简述入侵检测技术当前的研究热点.docVIP

简述入侵检测技术当前的研究热点 姓名： 学号： 专业：计算机科学于技术 正文： 随着计算机技术和通信技术的迅猛发展，计算机应用日趋广泛与深入，同时也使计算机安全问题日益突出和复杂。现有的各种安全技术和产品可以保证信息系统具有一定的安全性，但由于它们自身的脆弱性，无法保证绝对的安全。入侵检测技术应运而生。 入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。 现在入侵检测技术的研究热点主要集中在以下三个方面： 基于计算机免疫的入侵检测技术； 基于Agent的分布式入侵检测技术； 基于数据挖掘的入侵检测技术。 下面一一介绍这三种主流方面 （1）、基于计算机免疫的入侵检测技术 计算机免疫技术是直接受到生物免疫机制的启发而提出的。作为一项新的技术它已经引起了人们对它地广泛注意。入侵检测足监测计算机网络和系统以发现违反安全策略事件的过程。它作为一种积极主动的安全防护技术,在网络系统受到危害之前拦截和响应入侵所以入侵检測在汁算机安全力面起着非常重要的作用,同时对它的技术要求也就非常得高。针对目前计算机免疫研究主要模拟了免疫检测,而对免疫应答、免疫调整等功能的研究不足以及对检测到“非我”后处理方法的研究还不深入的情况下,本文在分析了现有入侵检测技术和计算机免疫基本原理的基础上,主要研究了计算机免疫系统模型,并在总结丁以前研究人员的工作成果的基础上,提出了本义的主要内容:改善计算机免疫技术中的检测到“非我”后的处理方法并将计算机免疫系统模型运用到入侵检测.摘要工作如下: (1)分析了当前入侵检测的成熟技术以及研究现状。(2)分析了计算机免疫理沦和计算机免疫技术的研究现状。(3)提出了通过进程动态属性定义“自我”和“非我”的方法,并提出的对“非我”的分类方法。(4)将计算机免疫系统模型运用到入侵检测。(5)通过试验分析了基于计算机免疫技术的入侵检测的优越性。 由于模拟了生物免疫系统的相关特性，该模型具有层次性，分布性、鲁棒性、可扩展性和较强的适应性。检测过程具有层次性。由于各个检测单元分布于整个局域网内，检测任务被分担到各个不同的单元上，各单元之间可以利用通信相互协作，具有分布性的特点；同时它又具有鲁棒性和可扩展性，因为某个单元的增加或删除不会影响现有检测单元的配置，且单个检测单元的错误并不会影响整个系统的检测性能。此外它对网络的实时变化会做出相应的调整，如对未知入侵的处理，对在检测期间出现的新“Self”的处理以及对过时入侵模式的处理使其具有较强的环境适应性。 （2）基于Agent的分布式入侵检测技术 随着网络的发展和普及，个人、企业和政府部门对网络的需求急剧增加，同时对网络安全的要求也越来越高，仅仅依赖于防火墙等单一的网络设备并不能完全抵御网络攻击，为弥补网络安全设备的不足入侵检测技术应运而生。各种构架的入侵检测系统，较好地适应了网络技术发展的需要。同时网络入侵检测技术与代理(Agent)技术、神经网络、数据挖掘、数据融合、生物免疫、进化计算技术等相融合，进一步提高了入侵检测系统的性能。 入侵检测系统的发展过程基本上是与入侵者的攻击技术发展同步的，从基于主机的入侵检测系统到基于网络的入侵检测系统，然后发展到分布式入侵检测系统。其间出现了许多入侵检测系统及其产品，有成功的也有失败的。从IDES至IJDIDS，再到GrIDS、AAFID等。由于高级入侵技术呈现出分布性和协作性的特点，要求分布式入侵检测系统要具有智能性、分布性和协同工作的特点。 现有的分布式入侵检测大都采用“分布式数据收集、集中式处理”的体系结构，虽然比“集中式数据收集、集中式处理”的以往的入侵检测系统在性能上和扩展性上有所提高，但是仍然存在以下不足：实时性差：由于数据从收集到传给中央处理器有一段时延，处理器接收到的是数据被收集时的状态。基于过时信息而做出的判断可信度较低。单点失效问题：由于数据是集中进行分析处理的，因此如果入侵者以某种方式针对中央数据分析器进行攻击，将导致整个入侵检测系瘫痪。适应性差：由于IDS是针对专门的系统而开发的，所以很难移植到其他的环境中，而且不同的系统间难以实现互操作。 基于Agent的分布式入侵检测技术主要用到一下技术：1代理技术、AAFID技术、IDA4技术、CIDF框架、错误树分析技术SFT以及由清华大学开发的数据挖掘方法的协同入侵