基于集成性协同性的计算机网络入侵检测系统模块研究.docVIP

基于集成性协同性的计算机网络入侵检测系统模块研究 　　摘要：入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。为了提高入侵检测系统的性能，本文将集成性和协同性从而达到优化的思想引入到入侵检测系统的实现中。 　　关键词：集成性；协同性；计算机网络入侵 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)15-20ppp-0c 　　 　　Based on the Synergistic Integration of the Computer Network Intrusion Detection System Module Study 　　HU Rong1, ZHANG Yong2 　　(1.Guizhou Institute of Finance and Economics Network Center,Guiyang 550004,China;2.Guizhou Institute of Finance and Economics Institute of Information,Guiyang 550004,China) 　　Abstract:Intrusion Detection as a proactive security protection technology, provides an internal attacks, external attacks and misuse of real-time protection, the network system at risk and respond to intercept before the invasion. In order to improve the performance of intrusion detection system, the paper will be integrated and coordinated to achieve optimal thinking into the intrusion detection system in the realization. 　　Key words:integrated; Coordinated;Computer network invasion 　　 　　1 引言 　　 　　入侵检测系统(Intrusion Detection System，简称IDS)作为一种主动的信息安全保障措施，是对防火墙的必要补充，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。本文在对现有的入侵检测系统进行分析和研究的基础上，在入侵检测系统中立足于方法和机制上的集成性、协同性，从而达到优化的思想引入到入侵检测系统中，也就是基于多种检测方法的入侵检测系统，对不同的检测方法进行优化、集成和协同，从而尽可能的使入侵检测系统保持健壮性、容错性、适应性、可扩展性，使网络系统真正获得较佳的结果。 　　 　　2 网络入侵检测系统分析模块 　　 　　协议分析模块主要是针对特定的攻击行为所表现出来的网络特征进行分析的。协议分析利用网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有数据包。采用协议分析技术的 IDS 能够理解不同协议的原理，由此分析这些协议的流量，来寻找可疑的或不正常行为。对每一种协议，分析不仅仅基于协议标准，还基于协议的具体实现，因为很多协议的实现偏离了协议标准。协议分析技术观察并验证所有的流量，当流量不是期望值时，IDS 就发出告警。协议分析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到己知和未知攻击方法。状态协议分析就是在常规协议分析技术的基础上，加入状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为攻击行为包含在多个请求中，此时状态协议分析技术就显得十分必要。 　　协议分析和状态协议分析技术与模式匹配技术相比，具有如下的优点：①性能提高：协议分析利用己知结构的通信协议，与模式匹配系统中传统的穷举分析方法相比，在处理数据帧和连接时更迅速、有效。②准确性提高：与非智能化的模式匹配相比，协议分析减少了误警和漏警，命令解析和协议解码技术相结合，在命令字符串到达操作系统或应用程序之前，模拟命令字符串便执行，以确定它是否具有恶意。基于状态的分析能做到当协议分析入侵检测系统引擎