入侵检测在网络安全中的应用问题.docVIP

入侵检测在网络安全中的应用问题 摘要:信息技术发展十分迅速,人们越来越重视计算机互联网的安全问题,本文结合具体的实际情况,从网络入侵方式入手,分析了入侵检测定义与分类以及常用的入侵检测技术方法,在此基础上探讨了入侵检测技术的发展方向,指出未来的入侵检测正在朝着智能化、分布式、综合整体性的特点发展,希望对于今后的网络安全发展具有一定帮助。 关键词:入侵检测;网络安全;入侵检测;检测方法;发展趋势 1引言 当前,在飞速发展的信息时代背景下,计算机网络用户人数也正在呈现出几何式的增长速度,如何有效保证计算机网络的信息安全问题则显得尤为重要。一般来说,为了保证互联网的信息安全,一般所采用的传统的安全防御措施包括访问控制、身份认证、加密措施等,上述方法存在不同程度的缺陷。通过利用有效的入侵检测技术,能够保证把闭环的安全策略引入到计算机系统中,这样就能够使得计算机系统中的安全策略进行入侵检测系统,相应的数据加密、访问控制、身份认证等能根据其安全策略进行反馈,通过及时修改和处理,保证系统的安全性。 2入侵检测定义与分类思考 2.1入侵检测的定义 对于入侵检测来说,设计进行计算机系统的安全审核中重要一环,也是进行网络安全防护的有效措施。通过入侵检测技术,能够保证计算机系统的安全配置,及时对于异常现象或者未授权的操作进行捕捉的技术,能够有效检测计算机网路中相应的违反安全策略的行为。在进行网络系统中的安全策略行为过程中,主要是通过大量的网络行为、审计数据、安全策略日志等信息的收集和整理分析工作进行[1]。 2.2入侵检测的分类 根据文献统计,纵观当前的入侵检测技术方法,对于入侵检测技术根部不同角度分类如下。第一,根据检测所用的技术,一般可以分为误用检测技术和异常检测技术,一般来说,异常检测技术则是涉及到基于行为的入侵检测,这里主要是通过假设入侵行为全都具有异常特性;对于误用检测技术来说,则是基于知识的检测技术,其入侵行为的形式表达则是通过攻击签名、攻击模式等进行。第二,根据监测数据的来源,主要包括以下几种,基于网络的入侵检测,基于主机的入侵检测,以及基于网络和主机的入侵检测[2]。这三种检测方式都具有不同的特点,各有长短,则应该相互补充,一般来说,较为完备的入侵检测系统则是上述几种方式兼备的分布式系统。第三,根据系统网络架构来看,主要涉及到分层式、分布式、以及集中式检测技术,各种检测技术有着不同的特点。比如对于分层式检测系统来说,更适用于分析相应的分层数据,有助于实现系统的升级。第四,根据系统工作方式进行分析,可以包括在线检测和离线检测。对于在线监测来说,就是包括实时联机的监测系统,主要涉及到如何有效分析实时网络数据包,以及分析主机系统;对于离线检测,就是在事后分析审计相关的事件,从中发现相关的入侵活动,体现出非实时的特点。 3常用的入侵检测技术方法 当前所采用的入侵检测技术具有比较多的种类,这里主要就典型的几种方法进行举例说明[3-4]。第一,概率统计异常检测。在利用此项方法中,建模则是根据用户历史进行,或者根据早前的模型或者证据,利用有效的审计系统对于用户的使用情况进行检测,能够检测保存在系统内部的用户行为的概率统计模型,如果出现了具有一定疑问的情况,就启动相应的跟踪、检测行为的程序。第二,神经网络异常检测。在利用这种方法时,能够有效学习相应的用户行为,对于其具有较强的自适应性,能较为有效地处理实际监测到的信息,并能够合理做出一定的可能入侵性判断。在预定的未来事件错误率的预测中,能够使得用户行为的异常程度得到一定反映,这种方法应用较为普遍,但是,成熟度还有待进一步验证,还没有较为完善的产品出现。第三,专家系统误用检测。一般来说,专家系统能够较为有效地检测具有一定特征的入侵行为。在具体是实施过程中,相关的安全专家的知识可以利用If-Then结构,或者更为复杂的复合结构规则进行表达。在进行建立专家系统过程中,一定要考虑到知识库的完备性方面,这就要求具备一定的审计记录的实时性和完备性。第四,基于模型的入侵检测。在分析入侵攻击系统的过程中,有时都利用一个行为程序,比如,进行口令的猜测,这种行为序列就会形成一定的行为特征模式,根据这种模式的攻击的行为特征,就能有效判断和检测相应的恶意攻击企图。 4入侵检测技术的发展方向思考 第一,智能化的入侵检测。利用智能化的方法,就是主要采用具有智能化的方法和手段,现有的方法,包括模糊算法、遗传算法、神经网络、免疫原理等方面,能够进行辨识入侵特征。一般来说,所谓的智能化,就是利用具有智能检测功能的检测软件或模块,综合应用有效算法,实现高效的解决方案。同时,在进行智能化的入侵检测技术的研究