入侵检测系统的现状分析.docVIP

入侵检测系统的现状分析 　　摘要：随着计算机入侵现象的日益增多，引发了大家对网络安全的重视。而入侵检测系统能对网络进行实时监控并及时预警，得到了大家的关注与研究。文中概括了入侵检测系统的概念，对入侵检测系统的发展和分类进行分析比对，最后对入侵检测系统的现状进行调查和综合分析，让大家更深入地认识入侵检测系统的现状及未来发展方向。 　　关键词： 入侵检测系统；分类；现状；分析 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）22-5061-03 　　计算机的广泛应用以及网络的大范围普及，使得入侵计算机的现象日益增多，人们对网络安全问题也越来越重视。怎样能提前检测到计算机被入侵，同时还能对此入侵行为进行预警，来保护计算机系统安全呢？这是大家急待解决的问题。正因为此，越来越多的人加入到这一研究领域上来，研究提出了入侵检测系统。 　　1 入侵检测系统现状分析 　　1.1 什么是入侵检测系统 　　入侵检测系统，简称为IDS，是从英文Intrusion Detection System而得来的。它是一种能对网络内部或者网络进出进行实时监控的系统。一时发现有攻击企图或攻击行为等一些非常行为，IDS会相应的发出警告或提示，来保证网络安全。由于传统的防火墙一般都采用静态防御措施，缺乏主动的实时的预警功能，对于深层攻击也力不从心。而IDS却可以对入侵行为做出积极的实时响应，对那些绕过防火墙的攻击，可以轻松截获，所以有人说IDS是在防火墙之后的第二道安全大门，它是对防火墙的有效补充。举例来说，若防火墙是这个房屋的门禁系统，那么IDS就相当于是这个房屋的监视系统。 　　1.2入侵检测系统的发展 　　IDS最早出现在1980年4月， 在本领域大家将在1980年由James P. Anderson发表的篇名为《Computer Security Threat Monitoring and Surveillance》的文章作为入侵检测概念的最早起源。但这只仅仅一个概念的起步，到80年代中后期在论文《An Intrusion Detection Model》中，Dorothy Denning等人给出了入侵检测专家系统，简称为IDES，如图1，被认为是入侵检测的抽象模型。由此IDS发展成为IDES，奠定了入侵检测的两大研究方向为异常检测和滥用检测。 　　到了1990年，Herberlein等在IDES模型的基础上研究发明了NSM，这是被大家认为是真正意义上的首个入侵检测系统。在此之后，各大知名厂商加快对入侵检测系统的研究，相继出现了入侵检测的商业产品，IDS逐步进入到网络安全方向的商业产品阶段。 　　1.3入侵检测系统的分类 　　自从入侵检测技术开始应用之后，入侵检测系统即IDS被应用在各个领域，主要是用来对网络进行监测。大家根据不同的分类标准，把入侵检测系统分成了各不相同的类别[1]。 　　1.3.1根据检测对象来分： 　　检测对象，即要检测的数据来源，根据IDS所要检测的对象的不同，可将其分为基于主机的IDS和基于网络的IDS。 　　基于主机的IDS，Host-based IDS，行业上称之为HIDS，系统获取数据的来源是主机。它主要是从系统日志、应用程序日志等渠道来获取数据，进行分析来判断是否有入侵行为，来保护系统主机的安全。 　　基于网络的IDS，Network-based IDS，行业上称之为NIDS，系统获取数据的来源是网络数据包。它主要是用来监测整个网络中所传输的数据包并进行检测与分析，并加以识别，若发现有可疑情况即入侵行为立即报警，来保护网络中正在运行的各台计算机。 　　1.3.2根据系统工作方式来分 　　根据系统的工作方式来分，可以将入侵检测系统分成是在离线入侵检测系统和线入侵检测系统两种。 　　在线入侵检测简称为IPS，一旦发现有入侵的可能就会立即采取措施，立即把入侵者与主机的连接断开，并收集证据和实施数据恢复。这个在线入侵检测的过程是在循环不停歇地进行着的。 　　离线入侵检测，判断用户是否具有入侵行为是依据计算机系统对用户操作所做的历史审计记录，如果发现有入侵就断开连接，并即时将入侵证据进行记录和同时进行数据恢复。 　　1.3.3根据每个模块运行的分布方式来分 　　这种分类标准是按照系统的每一个模块的运行的分布方式的不同来进行划分，可以把IDS分为集中式入侵检测系统和分布式入侵检测系统[2]。 　　集中式入侵检测系统，比较单一，效率较高，它是在一台主机上进行所有操作，如数据的捕获、数据的分析、系统的响应等均在一台主机上进行。 　　分布式入侵检测系统，比较复杂。在该系统中，网络范围较大且数据流量较大，在布置IDS时会考虑到在不同的层次、不同的区域、多个点上进