入侵检测技术的发展方向.DOC

目录 1 引言 1 1.1入侵检测技术成因 1 1.2入侵检测系统的成长 2 2 入侵检测定义与分类 3 2.1入侵检测定义 3 2.2入侵检测技术分析 4 2.3入侵检测的分类 5 3 常用的入侵检测技术方法 6 3.1 神经网络异常检测 6 3.2 概率统计异常检测 7 3.3 专家系统误用检测 7 3.4 基于模型的入侵检测 7 4 入侵检测技术的发展方向 7 4.1 分布式合作引擎、协同式抵抗入侵 8 4.2 智能化入侵检测 8 4.3分布式入侵检测技术与通用入侵检测技术架构 9 4.4应用层入侵检测技术 9 4.5入侵检测技术的评测方法 9 4.6网络安全技术相结合 10 4.7 全面的安全防御方案 10 结束语 11 参考文献 12 计算机网络入侵检测技术的研究 1 引言 1.1入侵检测技术成因 随着计算机网络技术的飞速发展和也能够用以及计算机网络用户数量的不断增加，如何有效地保证网络上信息的安全成为计算机网络的一个关键技术。虽然迄今为止以发展了多种安全机制来保护计算机网络，如：用户授权与认证、访问控制、数据加密、数据备份等。但以上的安全机制已不能满足当前网络安全的需要。网络入侵和攻击的现象仍然是屡见不鲜。尤其是电子商务的应用，使得网络安全问题的解决迫在眉睫，使得从技术、管理等多方面采取综合措施，保障信息与网络的安全已成为世界各国计算机技术人员的共同目标。 为了实现计算机和因特网的安全，传统的安全防御措施，如：加密、身份验证、访问控制等已暴露出了众多的缺陷或漏洞。入侵检测责是信息与网络安全保障中应运而生的关键技术之一。入侵是指未经授权蓄意尝试访问信息、篡改信息，是系统不可靠或不能使用，亦即破坏资源的机密性、完整性和可用性的行为。它的特点是不受时空限制，攻击手段隐蔽而且更加错综复杂，内部作案连接不断。入侵检测以其动态防护特点，成为实现网络安全的新的解决策略。引入入侵检测技术，相当于在计算机系统中引入了一个闭环的安全策略。计算机的多种检测系统进行安全策略的反馈，从而进行及时的修正，大大提高了系统的安全性。 1.2入侵检测系统的成长 　　上世纪90年代中期，商业入侵检测产品初现端倪，1994年出现了第一台入侵检测产品：ASIM。而到了1997年，Cisco将网络入侵检测集成到其设备中，同年，ISS推出Realsecure，入侵检测系统正式进入主流网络安全产品阶段。 　　在这个时期，入侵检测通常被视作防火墙的有益补充，这个阶段用户已经能够逐渐认识到防火墙仅能对4层以下的攻击进行防御，而对那些基于数据驱动攻击或者被称为深层攻击的威胁行为无能为力。厂商们用得比较多的例子就是大厦保安与闭路监控系统的例子，防火墙相当于保安，入侵检测相当于闭路监控设备，那些绕过防火墙的攻击行为将在“企图作恶”时，被入侵检测系统逮个正着。 　　而后，在20001～2003年之间，蠕虫病毒大肆泛滥，红色代码、尼姆达、震荡波、冲击波此起彼伏。由于这些蠕虫多是使用正常端口，除非明确不需要使用此端口的服务，防火墙是无法控制和发现蠕虫传播的，反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测(就是前面提到的滥用检测，将针对漏洞的攻击代码结合病毒特征做成事件特征，当发现有该类事件发生，就可判断出现蠕虫。)，一时间入侵检测名声大振，和防火墙、防病毒一起并称为“网络安全三大件”。 2.1入侵检测定义 入侵检测(Intrusion Detection)技术是安全审核中的核心技术之一，是网络安全防护的重要组成部分。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中能够违反安全策略行为的技术。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，来检测网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和相应入侵。 违反安全策略的行为有：入侵——非法用户的违规行为；滥用——合法用户的违规行为。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反应一直进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。入侵检测的原理如图1所示。 图1 入侵检测原理 应用入侵检测技术，能是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，填入知识库内，以增强系统的防范能力。 2.