入侵检测系统研究分析.docVIP

入侵检测系统研究分析 　　摘要：入侵检测是保障现代网络安全的关键技术之一。对于像军队这样对安全要求很高的网络，入侵检测技术以及系统将会起到至关重要的作用。本文对入侵检测的基本概念、方法以及发展趋势进行了分析与研究。 　　关键词：入侵检测；网络安全；网络攻击 　　中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)25-1434-02 　　The Analysis of Intrusion Detection System 　　ZHOU You, MU Xiao-ke 　　(Chongqing Communication Institute,Chongqing 400035,China) 　　Abstract: Intrusion detection is one of the key technology to ensuring network security, especially in military network. The basic theory, detection methods and its trend are studied in this paper. 　　Key words: intrusion detection; network security; network attacking 　　随着计算机以及网络的迅猛发展，系统自身的安全问题也凸显出来，为了更好的保护系统的安全，我们需要采用不同的技术措施和手段来对系统进行检测和监控，现如今已经有许多的防御技术，如数字签名，数据加密，防火墙以及各种杀毒软件等，这些都是保障系统安全的手段。但在使用的过程仍然存在各种问题，各种工具的使用存在着一种局限性，有的在使用性上就存在很大问题。例如杀毒软件就是一种被动的防御。再有就是系统本身就存在各种各样的漏洞，而且有时候为了系统的使用的方便，所以从设计上就是从简单化开始，所以设计出绝对安全的系统是不可能的。所以由于系统不可避免的存在在漏洞，保护系统安全得到另一种技术也就应运而生，那就是入侵检测技术。 　　1 入侵检测系统概述 　　入侵检测(Intrusion Detection)，顾名思义，便是对入侵行为的发觉。是为了保证计算机系统的安全而设计配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System．简称IDS)。入侵监测系统处于防火墙之后对网络活动进行实时检测，许多情况下由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和防火墙、路由器配合工作 IDS扫描当前网络的活动，监视和记录网络的流量，从而根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。 　　2 入侵检测方法 　　入侵检测根据其采用的技术可分为：异常检测系统和误用检测系统。根据系统所监测的对象分为：基于主机的入侵检测系统和基于网络的入侵检测系统。根据系统的工作方式分为：离线检测系统和在线检测系统。离线检测系统是非实时工作的系统。它在事后分析审计事件，从中检查入侵活动。在线检测系统：在线检测系统是实时联机的检测系统。它包含对实时网络数据包分析，实时主机审计分析。根据体系结构分为：集中式入侵检测系统和分布式入侵检测系统。集中式入侵检测系统和分布式入侵检测系统的主要区别在于分析部件而不是数据收集部件。整个系统的分析部件是位于单台主机上的称为集中式系统；分析部件分布于不同的主机上称为分布式系统。根据对入侵的反应分为：主动式入侵检测系统和被动式入侵检测系统。如果入侵检测系统在检测到入侵时采取了积极的措施。如关闭服务程序，就称该系统为主动式入侵检测系统。反之，如果它只是产生了一些警报信息就称为被动式入侵检测系统。而目前常用的入侵检测方法就是异常检测和误用检测。 　　异常检测方法的基本思想是入侵活动与正常活动有比较明显的差别，异常检测系统通常根据用户或程序的正常行为进行统计分析，建立用户或程序的正常行为轮廓。用户或程序的轮廓通常定义为各种行为参数及其阀值的集合。用于描述正常行为的范围。如果检测阶段观察到的行为与己知的正常行为轮廓差异较大（高于某个设定的阀值），则将当前行为判决为异常来处理。异常检测方法的关键在于如何描述及建立系统的正常行为轮廓。异常检测方法由于不需要对每种入侵行为进行定义，能有效检测未知的新攻击方式；由于正常用户和网络的行为变化很大，系统的误报率较高。异常检测方法需要大量的系统事件记录“训练集”