入侵检测的技术在网络安全中应用研究.docVIP

入侵检测技术在网络安全中的应用研究 引言 随着全球信息化步伐的加快，网络安全变得越来越重要。网络安全是一门涉及计算机科学、网路技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等学科的综合性学科。网络安全指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意原因而遭到破坏、更改、泄露、系统连续可靠正常地运行，网络服务不中断。网络安全从本质上来讲就是网络上的信息安全。从广义来说，凡是涉及网络上的信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。随着科学经济和信息时代的到来，网络与信息安全问题易发与经济发展和社会稳定密切相关，研究和开发高效实用的信息安全技术产品已成为当务之急。目前应用的安全技术，如信息加密、防火墙等可以作为保护网络的第一道防线，但仅有上述不能组织内部攻击，不能提供实时检测等，人们由此提供网络安全的第二道防线———入侵检测技术。 入侵检测技术的简介 入侵检测(Intrusion Detection)是安全审核中的核心技术，是网络安全的第二道防线组成部分。入侵检测过程中收集和分析安全日志、行为、审计、其它可获得的信自、还有系统中主要的关键信息，以检测网络中是否存在违反安全策 略的行为和受到攻击的现象。入侵检测在当今被视为一种积极动态的网络安全防护技术，提供对付内部攻击、外部攻击和错误操作的实时监控保护，在系统受到危害之前及时拦截和响应网络入侵。入侵检测技术是通过执行以下4个步骤和过 程来实现保护的目的:监视、分析网络用户及网络系统活动;网络安全系统构造和弱点的审查和评估;认定反映已知进攻的活动进而相关人员警醒警示;网络系统异常行为的统计分析。入侵检测技术是为保证网络系统的安全保密而设计与实施的一种能够及时查找并报告系统中未经官方或个人授权和意外异常现象的技术，通过审核记录，网络入侵检测系统能辨别出违反规定和用户不愿出现的活动，而达到限制这些违规活动保护系统安全的目的。 入侵检测系统的特点 一个完善的入侵检测系统应具有下列特点: 经济性:为了保证系统安全策略的实施,不能妨碍系统的正常运行,如系统性能等. 时效性:理想情况是在攻击行为发生事前或过程中及时发现攻击企图或行为.如果是事后才发现攻击的结果,必须保证时效性. 安全性:入侵检测系统自身必须安全,否则意味着信息的无效和系统的控制权转移. 可扩展性:体系结构及特征码数据等是可扩充的,在现有机制不变的前提下检测手段能加强或能对新的攻击进行检测.因此,入侵检测系统是防火墙的合理补充,它从计算机网络系统中的若干关键点收集信息,在不影响网 络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护.所以,入侵检测被认为是防火墙之后的第二道安全闸门. 3.入侵检测技术的分类 3.1　按系统所监测的对象分类 基于主机:通过监视与分析主机的审计记录检测入侵.保护的目标也就是系统运行所在的主机. 基于网络:通过在共享网段上对通信数据的侦听采集数据,分析可疑现象.保护的目标是网络的运行. 基于路由器:它主要保护网络基础设施,确保大型网络计算机之间安全、可靠的连接. 3.2　根据采用的检测方法 3.2.1　异常检测(Anomaly detection) (1)特点 异常检测的假设是入侵者活动异常于正常主体的活动.任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为产生的日志信息总结出这些规律,而入侵和误用行为则通常和正常的行为存在严重的差异,通过检查出这些差异就可以检测出入侵. (2)常用的技术方法 鉴于异常入侵检测系统“学习正常,发现异常”的特点,可以在检测系统中大量借鉴其他领域的方法来完成用户行为概貌的学习和异常的检测,常用的技术就有: *基于统计学方法的异常检测系统:用于统计学的方法来学习和检测用户的行为. *基于神经网络的异常检测系统:用于学习算法利用神经网络紧密地模仿用户行为并且根据最近的变化进行调整. *基于数据挖掘技术的异常检测系统:从大量的数据中“浓缩”出一个或一组值来表示对象行为的概貌,并以此进行对象行为的异常分析和检测,利用数据挖掘方法来进行数据的分析和入侵检测. *使用状态机的异常检测系统:状态机可以用来模拟对象的行为过程,异常行为可以很容易在反应在状态机中,并把攻击表示为状态的转移. 3.2.2　误用检测(Misuse detection): (1)特点 误用是英文“Misuse”的中文直译,又称特征检测(Signature-based detection).误用检测技术就主要是通过某种预先定义入侵行为,然后监视系统的运行,并从中找出符合预先定义规则的入侵行为.它通过使用某种模式或者信号标识表示攻击,进而发现相同的攻击.这种方式可以检测许多甚至全部已知的攻击行为.