入侵检测系统发展探讨.docVIP

入侵检测系统发展探讨 　　【摘要】本文通过介绍入侵检测系统的发展历程，分析了当前入侵检测系统有待解决的问题及其未来的发展趋势。 　　【关键词】入侵检测；入侵检测系统；网络安全 　　 　　入侵检测技术是一种主动保护自己免受攻击的网络安全技术。入侵监测系统处于防火墙之后，在不影响网络性能情况下对网络活动进行实时检测，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。 　　1.入侵检测的发展历程 　　在20世纪80年代早期，入侵检测就引起了研究人员的关注。1980年4月，James P．Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，第一次详细阐述了入侵检测的概念，提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。1987年，D.Denning提出了第一个入侵检测模型：入侵检测系统专家框架(IDES)。可以检测出黑客入侵、越权操作以及其他种类的非正常使用计算机系统的行为。与此同时，研究者们在IDES的基础上也相继提出了许多入侵检测模型，著名的有Steven R.Snapp的层次化入检测模型IDM等。1990年加州大学戴维期分校的L?T?Heberlein等人开发出了NSM(Network Security Monitor)，第一次直接将网络流作为入侵征兆信息源，从而在不将网络流数据转换成统一格式的情况下监控异常主机。随后，北加利福尼亚州立大学提出了SNMP-IDSM模型，该模型主要是针对近年来日渐猖獗的网络协同攻击而提出的。 　　2.入侵检测系统分类 　　2.1基于网络的入侵检测系统 　　NIDS使用原始网络数据包作为数据源。NIDS通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。它截获的数据包可能是多种协议的数据包，但通常是TCP/IP数据包。 　　2.2基于主机的入侵检测系统 　　NIDS和HIDS的差别在于前者处理整个网络上传输的数据，后者则只关心某一特定主机本身的事件。HIDS的目标是对给定主机的用户，系统活动和攻击进行监视，检测和响应。 　　2.3 混合型入侵检测系统 　　混合型入侵检测系统融合了HIDS与NIDS的特点，对基于主机和网络的入侵检测设备进行综合管理，在逻辑上实现了网络和主机的互补。 　　3.入侵检测技术原理 　　从原理角度，入侵检测技术可以分为两类：异常入侵检测和误用入侵检测。前者主要根据非正常行为和计算机资源的非正常使用检测出入侵行为，后者则是根据已知的入侵模式来检测入侵。两类技术各有长短。前者的一个主要前提是入侵活动是异常活动的子集，当出现具有入侵性而正常的行为和不具入侵性而异常的行为这两种情况时，就不可避免地造成误判，尤其是第一种情况下造成的漏检，会使得入侵绕过IDS。后者的性能则依赖于模式库，因此它只能够检测出已知的弱点，适应性和扩展性都比较差。 　　4.入侵检测系统有待解决的问题及发展趋势 　　入侵检测系统作为网络安全防护的重要手段，有很多地方值得进一步深入研究。目前IDS还存在着问题，有待于进一步完善。 　　4.1误/漏报率高 　　IDS的高误报率是由其检测精度过低造成的，其常用的检测方法有特征、异常、状态检测和协议分析等，而这些检测方式都存在缺陷，针对大规模的组合式、分布式攻击还没有较好的方法和解决方案。比如，异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。错误的报警信息使得管理员耗费大量的时间来鉴别错误报警中的真正的攻击，造成许多企业都对报警信息置之不理，系统无法发挥作用，浪费了资源和管理员的精力。 　　4.2产品适应能力差 　　当前入侵手段的综合化与复杂化，使得入侵者在实施入侵或攻击时往往同时采取多种攻击手段，以保证入侵的成功率，通过一定的技术，可掩盖攻击主体的源地址及主机位置，同时使用隐蔽技术可在攻击实施的初期掩盖攻击或入侵的真实目的。因此，这就需要入侵检测产品能动态调整，以适应网络安全防护的需求。 　　4.3缺少主动防御能力 　　检测是被动且功能有限的技术，IDS缺少主动防御功能。由于IDS采用了预设置和特征分析工作原理，在特征规则检查的更新方面，总是落后于攻击手段的更新。 　　4.4缺乏准确定位和处理机制 　　IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。在发现攻击事件时，只能关闭网络出口和服务器的少数端口，但这样会影响其他正常用户的使用，缺乏有效的响应处理机制。 　　4.5 性能普遍不足 　　随着高速网络的发展，在大流量冲击、多IP分片