网络入侵检测系统综述.doc

网络入侵检测系统综述 熊 炜 摘 要：简要介绍网络入侵检测系统的研究背景，与防火墙的差别，描述了入侵检测的概念、原理和CIDF模型，给出了入侵检测系统的分类和多种入侵检测技术，以及入侵检测系统的发展方向。 关键词：入侵检测系统、CIDF模型、异常检测、误用检测 An Overview on the net Intrusion Detection System Xiong wei Abstract: This paper begins with the brief background of net Intrusion Detection System，the difference from firewall, discusses the conception、principle and CIDF model, summarizes the category and many intrusion detection techniques of IDS, the future development of IDS is also discussed In the paper． Key words: Intrusion Detection System (IDS) 、CIDF model、anomaly detection、misuse detection 随着近年网络技术的发展，基于网络的计算机应用系统已经成为主流。商户、银行与其他商业及金融机构在电子商务热潮中纷纷连入Internet，以政府上网为标志的数字政府使国家机关与Internet互联。以宽带互联为基础的远程教育体系同样需要连入Internet。可以看到，通过Internet实现包括个人、企业与政府的全社会信息共享已逐步成为现实。目前，黑客在网上的攻击活动正以每年10倍的速度增长。因而，保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。入侵检测是网络安全领域中一个较新的课题。从90年代开始就有一些针对具体入侵行为或具体的入侵过程进行的入侵检测研究，1994年以后逐渐出现一些入侵检测的产品，其中比较有代表性的产品有ISS（Internet Security System）公司的Realsecure，NAI（Network Associates，Inc）公司的Cybercop和Cisco公司的NetRanger。现在入侵检测系统已经成为网络安全中一个重要的研究方向。 ? 1????????? 简介 入侵检测的研究最早可追溯到James Anderson在1980年的工作,他首先提出了入侵检测的概念，将入侵尝试(Intrusion attempt)或威胁(Threat)定义为：潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。在该文中，Anderson提出审计追踪可应用于监视入侵威胁。但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问，这一设想重要性当时并未被理解。1987年Dorothy Denning提出入侵检测系统的抽象模型，首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出，与传统加密和访问控制的常用方法相比，IDS是全新的计算机安全措施。 1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫，从而导致了许多IDS系统的开发研制。早期的IDS系统都是基于主机的系统,也就是说通过监视与分析主机的审计记录检测入侵。在1986年为检测用户对数据库异常访问在IBM主机上用COBOL开发的Discovery系统可说是最早期的IDS雏形之一。1988年,Teresa Lunt等人进一步改进了Denning提出的入侵检测模型,并创建了IDES(Intrusion Detection Expert System)，该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想。同年，为了协助美国空军安全官员检测误用，空军基地使用的Unisys大型主机开发了Haystack系统；同时，出现了为美国国家计算机安全中心Multics主机开发的MIDAS(Multics Intrusion Detection and Alerting System)。1990年,Heberlein等提出了一个新的概念：基于网络的入侵检测—NSM(Network Security Monitor)，NSM与此前的IDS系统最大的不同在于它并不检查主机系统的审计记录，它可以通过在局域网上主动地监视网络信息流量来追踪可疑的行为。 1991年，NADIR(Network Anomaly Detection and Intrusion Reporter)与DIDS(