浅谈网络入侵检测技术.docVIP

浅谈网络入侵检测技术 　　摘要:本文主要阐述了网络入侵检测技术的定义,以及主机的入侵检测系统、基于网络的入侵检测系统、混合入侵监测系统的三种入侵检测系统的分类;接着探讨了网络入侵检测的过程;最后分析了网络入侵检测技术方法。例如:遗传算法、数据挖掘、聚类算法、行为模式、神经网络、智能分布等。 　　关键词:网络入侵检测技术;分类;方法 　　中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 01-0000-01 　　 　　一、入侵检测系统的定义 　　 　　网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。网络安全技术主要有认证授权、数据加密、访问控制、安全审计等。入侵检测技术是安全审计中的核心技术之一,是网络安全防护的重要组成部分。 　　 　　二、入侵检测系统的分类 　　 　　入侵检测系统从不同角度可以分为不同的类别,按照数据来源的不同一般分为基于主机的入侵检测系统和基于网络的入侵检测系统,以及混合入侵监测系统。 　　(一)基于主机的入侵检测系统。基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。它一般以系统日志、应用程序日志等作为数据源,从所在的主机收集信息进行分析。基于主机的入侵检测系统可以确保操作系统不受到侵害,并且由于它保存一定的校验信息和所有系统文件的变更记录,在一定程度上可以实现安全恢复机制。 　　(二)基于网络的入侵检测系统。基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。 　　(三)混合入侵检测系统。它是当前应用最为广泛的入侵检测系统。主机型和网络型入侵检测系统都有各自的优缺点,混合入侵检测系统是基于主机和基于网络的入侵检测系统的结合,两者相互补充,在很大幅度上提升了网络和系统面对攻击和错误时的抵抗力,提供了更加有效的入侵检测和保护措施,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。 　　 　　三、入侵检测过程 　　 　　入侵检测一般分为2个步骤,即入侵相关信息收集和相关信息分析。 　　(一)相关信息收集。相关信息收集的内容包括系统、网络、数据收发及用户活动的状态、行为和特点。这种信息的收集需要在网络系统中的多个不同关键点,如在不同网段和不同主机收集信息,使用这种收集方法可以扩大信息检测范围,同时还可以根据多个不同源发来的信息进行综合比对以提高检测的效果。入侵检测利用的信息一般包括4个方面。即系统和网络日志、目录和文件中的不期望改变、程序执行中的不期望行为、物理形式的入侵信息。 　　(二)相关信息分析。对上述4类收集到的相关信息,一般通过3种技术手段进行分析,即模式匹配、统计分析和完整性分析。其中前2种方法用于实时的入侵检测,而完整性分析则用于事后分析。 　　1.模式匹配。模式匹配就是将收集到的相关信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该方法的优点是只需收集相关的数据集合,可显著减少系统负担,且技术已相当成熟。 　　2.统计分析。统计分析方法首先给系统对象如用户、文件、目录和设备等创建一个统计描述,统计正常使用时的一些测量属性。以测量属性的平均值作为标准与网络、系统的行为进行比较,当检测到行为值在标准之外时,就认为有入侵事件发生。 　　3.完整性分析。完整性分析主要关注某些用户、文件、目录、设备对象的相关属性是否被更改,它能够发现被更改的或被种植木马的应用程序,能识别极其微小的变化。 　　 　　四、入侵检测方法 　　 　　(一)遗传算法。基于遗传算法的最大优点就是高效率地解决非线形的检测数据,而入侵检测目前最大的困难就是数据量大,用户行为特征的准确描述比较困难。而遗传算法不同于数据挖掘,不需要对用户行为进行学习,而且使用遗传算法进行模式库的构建,在整个系统运行一段时间后,可以根据已有的参数决定是否再次运行该算法,来进行模式库的构建,从而提高对新的入侵方式的有效检测。 　　(二)数据挖掘。基于数据挖掘的人侵检测方法,是通过对网络数据和主机系统调用数据的分析挖掘,发现误用检测规则或异常检测模型。具体实现方法是利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式,利用分类算法对用户行为和特权程序的系统调用进行分类预测,利用聚类算法,通过计算和比较记录间的矢量距离,对网络连接记录、用户登录记录进行自动聚类,从而完成对审计记录是否正常的判断工作。 　　(三)聚类算法。基于聚类方法的入侵检测是一种无需指