入侵检测系统论文入侵检测技术论文.doc

入侵检测系统论文入侵检测技术论文 摘要：入侵检测技术是保证计算机网络安全的核心技术之一，在保护计算机安全方面起着越来越重要的作用。本文从介绍入侵检测系统的概念入手，对入侵检测系统的功能、分类以及入侵检测技术这三个方面进行了讨论。 关键词：入侵检测系统；入侵检测技术 brief overview of intrusion detection system chen jing (air force 95259 troops,guangzhou510500,china) abstract:intrusion detection technology is to ensure that the core technology of computer network security is one aspect in the protection of computer security is playing an increasingly important role.intrusion detection system.this paper describes the concept,the function of intrusion detection systems,classification and intrusion detection technologies are discussed in three areas. keywords:intrusion detection system;intrusion detection technology 随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，特别是各种官方机构的网站，成为黑客攻击的热门目标。由于防火墙只防外不防内，并且很容易被绕过，所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为，对付入侵行为的第二道防线——入侵检测系统就被启用了。 一、入侵检测系统（ids）概念 intrusion detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防 一般我们可以将入侵检测系统粗略的分为三个大的模块：即入侵数据提取模块、入侵数据分析模块和入侵事件相应模块。根据这三个模块我们就可以看出入侵检测的三个步骤了，即入侵数据提取、入侵数据分析、入侵事件相应。 二、入侵检测系统的主要功能 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。 具体来说，入侵检测系统的主要功能有： （一）监测并分析用户和系统的活动。（二）核查系统配置和漏洞。（三）评估系统关键资源和数据文件的完整性。（四）识别已知的攻击行为。（五）统计分析异常行为。（六）操作系统日志管理，并识别违反安全策略的用户活动。 三、入侵检测系统的分类 根据系统所检测的对象分类，主要包括以下三大类：基于应用的入侵检测系统，其中常用的是基于主机和基于网络的这两种入侵检测系统。 （一）基于主机的入侵检测系统：主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。 （二）基于网络的入侵检测系统：网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode），监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。 入侵检测技术是为了保证计算机系统的安全而设计与配置的一种能够及时发现并且报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 （一）从时间上分。可分为实时入侵检测和事后入侵检测两种： 1.实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。 2.事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证