入侵检测相关技术研究.docVIP

入侵检测相关技术研究 　　摘要：首先对入侵检测技术的研究背景进行阐述，然后对入侵检测系统的有关技术、网络入侵检测技术、评价入侵检测系统的指标和CIDF标准框架进行了深入研究。其中对于入侵检测系统详细地讲解了基于主机的入侵检测系统和基于网络的入侵检测系统；对于入侵检测技术深入讲解了误用检测技术、异常检测技术和混合检测技术；对于入侵检测性能指标详细讲解了漏报和误报、系统负荷、检测延迟时间和抗攻击能力。最后对网络入侵检测技术的未来发展方向进行了展望。 　　关键词：入侵检测系统； 入侵检测技术； 性能指标； 体系结构 　　中图分类号：TP393.08 文献标识码：A文章编号：2095-2163（2013）02-0062-04 　　0引言 　　随着互联网的迅速普及与高速发展，互联网已经进入了全球的各个行业，以及普通家庭。可以说，当今的互联网已是无所不在、且高效全能。只是互联网在给人们的生活、工作带来可见便利的同时，如何保证网络信息的安全和网络设备的安全也日益成为当前人们关注的热点与焦点。 　　据不完全统计，全球每20秒就会发生一起黑客事件，且由于网络安全问题，每年只是给美国造成的经济损失就高达100亿美元以上[1]。另据报导可知，信息窃取正以250%的速度增长，并且98%的知名公司都经历了网络入侵事件[2-3]。因此，如何防范网络安全已经成为学术界和工业界一个迫在眉睫的重大问题，而其中一项关键技术就是网络入侵检测技术。 　　1网络入侵检测系统（IDS） 　　当前的网络安全技术，主要有防火墙技术、杀毒软件和入侵检测技术，其中入侵检测技术是防范黑客攻击的主要方式。形象地说，防火墙是网络安全防范的第一道闸门，而入侵检测系统是位于防火墙后面的第二道安全闸门，入侵检测系统的有效性对于网络设备的安全起着至关重要的决定性作用。入侵检测系统检测入侵攻击行为的过程是，首先由数据采集模块将收集到的主机数据或网络数据进行预处理，解析其中关键数据信息，然后将经过预处理的数据传至入侵检测模块，由其根据入侵规则库或机器学习方法分析是否发生了入侵攻击行为，最后将分析判断结果交至响应模块，响应模块再根???安全的危险等级进行所需的相应处理。 　　根据采集数据的不同，入侵检测系统可分为三类，基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）和混合类型的入侵检测系统（HNIDS）[4]。 　　1.1基于主机的入侵检测系统 　　HIDS是通过对主机的审计记录和日志文件进行分析来判断是否发生了入侵行为。如果日志文件中出现了异常的活动记录，则入侵行为可能发生或已经成功入侵了本台计算机。系统检测到入侵行为的发生后，要迅速启动相应的响应程序。而当文件系统发生变化时，HIDS则对新的记录与攻击规则进行匹配，如果匹配成功，则向管理员发出警报，以便采取需要的保护措施。 　　HIDS的优点是监控粒度较细、配置灵活、对网络流量不敏感、无需增加额外的硬件资源等。其缺点是需占用主机的资源，消耗服务器额外的计算资源和存储资源，并且其移植性较差，因此使用范围较为有限。 　　1.2基于网络的入侵检测系统（NIDS） 　　NIDS监听网络中的数据包，对于经过IDS网卡的所有数据包都进行采集，通过协议分析技术，逐层解析由MAC层到传输层的各层数据包，并对各层数据包的头部内容实现了精确分析，且与现有的入侵规则库匹配或者利用机器学习、数据挖掘技术来发现入侵行为。 　　HIDS的优点是检测速度快、实时性较好、系统的隐蔽性高、需要的监测资源较少、可移植性好、且不占用主机资源。但其缺点是，只能监测IDS系统所在的网段，检测粒度较粗，在交换环境中难以进行配置。第2期于海涛，等：入侵检测相关技术的研究智能计算机与应用第3卷 　　1.3混合类型的入侵检测系统（HNIDS） 　　为了弥补基于主机的入侵检测系统和基于网络的入侵检测系统的自身缺点，同时集成了两者各自的优点，并将其有机地结合起来，就形成了混合类型的入侵检测系统。HIDS既可以检测出网络的攻击行为，又能够用发现日志系统和审计记录中的异常行为。 　　2入侵检测技术 　　根据分析数据的方式不同，入侵检测分为误用（Misuse）入侵检测和异常（Anomaly）入侵检测[5]，因其各有优缺点，故在此基础上，提出混合入侵检测技术，实现了两者的取长补短，获得了进一步的完善。 　　2.1误用检测技术 　　误用检测的实现前提是通过对各种已知的攻击行为和入侵手段进行分析，求得攻击行为和入侵行为的特征，由此形成入侵规则库。在进行入侵检测时，首先对主机的日志数据、审计记录或网络数据进行预处理，然后与规则库中的入侵规则进行匹配，如果匹配成功则说明发生了入侵行为。该方面的研究大部分集中在如何提高规则库的精度和提升规则匹配的速度