网络入侵检测原理与技术.docVIP

网络入侵检测原理与技术 摘要：计算机网络技术的发展和应用对人类生活方式的影响越来越大，通过Internet人们的交流越来越方便快捷，以此同时安全问题也一直存在着，而人们却一直未给予足够的重视，结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中，基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词：入侵检测；入侵检测系统；入侵检测系统的 3、入侵检测原理 根据入侵检测模型，入侵检测系统的原理可以分为以下两种： 异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录，然后建立代表用户、主机或网络连接的正常行为轮廓，再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法： 统计异常检测方法； 特征选择异常检测方法； 基于贝叶斯推理异常的检测方法； 基于贝叶斯网络异常检测方法； 基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法，对这两种方法目前已有由此而开发成的软件产品面市，而其他方法都还停留在理论研究阶段。 异常检测的优点：需获取攻击特征，能检测未知攻击或已知攻击的变种，且能适应用户或系统等行为的变化。异常检测的缺点：一般根据经验知识选取或不断调整阈值以满足系统要求，阈值难以设定；异常不一定由攻击引起，系统易将用户或系统的特殊行为(如出错处理等)判定为入侵，同时系统的检测准确性受阈值的影响，在阈值选取不当时，会产生较多的检测错误，造成检测错误率高；攻击者可逐渐修改用户或系统行为的轮廓模型，因而检测系统易被攻击者训练；无法识别攻击的类型，因而难以采取适当的措施阻止攻击的继续。误用检测，也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测技术主要有：基于专家系统的检测方法基于状态转移分析的检测方法 图1-2 入侵检测系统功能构成 目前入侵检测系统从数据来源来看，主要有三类结构，即： 基于网络的入侵检测系统（NIDS） 该系统的数据来源与网络上的数据流，能够截获网络中的数据包，提取其特征并与库中已知的攻击签名相比较，已达到检测目的。其优点在于侦测速度快、隐蔽性好，不易受到攻击，资源消耗少；缺点是误报率较高。 基于主机的入侵检测系统（HIDS） 该系统的数据来源于主机系统，通常是系统日志和审计记录。HIDS通过对系统日志和审计记录的不断监控和分析来发现攻击后的误操作。优点在于针对不同的操作系统捕获应用层入侵、误报少；缺点是依赖于主机及其审计子系统，时尚型差。 分布式入侵检测系统（DIDS） 该系统采用上述两种数据来源，能够同时分析来自于主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成，克服了上述两种系统的不足。 结束语: 未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理，其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题，但正如攻击技术不断发展一样，入侵的检测也会不断更新、成熟。同时要及时修补网络中的安全漏洞，否则安全也无从谈起。 审计记录、网络数据包等 事件产生器 行为特征模型 规则模块 特征表更新 规则更新 异常记录 变量阀值 图1-1 通用的入侵检测系统模型 入侵响应 入侵分析 事件提取 远程管理 数据源