入侵检测技术的研究的现状.docVIP

入侵检测技术的研究的现状 　　摘 要 近年来计算机网络技术快速发展，计算机网络用户数量持续增长，如何有效地实现网络信息安全成为计算机网络难题之一。虽然迄今为止已实现了多种安全机制保护计算机网络，入侵网络和攻击计算机资源信息问题仍然给众多计算机用户带来困扰。入侵检测技术是网络信息安全保障与防护中应运而生的关键技术之一。 　　关键词 入侵检测技术；网络信息安全防护；入侵检测系统 　　中图分类号TP39 文献标识码A 文章编号 1674-6708（2013）103-0223-02 　　入侵检测技术，可以理解为识别或检测针对计算机网络资源以及信息的不合法意图和行为，并且对此行为做出响应的过程。能够执行并完成以上功能的独立系统就是入侵检测系统 （Intrusion Detection System，以下简称IDS）。IDS可以识别技术未授权对象入侵系统的企图或行为，同时检测授权对象对计算机系统资源和信息的非法操作。 　　有效的IDS，应做的到如下几点要求。首先可以让计算机系统管理员时刻掌握网络系统的任何变更，其次应该能够为计算机网络安全策略提供帮助指南，再次，它能够做到管理配置方便简单，最后IDS还可以根据安全需求、系统构造以及网络威胁变更而改变。 　　1 入侵检测技术的类别 　　根据检测技术类型可划分为异常行为检测技术类型和漏洞检测技术类型。根据异常或者不合法行为和使用计算机资源信息的情况检测入侵的技术类型被称为异常入侵攻击检测。漏洞入侵检测是利用已知系统和应用软件的漏洞攻击方式检测入侵。 　　根据IDS结构类型区分入侵检测技术，则有以下几种类别：基于主机的入侵检测、基于网络的入侵检测以及这两种技术的混合入侵检测方式。基于主机的入侵检测技术主要是根据IDS所在主机的统计数据和系统日志识别检测可疑事件。基于网络的入侵检测则主要根据网络管理协议、协议分析、网络流量等信息检测入侵。混合入侵检测是将以上两种入侵检测技术结合在一起。 　　根据IDS控制布局类型可分为集中式入侵检测和分布式入侵检测。集中式入侵检测的定义是将局域网内每个计算机收集的数据汇总到中央计算机进行集中批量处理。与此相对应，运用多个节点或多个中央处理器共同合作检测被监视的计算机就是分布式IDS。 　　根据系统对入侵攻击的响应方式可分为主动入侵检测和被动入侵检测。主动IDS在检测到入侵攻击信息后，能够立即实施预先定义的措施，包括自动修补本机漏洞、强制违法用户退出本机以及关闭受保护的相关服务等响应措施。与主动IDS不同的是被动IDS在检测或识别出对网络资源或本机信息的入侵攻击后只是向网络系统安全管理员产生报警信息警告。 　　2 入侵检测技术基本结构 　　2.1信息收集 　　信息收集是入侵检测技术的第一步。一般来说，IDS通过以下方式获得信息。 　　第一种方式是通过网络检测数据包报文收集IDS所需信息。但是这样做的缺点是只能够检测到本系统所在机器的报文，将网卡设置为混杂模式就可以解决这一问题。 　　第二种方式是把IDS模块安装在主机上，由IDS模块负责收集本主机上的信息，常用的信息包括系统调用、特定进程信息、系统日志、特定程序日志等。 　　在具体的计算机网络应用中，以上两种获得信息的方式是合作完成入侵检测的。 　　2.2 信息分析 　　信息分析是入侵检测技术的第二步。IDS中的知识库负责记录事先定义的特定安全策略。IDS在完成第一步即收集到所需的相关信息后，将这些信息与知识库中所有的安全策略逐一对比，IDS就是通过这种方法检测出收集到的信息中是否包含违反安全策略的行为。 　　关于IDS定义知识库的方法，通常做法是查看第一步网络或主机收集到的信息中是否含有特定的入侵攻击特征。IDS知识库能够定义了哪些种类的报文包含入侵攻击信息。 　　IDS的核心技术是构建知识库，其目的是准确定义入侵行为，这是IDS与其他行为管理软件的不同之处。虽然它们都可以监视网络信息和行为，但是IDS包含记录入侵攻击特征信息的知识库。攻击特征的准确性直接决定了IDS检测技术的准确率。 　　IDS一般应用统计分析或者模式匹配进行实施入侵检测，应用完整性分析进行事后分析。这三种方法都可以对收集到的系统数据、网络数据、及用户活动状态和行为数据等信息进行深度挖掘分析。 　　2.3 结果响应 　　在完成收集信息和信息分析之后，入侵检测的第三个步骤是结果响应。IDS检测到入侵攻击信息后命令控制台按照系统中定义的相应的结果响应采取对应的防护安全措施，可以是IDS主动响应安全防护，包括：防止或阻止攻击、更新路由器和防火墙配置、中断相应进程、终止或中断网络连接以及更新重要文件属性等措施，也可以是IDS被动响应安全防护，如：记录入侵攻击事件或只是发出警告。 　　3 入侵检测技术现有的