网络入侵检测原理与研究.docVIP

网络入侵检测原理与研究 　　[摘 要]入侵检测作为一种主动的安全防护手段，为主机和网络提供了动态的安全保障。它不仅检测来自外部的入侵行为，同时也对内部的未授权活动进行监督。本文在研究现有入侵检测技术国内外发展现状及理论的基础上，重点研究了模式匹配、协议分析、数据挖掘和数据融合几种有代表性的检测方法，将其他领域的新技术融入入侵检测中能更加有效的减少匹配检测的计算量、误报率和漏报率。 　　[关键词]入侵检测 网络安全 协议分析 　　在网络技术日新月异的今天，基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。一个组织的自动化程度越高，对计算机系统的依赖性就越高，计算机系统的安全问题就显得越发重要。计算机系统的安全会影响到业务系统的安全，所以任何一个现代组织都不能不重视计算机系统的安全。而任何的网络信息系统，均易遭受各种网络安全风险的威胁。攻击者有能力攻破许多现已开发的网络安全防护技术，亦可能攻破任何将要开发的新技术。计算机网络安全、信息安全已经成为一个国际性的问题。传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更强有力和更完善的安全保护技术。在这种环境下，快速的网络入侵检测和恢复能力对网络安全而言至关重要。近年来，入侵检测技术以其强有力的安全保护功能进入了人们的视野，也在研究领域形成了热点。 　　一、网络信息安全 　　随着计算机技术的不断发展，计算机网络已经成为信息时代的重要特征，被称之为信息高速公路。而随着社会经济、现代科技的不断发展，信息成为了当今社会的最主要的财富和国家战略资源。信息优势的争夺已经越来越成为国家综合国力竞争中的表现。所以想要在信息争夺中占据优势，则必须加强网络信息安全和对抗。随着越来越多的个人和单位介入Internet，尤其是政府、国防、金融、公安和军队等部门广泛运用计算机，以至于社会对计算机的依赖性越??越大，而计算机系统一旦遭到破坏、网络信息一旦被窃取，不仅会导致严重的社会混论、巨大的经济损失，更有甚者会导致国家机密的丢失。因此，确保网络信息的安全即应成为国际社会普遍关注的问题。 　　网络安全问题既包括网络系统的安全，又包括网络信息的安全和机密性。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护，免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。它是一个涉及网络、操作系统、数据库、应用系统、人员管理等方方面面的事情，必须综合考虑。 目前网络和计算机面临的主要的安全威胁有：计算机病毒；木马病毒和核可病毒；缓冲区溢出攻击； 拒绝服务攻击；扫描；嗅探； Web欺骗；IP欺骗；口令破解等。 　　安全具有动态性。安全的概念是相对的，任何一个系统都具有潜在的危险，没有绝对的安全，安全程度随着时间的变化而改变。在一个特定的时期内，在一定的安全策略下，系统是安全的。但是随着时间的演化和环境的变迁（如攻击技术的进步、新漏洞的暴露），系统可能会变的不安全。因此需要适应变化的环境并能做出相应的调整以确保安全防护。美国国际互联网安全系统公司（ISS）认为没有一种技术可完全消除网络中的安全漏洞。系统的安全实际上是理想中的安全策略和实际的执行之间的一个平衡，因此提出了一个可适应网络安全模型ANSM(Adaptive Network Security Model)的P2DR安全模型。P2DR模型就是能适应不断变化的网络环境、发现网络服务器和设备中的新漏洞、不断查明网络中存在的安全隐患等问题而提出的新的网络安全模型。即策略（Policy），保护（Protection），检测（Detection），响应（Response）。 　　该模型是在整体的安全策略的控制和指导下在综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的反应将系统调整到相对最安全和风险最低的状态。P2DR强调在监控、检测、响应、防护等环节的循环过程，通过这种循环达到保持安全水平的目的。P2DR安全模型是整体的动态的安全模型，所以称为可适应安全模型。 　　二、入侵检测 　　入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”（参见国标GB/T18336）。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检