入侵检测论文xxx20090xx.doc

《入侵检测技术》论文 课程名称： 　　　　《入侵检测技术》 论文题目： 入侵检测技术论文 X X： XXX系XX班（你话尼？） 专 业： 系统工程 年 级： 　　 2009级 学 号： xxx20090xx 学生姓名： lei sh 入侵检测论文 随着Internet高速发展，个人、企业以及政府部门越来越多地依靠网络传递信息, 然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。这学期我们开设的这门《入侵检测技术》课程无疑为我们了解这一热点问题提供了很好的认识途径和初步了解这一技术。在课程学习即将结束时，结合课堂学到的知识从以下几方面谈谈对入侵检测技术的认识： 一、入侵检测系统的背景 随着计算机网络的飞速发展，网络通信已经渗透到社会经济、文化和科学的各个领域；对人类社会的进步和发展起着举足轻重的作用，它正影响和改变着人们工作、学习和生活的方式。然而，网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。因此，研究各种切实有效的安全技术来保障计算机系统和网络系统的安全，已经成为刻不容缓的课题。但很多这些安全技术存在不少缺陷，而入侵检测技术是一种动态安全技术，它主动地收集包括系统审计数据，网络数据包以及用户活动状态等多方面的信息；然后进行安全性分析，从而及时发现各种入侵并产生响应。所以，入侵检测技术就此迅速发展起来了。 二、入侵检测系统的概念、工作模式和组成构件 （一）基本概念 　　 入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。 （二）工作模式 入侵检测可分为实时入侵检测和事后入侵检测两种。 实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及 HYPERLINK /view/3406239.htm \t _blank 神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施 HYPERLINK /view/185060.htm \t _blank 数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是 HYPERLINK /view/315045.htm \t _blank 管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。 （三）组成构件通用的入侵检测系统模型主要由以下几大部分组成： 1.数据收集器（探测器）：主要负责收集数据。探测器的输入数据包括可能包含入侵行为线索的系统数据。比如说网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起来，然后发送到检测器进行处理。 2.检测器（分析器或者引擎）：负责分析和检测入侵的任务，并发出警报信号。 3.知识库：提供必须的数据信息支持。例如用户历史活动档案，或者是检测规则集合等。 4.控制器：根据警报信号，人工或自动做出反应动作。 另外，绝大多数的入侵检测系统都会包含一个用户接口组件，用于观察系统的运行状况和输出信号，并对系统进行控制。 三、入侵检测系统弥补了防火墙的哪些不足 　 防火墙是要保护的网络或系统与外界之间的一道安全屏障。它通过加强网络间的访问控制，防止外部用户非法使用内部网的资源，从而达到保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取的目的。它规定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务，以及哪些外部服务可以被内部人员访问。 但防火墙只是一种被动的防御技术，它无法识别和防御来自内部网络的滥用和攻击，比如内部员工恶意破坏、删除数据，越权使用设备，也不能有效防止绕过防火墙的攻击，比如公司的员工将机密数据用便携式存储设备随身带出去造成泄密，员工自己拨号上网造成攻击进入等。 入侵检测技术作为一种主动防护技术，可以在攻击发生时记录攻击者的行为，发出报警，必要时还可以追踪攻击者。它既可以独立运行，也可以与防火墙等安全技术协同工作，更好地保护网络。 四、入侵检测系统的分类以及各自的优缺点 （一）按照信息源的分类 从数据来源看，入侵检测通常可以分为两类：基于主机的入侵检测和基于网络的