入侵检测与防范技术（IDSIPS）综述与分析.doc

入侵检测与防范技术（IDS/IPS）综述与分析 卓雪君 (清华大学 计算机科学与技术系, 北京市 100084) 摘要：本文从入侵检测/入侵防范的概念入手，对两者的技术特点，原理进行了详细的分析，进而讨论了入侵检测和入侵防范之间的关系。并在此基础上对入侵检测/入侵防范产品进行了调研，着重对开源IDS软件snort进行了介绍。最后给出了一系列反入侵检测技术，并提出了入侵检测/入侵防范技术所存在的问题以及发展趋势。 关键字：入侵检测系统、入侵防范系统、安全 Intrusion Detection System and Intrusion Prevention System: A Survey Zhuo Xue-Jun Dept. of Computer Science and Technology, Tsinghua University, Beijing 100084, China Abstract：Starting from the concept of Intrusion Detection and Intrusion Protection, this article presents a detailed analysis of their technological characteristics and principles, and then discusses their relationships. Based on this, the article gives a survey of the intrusion detection/protection products and put the focus on the open-source IDS (Intrusion Detection System) software snort. At last, a series of anti-intrusion detection techniques are introduced, as well as some existing problems and future trend of the intrusion detection/protection technology. Key Words：Intrusion Detection System ; Intrusion Prevention System ; Security 计算机安全逐步成为一个国际化的问题，每年全球因为计算机安全系统被破坏而造成的经济损失也在不断飙升。对于企业、机关乃至个人来说，如何保护自身的安全不受到黑客的攻击成为了一个现实而至关重要的问题。传统的网络安全防范工具是防火墙，它是一种用来加强网络之间访问控制的特殊网络互联设备，通过对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。防火墙能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。但是防火墙不能防止来自网络内部的攻击，而事实证明往往大部分的攻击都是来自网络内部，此外由于防火墙性能的限制使得它不具备实时监控入侵的能力。在这个需求背景下，入侵检测技术乃至入侵防范便应运而生，可以弥补防火墙的不足，为网络提供实时的监控，并结合其他的网络安全产品，在网络系统受到威胁之前对入侵行为做出实时反应。 IDS/IPS技术介绍 入侵指的是破坏目标系统资源的完整性、机密性或可用性的一系列活动，入侵检测系统所检测的入侵行为不包括物理入侵，而是仅包括从系统内部或者外部发起的，尝试或者实施对系统资源的非授权访问、操纵或破环的行为[1,2]。 入侵检测系统IDS(Intrusion Detection System)是通过收集网络系统信息来进行入侵分析的软件与硬件的智能组合。对IDS进行标准化工作的两个组织分别是作为国际互联网标准的制定者IETF的Intrusion Detection working Group(IDWG，入侵检测工作组)和Common Intrusion Detection Framework(CIDF，通用入侵检测框架)。 入侵防范系统IPS(Intrusion Prevention System)的功能是不仅能实时检测网络信息，发现识别出入侵信息，主动智能进行防御。如一旦发现有攻击行为，立即相应主动切断连接。 IDS和IPS都属于网络入侵检测技术，两者在技术应用上有着很多相同点，但其防御手段却有着很大的区别。 入侵检测的基本模型 从1984年到1986年间，乔治敦大学的Dorothy Denning[3]和SRI/CSL(SRI公司计算机科学实验