入侵检测技术简述.docxVIP

入侵检测技术简述摘要:作为一个网络管理员，他手中的保卫网络安全的法宝有三：防火墙，入侵检测技术和审计追踪技术。防火墙主外，能够防御外部Internet上的攻击，但是一旦内部出了“奸细”，防火墙形同虚设，所以，入侵检测技术应运而生。本文从入侵检测技术产生的背景意义、定义、分类、功能、技术手段、应用范围等几个方面对入侵检测技术进行了系统的介绍。关键词：入侵检测HIDS NIDS正文随着信息时代的不断发展，信息安全问题也随之逐步为人们所关注重视，并投入大量精力来跟黑客等不法行为进行对抗。面对外网中的非法攻击，人们使用防火墙技术抵御，使其扼杀在外网，但是，“内鬼”的出现却让防火墙措手不及，比如来自内部的非法操作、口令和密码的泄露、软件缺陷以及拒绝服务攻击（Dos）。加之防火墙也是人工编制出来的程序，也会存在一些漏洞，无法对付层出不穷的应用层后门、通过加密信道的攻击、应用设计缺陷等，而且防火墙技术通常是“被挨打”后才能发挥作用，所以防火墙这种被动的防范方法显得力不从心。入侵检测系统这种更加仔细，并且能够及时发现并报告系统中异常事件的技术应运而生，成为保护计算机系统安全的另一个强力武器。1、入侵检测技术的定义入侵检测（Intrusion Detection，ID），即对入侵进行发掘然后向计算机系统报告。它通过对计算机网络或系统多个关键节点进行信息收集，并且对这些信息进行分析，从中发现计算机网络或系统中是否存在违反安全策略的行为和被攻击的迹象。相对应的入侵检测系统（Intrusion Detection System, IDS）即实现入侵检测的功能，即对网络传输进行及时监视，检测到可疑事件时发出报警或主动采取措施的网络安全设备。2、入侵检测技术的分类入侵检测技术可分为三类：基于主机的IDS，基于网络的IDS以及两者联合使用的分布式入侵检测系统。基于主机的IDS(HIDS)采集的信息主要是从主机的审计记录和日志文件中加以主机上文件系统属性、进程状态等其他信息获得的，系统对这些信息进行分析，并进行异常检测和误用检测，检测的内容包括系统调用、端口调用、系统日志、安全审计、应用日志等，如果发现异常则会发出报警信号。基于主机的IDS一般部署在防火墙和外部网络服务器之间，防护防火墙不能保护的网络服务器；还可以部署在内网的服务器处。基于主机的IDS能够监视特定的系统行为，能够准确地判断攻击是否成功，能够对于绕过网络而在本地进行，在网络数据中很难发现使得网络入侵检测系统无法检测的攻击实施监控检测。但是基于主机的IDS不能检测数据包头的内容，例如许多基于IP的拒绝服务攻击和碎片攻击都不能被它检测到，此时基于网络的IDS弥补了这一缺陷。基于网络的IDS（NIDS）是利用网络适配器来实时监视和分析所有通过网络进行传输的通信。NIDS通过在数据传输过程中获取数据包，然后分析数据包中的包头信息和有效数据部分，如果有异常，ids相应模块通过通知、报警以及中断连接等方式来对攻击做出反应。NIDS通常部署在外网路由器和防火墙之间，或是防火墙和外部的网络服务器之间，或者防火墙和内网路由器之间。NIDS的优点有：检测的范围是整个网段，可以进行实时检测和应答（相对于HIDS的优势），隐蔽性良好（配置在网卡上），不需要特殊的审计和登录机制，且操作系统独立（HIDS依赖于操作系统，须重新配置）。由于系统的弱点或漏洞分散各处，且网络入侵行为表现出相互协作入侵的特点，入侵检测所需数据来源分散化，由于网速和网络流量的不断加快加大导致的漏检现象严重，HIDS和NIDS对这些问题力不从心，这时分布式入侵检测系统产生。分布式系统将HIDS和NIDS结合的系统结构起来，克服了两者的缺点，它的特点为：可靠性、容错性、可用性、可检测性、可适应性、准确性和安全性。但是复杂的分布式IDS结构也增加了网络管理的复杂度，对传输安全事件过程中的通信安全要求也较高。3、入侵检测技术的功能入侵检测系统是对防火墙功能的补充检测来自内部的攻击事件和越权访问事先发现攻击并报警主机采取相应的反应检测其它安全工具没有发现的网络攻击事件提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性保护网络中可被入侵者利用的资源实时检测系统漏洞并安装相应的系统补丁程序检测用户和管理员在配置和使用系统中的失误等等4、入侵检测技术的技术手段入侵检测技术可分为异常检测和误用检测。异常检测：首先总结正常操作应该具有的特征（用户轮廓Profiler），当用户活动与正常行为有重大偏离时即被认为是入侵行为，这种检测手段漏报率低，误报率高（假使管理员操作失误而被认定为异常攻击）。误用检测：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵这种手段误报率低但漏报率高（一