浅谈入侵检测系统产生及发展.docVIP

浅谈入侵检测系统产生及发展【摘要】入侵检测技术是网络安全技术的重要方面，而入侵检测则是网络安全的最后一道防线。入侵检测系统作为信息安全领域的一个组成部分，有着自己独特的地方。本文从网络安全模型中主要的防护手段——防火墙的弱点出发，先是介绍了入侵检测的基本概念，然后系统地描述了入侵检测系统的分类、分析了入侵检测的过程并且给出了入侵检测的三个发展方向，从这几个方面阐述了入侵检测技术的产生和发展。最后，再次强调了入侵检测技术在信息安全领域的重要性。 【关键词】网络安全；入侵检测；信息安全引言 在传统的网络安全模型中，防火墙主要作为计算机网络安全的一种防护手段，但随着网络攻击技术的发展，这种单一的防护手段已经不能确保网络的安全。防火墙对于防范黑客产生了明显的局限性，主要表现为：防火墙无法阻止内部人员所做的攻击；对信息流的控制缺乏灵活性；在攻击发生后，利用防火墙保存的信息难以调查和取证，对于那些利用某些合法端口，合法地址的恶意攻击和访问，不能及时发现和制止。为了确保计算机网络安全，不断有新的安全技术提出，入侵检测技术就是这样产生和发展起来的。 1　入侵检测的基本概念 入侵检测：顾名思义，是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion　Detection　System，简称IDS）。入侵检测在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 2　入侵检测系统分类 既然入侵检测系统能够检测网络中发生的未授权和异常的访问，那我们不禁要问它是通过怎样的方法来完成这些复杂的检测工作的。 2.1按照检测类型划分 2.1.1异常检测模型（Anomaly　Detection）：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。 2.1.2误用检测模型（Misuse　Detection）：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。 2.2按照检测对象划分 2.2.1基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。 2.2.2基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。 2.2.3混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。 3　入侵检测过程分析 入侵检测过程分为三部分：信息收集、信息分析和结果处理。 3.1信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。 3.2信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。 3.3结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。 4　入侵检测技术的发展方向 无论是规模还是方法，入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面： 入侵或攻击的综合化与复杂化。 入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。 入侵或攻击的规模扩大。 入侵或攻击技