网络入侵检测技术总结.docVIP

网络入侵检测技术总结 　　[摘要]入侵检测就是对计算机网络和计算机系统的关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员。一般把用于入侵检测的软件，硬件合称为入侵检测系统(Intrusion Detection System)。入侵检测是计算机安全领域的一个重要技术，也是当前计算机安全理论研究的一个热点。 　　[关键词]入侵 入侵检测 IDS 神经网络 　　中图分类号：TP3 文献标识码：A 文章编号：1002－6908（2007）1120040－01 　　 　　一、入侵检测技术简介 　　James Aderson在1980年首先提出了入侵检测的，将入侵尝试或威胁定义为：潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。入侵(Intrusion)指的就是试图破坏计算机保密性，完整性，可用性或可控性的一系列活动。入侵活动包括非授权用户试图存取数据，处理数据，或者妨碍计算机的正常运行。 　　入侵检测（Intrusion Detection），顾名思义，是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。 　　完成入侵检测功能的软件、硬件组合便是入侵检测系统（Intrusion Detection System，简称IDS）。入侵检测系统包括三个功能部件：提供事件记录流的信息源；发现入侵迹象的分析引擎；基于分析引擎的结果产生反应的响应部件。 　　 　　二、入侵检测的功能及原理 　　一个入侵检测系统，至少应该能够完成以下五个功能：监控、分析用户和系统的活动；检查系统配置和漏洞；评估系统关键资源和数据文件的完整性；发现入侵企图或异常现象；记录、报警和主动响应。 　　因此，入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、入侵识别和响应），提高了信息安全基础结构的完整性。它能够从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 　　一个成功的入侵检测系统不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能为网络安全策略的制定提供指南。更为重要的一点是，它便于管理、配置简单，从而使非专业人员也能非常容易地对网络实施安全保护。入侵检测的规模还能够根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。 　　所以，入侵检测系统的原理就是通过收集网络中的有关信息和数据，对其进行分析发现隐藏在其中的攻击者的足迹，并获取攻击证据和制止攻击者的行为，最后进行数据恢复。从而达到保护用户网络资源的目的。 　　三、入侵检测技术的研究现状 　　入侵检测在近几年来取得了迅速的发展，虽然国外已经推出了一些IDS系统，但是这项技术还远未成熟。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，近年来入侵检测系统常用的入侵检测技术有：统计方法；神经网络；模式匹配；协议分析；状态检测；代理和移动代理技术；攻击树。 　　基于模型推理的入侵检测技术和基于免疫的入侵检测技术一直是近年来的研究热点。基于模型推理的检测技术是根据入侵的行为程序建立一定行为特征的模型，根据这些模型所代表的攻击意图的行为特征，实时检测恶意的异常行为。该方法可以为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动，根据假设的攻击脚本，系统能够检测到非法的用户行为。该方法的优点是对不确定的推理有清晰的数学理论基础，缺点是建模工作量巨大，并且在系统实现时决策器如何有效的翻译脚本也是一个问题。 　　基于神经网络的入侵检测技术是近年来出现的另一个研究热点。该检测技术的关键在于在检测前要用入侵样本对IDS进行训练，使其具备对某些入侵行为进行分类的能力，从而能够正确“认识”各种入侵行为。 　　J.Bonifacio等人通过采用MLP神经网络来分析数据包与入侵签名匹配的结果,得到了较高的正确率。R.Lippmann和R.Cunningham将神经网络与关键字匹配结合起来,正确率也有明显提高。Susan C.Lee和David V. Heinbuch在IDS中引入了一个检测“真实”异常行为的分层神经网络系统，实验结果表明这一系统对于监视特定区域的网络行为有很好的效果；