网络入侵检测系统初析.docVIP

网络入侵检测系统初析 　　【摘 要】本文针对网络入侵检测系统进行了相关的研究。首先对入侵检测的概念做了简要的叙述，其次着重分析了当前的入侵检测技术，对目前网络安全中存在的问题和入侵检测系统的发展趋势做了简明的论述。 　　【关键词】网络安全；入侵检测 　　0.引言 　　随着计算机技术、通信技术和信息技术的飞速发展，各种各样的网络应用已经越来越广泛地渗透到人类地生活、工作的各个领域。特别是通过Internet，人们可以极为方便地产生、发送、获取和利用信息。Internet在给人们带来巨大便利的同时，也产生了许多意想不到的问题，网络安全就是其中一个突出的问题。造成Internet不安全的原因，一方面是Internet本身设计的不安全以及操作系统、应用软件等存在着安全漏洞；另一方面是由于网络安全的发展落后于网络攻击的发展。目前网络中应用最广、功能最强大的安全工具莫过于防火墙，但是防火墙的安全功能是有限的，它很难防止伪造IP攻击。因此，发展一种新的网络安全防御手段来加强网络安全性便成了亟待解决的问题。入侵检测是帮助系统对付网络内部攻击和外部攻击的一种解决方案。入侵检测技术是当今一种非常重要的动态安全技术，它与静态防火墙技术等共同使用，可以大大提高系统的安全防护水平。 　　1.入侵检测的概念及功能 　　入侵就是指任何试图危及信息资源的机密性、完整性和可用性的行为。而入侵检测就是对入侵行为的发觉，它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。通常入侵检测系统（Intrusion Detection System， IDS）是由软件和硬件组成的。入侵检测是防火墙的合理补充，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。另外，它也扩展了系统管理员的安全管理能力，有助于提高信息安全基础结构的完整性，是对原有安全系统的一个重要补充。入侵检测系统收集计算机系统和网络的 　　信息，并对这些信息加以分析，对被保护的系统进行安全审计、监控、攻击识别并做出实时的反应。 　　入侵检测的主要功能包括：（1）监视、分析用户及系统活动；（2）系统构造和弱点的审计；（3）映已知进攻的活动模式并进行相关人士报警；（4）模式的统计分析；（5）要系统和数据文件的完整性；（6）的审计跟踪管理，并识别用户违反安全策略的行为。 　　2.入侵检测的信息来源 　　对于入侵检测系统而言，输入数据的选择是首先需要解决的问题，目前的入侵检测系统的数据来源主要包括：（1）操作系统的审计记录；（2）系统日志；（3）应用程序日志；（4）基于网络数据的信息源；（4）来自其他安全产品的数据源。 　　3.入侵检测系统的基本模型 　　在入侵检测系统的发展过程中，大致经历了集中式、层次式和集成式三个阶段，代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型（Denning模型）、层次化入侵检测模型（IDM）和管理式入侵检测模型（SNMP-IDSM）。 　　3.1 通用入侵检测模型 　　Denning于1987年最早提出一个通用的入侵检测模型（如图2.1所示）。 　　该模型由6个部分组成：（1） 主体（Subject）；（2） 对象（Object）；（3） 审计记录（Audit Records）；（4） 活动简档（Activity Profile）；（5） 异常记录（Anomaly Record）；（6）活动规则。 　　3.2 IDM模型 　　Steven Snapp在设计和开发分布式入侵检测系统DIDS时，提出一个层次化的入侵检测模型，简称IDM。该模型将入侵检测分为六个层次，分别为：数据（data）、事件（event）、主体（subject）、上下文（context）、威胁（threat）、安全状态（security state）。 　　IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。也就是说，它给出了将分散的原始数据转换为高层次有关入侵和被监测环境的全部安全假设过程。通过把收集到的分散数据进行加工抽象和数据关联操作，IDM构造了一台虚拟的机器环境，这台机器由所有相连的主机和网络组成。将分布式系统看成一台虚拟计算机的观点简化了跨越单机入侵行为的识别。IDM也应用于只有单台计算机的小型网络。 　　3.3 SNMP-IDSM模型 　　随着网络技术的飞速发展，网络攻击手段也越来越复杂，攻击者大都是通过合作的方式来攻击某个目标系统，而单独的IDS难以发现这种类型的入侵行为。然而，如果IDS系统也能够像攻击者那样合作，就有可能检测到入侵者。这样就要有一种公共的语言和统一的数据表达格式，能够让IDS系统之间顺利交换信息，从而实现分布式协同检测。北卡罗莱那州立大学的F