浅述网络入侵检测技术.docVIP

浅述网络入侵检测技术 　　摘 要：网络安全是一门涉及计算机科学、网络技术的等多门学科的综合科学，传统的网络安全检测技术包括防火墙技术、加密技术、病毒防护技术等，但这些技术实现的却是一种较为被动的防护，其网络安全防护能力远远不能满足安全需求。网络入侵检测技术是近年来发展较快的网络安全技术之一，它具有为系统提供实时的入侵检测的能力，并且能够有效阻止系统内部的攻击。本文简要介绍了入侵检测的概念、入侵检测系统的分类以及入侵检测系统执行的主要任务，并对几种常用的网络入侵检测技术进行了探讨。 　　关键词：概念；分类；执行任务；检测技术 　　一、入侵检测的概念 　　入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检测网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 　　二、入侵检测系统的分类 　　入侵检测系统（Intrusion Detection System，简称IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备，依据不同研究角度，有以下分类方式： 　　基于信息来源不同，可分为基于主机的入侵检测系统、基于网络的入侵检测系统以及分布式入侵检测系统。基于主机的入侵检测系统主要以用户访问主机的行为信息作为信息分析来源，适用于加密和交换环境；基于网络的入侵检测系统以所截获的数据包流量信息作为检测分析来源，在与主机基结合的入侵检测系统中，一般可用于入侵预警；分布式入侵检测系统采用分布架构，其分布在网络不同位置的探测点将收集到得信息发送给中央探测点，以此来判断是否发生入侵。 　　基于检测分析方法不同，可分为滥用检测入侵检测系统与异常检测入侵检测系统。滥用检测，又称为基于规则的入侵检测，主要对已知攻击行为或与已知攻击行为类似的行为进行检测。滥用检测的分析机制依赖于攻击方法或特征库的建立，它能准确的检测到某些特定攻击，但对未知攻击却无能为力。其不足主要体现在以下方面：不能检测未知攻击及攻击变体、已经建立的特征库无法自动获取与更新、当特征库较大时，运行效率低；异常检测，又称为基于行为的入侵检测，是通过建立正常行为模式，通过发现异常行为来检测攻击。 　　三、入侵检测系统执行的主要任务 　　所谓IDS就是一个能够对网络或计算机系统的活动进行实时监测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络安全管理提供有价值的信息。IDS执行的主要任务是：（1）监视、分析用户及系统活动；（2）对系统构造和弱点的审计；（3）识别反映已知进攻的活动模式并向相关人士报警；（4）异常行为模式的统计分析；（5）评估重要系统和数据文件的完整性；（6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 　　四、入侵检测技术 　　1.基于专家系统的滥用检测系统。在滥用检测中，入侵过程模型及其在攻击过程中留下的踪迹是决策的基础。将专家系统用于入侵检测系统，就是依据专家知识定义入侵特征，再将被观察对象与该特征进行比较，分析是否为入侵行为。专家系统主要功能模块如下： 　　检测知识库：用于存放规则；推理机：用于模拟专家思维过程；数据库：用于存放获取及中间过程产生的数据；解释接口：用于对系统行为作出解释并记录推理过程。 　　专家系统采用基于规则的方法检测已知的入侵检测。规则包括前件和后件，前件具有比较、检验事实等功能，后件具有删除、判定事实等功能。专家检测系统功能强大，灵活性过，但也存在以下问题：不能检测未知攻击及攻击变体；知识不能自动更新；当知识数据库较大时，效率较低。 　　2.基于审计追踪的入侵检测。基于审计信息的入侵检测工具以及自动分析工具可以向系统安全管理员报告计算机系统活动的评估报告， 通常是脱机的、滞后的。 　　对攻击的实时检测系统的工作原理是基于对用户历史行为的建模，以及在早期的证据或模型的基础之上。审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测该用户的行为。 　　系统应具备处理自适应的用户参数的能力，能够判断使用行为是合法还是可疑。这种办法同样适用于检测程序的行为以及对数据资源（如文件或数据库）的存取行为。 　　3.基于神经网络的入侵检测技术。基于审计统计数据的入侵检测系统，具有一些先天的弱点，因为用户的行为可以是非常复杂的，所以想要准确匹配一个用户的历史行为和当前的行为相当困难。错发的警报往往来自于对审计