入侵检测系统在计算机网络安全上应用.docVIP

入侵检测系统在计算机网络安全上应用 　　【摘要】：本文对网络入侵方式的特点作了介绍，并分析了入侵检测技术的概念、分类和主要技术方法，对入侵检测系统在计算机网络安全维护中的应用流程做了探讨，提出了入侵检测技术和防火墙结合应用方案。 【关键词】：入侵检测技术；计算机网络安全；应用 中图分类号：TN711 文献标识码：A 文章编号： 随着信息化时代的发展，网络的应用涉及到方方面面，在给我们带来便利的同时，也带来了很多问题，网络安全就是其中一种。目前，网络入侵已成为影响对计算机网络系统的安全的重要威胁。入侵检测技术具有识别入侵者，识别入侵行为，检测和监视、为对抗入侵及时提供重要信息，阻止事件发生和事态扩大等多方面功能，是维护计算机网络安全的重要技术手段。 1 网络入侵的方式 目前，网络入侵方式主要包括以下几个方面： 1.1 病毒攻击 病毒具有传染性、隐蔽性、寄生性、繁殖性、潜伏性等特性。目前 BBS、电子邮件、WWW浏览、FTP文件下载对点通信系统等时病毒攻击的主要环节。 1.2 身份攻击 网络攻击主要包括信息收集攻击、口令攻击、漏洞攻击等。身份攻击是攻击者通过大量的试探性方法对网络系统中存在的漏洞进行漏洞扫描，或是对系统可用的权限进行账户扫描及系统提供的服务进行端口扫描，并捕获系统漏洞，对用户输入的账号和口令窃取，进而利用公开协议和工具对各个主机系统中的有用信息进行非法收集、篡改等。 1.3 拒绝服务攻击 拒绝服务攻击是将一定序列、一定数量的报文发送在网络系统中，导致大量要求回复的信息充斥在网络服务器中，使网络系统资源或网络宽带被大量消耗，从而导致正在运行过程中的计算机网络或系统不胜负荷以至于瘫痪、停止正常的网络服务，出现死机、无响应等现象的攻击。 1.4 对防火墙的攻击 一般来说，防火墙的抗攻击性很强，不容易被攻破。但是，一定程度上的缺陷不可避免的始终存在于防火墙的设计和实现中，从而导致防火墙被攻击。随着互联网的兴起和网络技术的高速发展，直接攻击和非法绕过防火墙的攻击给计算机网络安全带来了严重的威胁。如地址欺骗和TCP序号协同攻击、利用FTP-pasv绕过防火墙认证的攻击等非法绕过防火墙的攻击、Cisco PIX 防火墙的拒绝服务漏洞的直接攻击。 2 入侵检测技术简介 入侵检测是通过对计算机网络或系统中的重要文件、关键数据进行收集，并在分析的基础上，从而发现是否有违反安全策略的行为和遭受攻击的现象存在于网络或系统中，对可能危害到系统的机密性、完整性和可用性的行为进行报警和阻断的过程。 入侵检测常用分析技术手段有模式匹配、异常发现和完整性分析：模式匹配是检测网络上每一个数据包，寻找网络攻击特征，与攻击特征相同长度的一组字节从可疑数据包首部取出，并对两组字节进行比较；如果两组字节一样，攻击特征即被检测出来；重复该流程被重复，直到所有的数据字节都与攻击特征进行比较。异常检测是对一段网络操作或中的历史数据进行收集，建立网络正常活动的“活动简档”。将网络当前的活动状况与“活动简档”相比较，检测网络是否偏离了正常行为模式，从而判断是否发生了入侵。完整性分析是通过检查网络中文件的内容、目录及属性是否处于正确状态，有没有被更改。 入侵检测方式可分成基于主机和基于网络的检测：基于主机系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用安全审计记录，并拿日志文件和常见已知攻击的内部数据库进行比较，并把它们收集到它自己的特殊日志以供管理员分析使用。 基于网络的入侵检测是在路由器或主机级别扫描网络分组、审查分组信息、并在一个特殊文件中详细记录可疑分组。根据这些可疑分组，基于网络的入侵检测可以扫描它自己的已知网络攻击特征数据库，并为每个分组指定严重级别，安全组的成员就可以进一步调查这些异常特点。 3 入侵检测技术在计算机网络安全维护中的应用 入侵检测主要通过执行以下任务来实现对计算机网络安全的维护：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。基于网络的入侵检测系统（IDS）一般具有多层体系结构，由 Agent、Console 和 Manager 三部分组成。其基本工作原理是Console负责从代理处收集信息，显示所受攻击信息，使你能够配置和管理隶属于某个管理器的代理。Agent 负责监视所在网段的网络数据包，将检测到的攻击及其所有相关数据发送给管理器。Manager 集中进行统一的日志、报警管理。另外，还负责显示检测到的安全信息及详细的侵报警信息(如入侵者的IP