入侵检测系统发展简述.docVIP

入侵检测系统发展简述 　　摘要：入侵检测系统是目前信息安全系统中的一个重要组成部分，该文简述了其二十多年的主要发展历程，对其使用的技术以及未来的发展方向进行了简要介绍。 　　关键词：入侵检测；入侵检测系统；IDES；DIDS 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)34-1942-02 　　Review on the Development of Intrusion Detection System 　　MA Jun 　　(School of Electronics and Information,Jiangsu University of Science and Technology,Zhenjiang 212003,China) 　　Abstract: Intrusion detection system is one of the critical compositions in information assurance system. In this paper we give a review of the development of the intrusion system in that 20 years. We also take a brief introduction on the intrusion detection techniques and the development in the future. 　　Key words: intrusion detection; intrusion detection system;IDES;DIDS 　　 　　1 引言 　　在当前的信息时代，随着互联网技术的高速发展，计算模式由传统的以单机为主的模式向基于网络的分布式模式转化，而由此引发的网络入侵的风险性也随之大大增加，网络安全与信息安全问题成为了人们高度重视的问题。 　　早期对于网络安全主要采取的是保护的手段，其核心思想是构建一个绝对安全的系统，所采取的主要技术手段有数据加密、认证授权、访问控制、安全审计、安全内核等，但是这些技术存在有以下不足： 　　1) 设计和实现绝对安全的系统是不可能的，即不可能构建绝对安全的系统，同时，对于已经投入使用的系统，将其升级为“安全”的系统也是代价极高且不可能实现的； 　　2) 数据加密方法有其自身的弱点，同时，密码有可能丢失或被有入侵企图的用户破译； 　　3) 即便是一个真正安全的系统，也无法阻止系统的合法用户滥用授权； 　　4) 对于访问控制策略，系统实施的访问控制策略的层次与系统的效率成反比关系，即访问控制机制越严格，系统的效率就越低。 　　因为保护手段存在有上述种种的局限性，所以近年来，在重视保护技术发展的同时，入侵检测技术得到了人们更多的关注，得到了长足的发展。 　　2 入侵检测系统的发展历程 　　入侵检测技术就是采取技术手段发现入侵和入侵企图，以便采取有效的措施来堵塞漏洞和修复系统，使用入侵检测技术具有入侵检测功能的网络安全系统称为入侵检测系统。 　　2.1 入侵检测概念的提出 　　1980年，James Anderson在为美国空军所做的技术报告中首次提出了入侵检测的概念，提出可以通过审计踪迹来检测对文件的非授权访问，并给出了一些基本术语的定义，包括威胁、攻击、渗透、脆弱性等等。 　　Anderson报告将入侵划分为外部闯入、内部授权用户的越权使用和滥用三种，同时提出使用基于统计的检测方法，即针对某类会话的参数，例如连接时间、输入输出数据量等，在对大量用户的类似行为作出统计的基础上得出平均值，将其作为代表正常会话的阈值，检测程序将会话的相关参数与对应的阈值进行比较，当二者的差异超过既定的范围时，这次会话将被当作异常。 　　Anderson报告实现的是基于单个主机的审计，在应用软件层实现，其覆盖面不大，并且完整性难以保证，但是其提出的一些基本概念和分析，为日后入侵检测技术的发展奠定了良好的基础。 　　2.2 入侵检测模型的建立 　　1987年，Dorothy E. Denning在她的论文《An intrusion-detection model》中首次提出了入侵检测系统的抽象模型，称为IDES系统，并且首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。 　　Denning所提出的模型是一个通用的检测模型，其不依赖于特定的系统和应用环境，也不假定被检测的攻击类型。在此之后开发的IDS系统基本上都沿用了这个结构模型，可以用图1表示Denning提出的模型。 　　Denning所提出的模型采用基于规则的模式匹配进行检测，根据主机审计记录数据，生成有关系统的若干