网络入侵检测技发展趋势.docVIP

网络入侵检测技术发展趋势 　　(青海广播电视大学青海西宁810008) 中国论文网 /4/viewhtm　　摘要网络安全需要多层次系统的管理，网络安全的目标是保护核心资产完整性，将可能发生的损失减到最小，投资回报率最大化，确保业务的连续运行。从IPS到IMS，增加了管理的概念，可以帮助用户建立一个动态的纵深防御体系，从整体上把握网络安全。 　　关键词IDS；IPS；IMS；网络安全管理 　　 　　随着计算机网络的飞速发展，网络安全风险系数不断提高，曾经作为最主要安全防范手段的防火墙，已经不能满足人们对网络安全的需求。IDS(入侵检测系统)是一种网络安全系统，当有恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。专业上讲IDS就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。我们做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。不同于防火墙的是：IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。 　　 　　一、入侵检测系统(IDS)概念?? 　　 　　入侵检测的定义为：发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为三个步骤：信息收集、数据分析、响应。 　　 　　二、网络入侵检测技术的发展?? 　　 　　网络入侵检测技术发展大致经历了三个阶段：?? 　　第一阶段：入侵检测系统(IDS)能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。 　　第二阶段：入侵防御系统(IPS)，相对与IDS比较成熟的技术，IPS还处于发展阶段，IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术，可以主动的、积极的防范、阻止系统入侵，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断，这样攻击包将无法到达目标，从而可以从根本上避免攻击。 　　第三阶段：入侵管理系统(IMS)，IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。 　　IDS作为网络安全架构中的重要一环，其重要地位有目共睹。随着技术的不断完善和更新，IDS正呈现出新的发展态势，IPS(入侵防御系统)和IMS(入侵管理系统)就是在IDS的基础上发展起来的新技术。 　　 　　三、IDS的功能与缺陷?? 　　 　　IDS本质上是一种监听系统，它依照一定的安全策略，对网络与系统的运行状况进行监测，尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果，以保证信息系统的机密性、完整性和可用性。 　　 　　1、IDS的传统优势?? 　　(1)整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件。 　　(2)对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。 　　(3)独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证。 　　(4)同一网段或者一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低。 　　 　　2、IDS的缺陷?? 　　(1)被动防御的监听方式限制阻断。目前IDS只能靠发阻断数据包来阻断建立在TCP基础上的攻击，对于建立在UDP基础之上的入侵则无能为力。 　　(2)基于特征的入侵检测技术落伍。由于缺少信息管理，难于抵挡一些欺骗工具的攻击和渗透。 　　(3)误报与漏报率高。有些IDS产品每天会产生大量的异常报告，其中绝大多数属于非攻击行为，需要具有相当专业水准的网络安全管理员进行甄别。 　　 　　四、IPS研究与分析?? 　　 　　IPS是针对IDS不能提供主动拒绝的特点而提出的一种新的安全技术，主要具有以下优点： 　　 　　1