测系统 入侵检测系统是一种对网络传输进行即时监视,它是一种主动保护自己免受攻击的网络安全技术。IDS是一种积极主动的安全防护技术,最大限度地保障系统安全[2]。目前,IDS发展迅速,具体来说,入侵检测系统的主要功能有:(1)识别黑客常用入侵与攻击手段;(2)监控网络异常通信;(3)鉴别对系统漏洞及后门的利用;(4)完善网络安全管理。 3 入侵检测系统的设计 3.1 数据采集子系统 通过信息采集网络化和数字化,扩大数据采集的覆盖范围,数据采集子系统位于IDS的最底层,其主要目的是从网络环境中获取事件,并向其他部分提供事件。本文是检测IP网络中计算机的入侵行为,那么就必须用大的数据源来维持数据采集系统的正常运行。在经过读取数据包首部之后,将数据过滤后帮助我们描述系统的正常行为,并最终识别出那些不正常的行为[3]。 3.2 建立数据分析模块 在入侵检测过程中,有关用户状态和行为等信息,包括相关的网络和系统数据,被输入到数据分析模块。传感器通过检测引擎对信息进行技术分析,一般有三种:模式匹配、统计分析和完整性分析。如果出现一种误用的状态,系统则会发出一个警告信号给控制台。所以设计者要有一个系统的知识,对各种网络协议、系统漏洞等有充分了解,并制作出对应的安全规则库和安全策略。然后要建立好检测模型,可分为滥用型和异常型,使检测仪器能够模拟自己的分析,来识别确知特征的攻击和异常行为,将最后得出的结果以报警信息的形式,反馈给控制管理中心。 3.3 控制台子系统 控制台按照告警产生预先定义的响应采取相应措施。控制台子系统的主要任务有两个:一是管理数据采集分析中心,显示数据采集分析中心发送过来的警报消息;二是根据事先预定好的安全策略进行一系列的动作,确保网络的安全。 3.4 数据库管理子系统 数据库管理子系统一个实际可运行的存储、维护和应用系统提供数据的软件系统,它的学科含义是指研究、开发、建立、维护和应用数据库系统所涉及的理论、方法、技术所构成的学科。可以认为一个好的入侵检测系统不仅要为管理员提供丰富的报警信息,也应详细记录数据,以便于将来需要获得证据重建某些网络事件[4]。 4 入侵检测存在的问题与发展趋势 4.1 入侵检测存在问题 近年来,入侵检测系统得到了快速发展。但是还是存在着一些不可避免的问题。 4.1.1 误/漏报率高 IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。在高速交换网络中,入侵检测系统不能很好地检测所有的数据包。分析的准确率不高,经常产生漏报。检测规则的更新落后于攻击手段的更新。新的攻击没有相应的检测规则,经常产生误报。 4.1.2 缺乏准确定位机制 对于IP网络的计算机终端来说,入侵检测系统只能识别IP地址,却无法定位IP地址,从而就不能识别网络中的数据来源。所以IDS系统在发现被攻击时,只能关闭网络出口和服务器等少数端口,因而其缺乏更有效的响应处理机制。 4.2 入侵检测的发展趋势 近年来对入侵检测系统的发展趋势只要体现在以下几方面。 4.2.1 入侵