入侵檢測技術論文(2)
入侵檢測技術論文
入侵檢測技術論文篇二
淺析入侵檢測技術
摘 要 入侵檢測系統(tǒng)是一個能夠對網絡或計算機系統(tǒng)的活動進行實時監(jiān)測的系統(tǒng),它能夠發(fā)現并報告網絡或系統(tǒng)中存在的可疑跡象,為網絡安全管理提供有價值的信息。
關鍵詞 入侵檢測 信號分析 模型匹配 分布式
中圖分類號:TP393 文獻標識碼:A
隨著計算機技術尤其是網絡技術的發(fā)展,計算機系統(tǒng)已經從獨立的主機發(fā)展到復雜的、互連的開放式系統(tǒng)。這給人們在信息利用和資源共享上帶來了無與倫比的便利,但又面臨著由于入侵而引發(fā)的安全問題。傳統(tǒng)的安全防御策略( 如訪問控制機制、防火墻技術等)均屬于靜態(tài)的安全防御技術,對網絡環(huán)境下日新月異的攻擊手段缺乏主動的反應。由于靜態(tài)的安全技術自身存在著不可克服的缺點,促發(fā)了人們在研究過程中新的探索,從而引出入侵檢測這一安全領域的新課題的誕生。入侵檢測是動態(tài)安全技術的最核心技術之一,是防火墻的合理補充,是安全防御體系的一個重要組成部分。
1 入侵檢測系統(tǒng)( IDS) 執(zhí)行的主要任務
所謂IDS就是一個能夠對網絡或計算機系統(tǒng)的活動進行實時監(jiān)測的系統(tǒng),它能夠發(fā)現并報告網絡或系統(tǒng)中存在的可疑跡象,為網絡安全管理提供有價值的信息。IDS 執(zhí)行的主要任務是:監(jiān)視、分析用戶及系統(tǒng)活動;對系統(tǒng)構造和弱點的審計;識別反映已知進攻的活動模式并向相關人士報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數據文件的完整性;操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。
2 入侵檢測的步驟
2.1 信息收集
入侵檢測的第一步是信息收集。內容包括系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為。
入侵檢測利用的信息一般來自以下4方面:系統(tǒng)和網絡日志文件:目錄和文件中的不期望的改變; 程序執(zhí)行中的不期望行為;物理形式的入侵信息。這包括兩個方面的內容:一是未授權的對網絡硬件的連接;二是對物理資源的未授權訪問。
2.2 信號分析
對上述4 類收集到的有關系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為等信息, 一般通過3 種技術手段進行分析:模式匹配、統(tǒng)計分析和完整分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
2.3 響應
入侵檢測系統(tǒng)在發(fā)現入侵后會及時做出響應, 包括切斷網絡連接、記錄事件和報警等。響應一般分為主動響應和被動響應兩種類型。主動響應由用戶驅動或系統(tǒng)本身自動執(zhí)行, 可對入侵者采取行動、修正系統(tǒng)環(huán)境或收集有用信息;被動響應則包括告警和通知、簡單網絡管理協(xié)議( SNMP) 陷阱和插件等。
3 常用的入侵檢測方法
3.1基于用戶行為概率統(tǒng)計模型的入侵檢測方法
這種入侵檢測方法是基于對用戶歷史行為建模, 以及在早期的證據或模型的基礎上, 審計系統(tǒng)實時的檢測用戶對系統(tǒng)的使用情況, 根據系統(tǒng)內部保存的用戶行為概率統(tǒng)計模型進行檢測, 當發(fā)現有可疑的用戶行為發(fā)生時, 保持跟蹤并監(jiān)測、記錄該用戶的行為。
3.2 基于神經網絡的入侵檢測方法
這種方法是利用神經網絡技術進行入侵檢測。因此, 這種方法對用戶行為具有學習和自適應功能, 能夠根據實際檢測到的信息有效地加以處理并作出入侵可能性的判斷。
3.3 基于專家系統(tǒng)的入侵檢測技術
該技術根據安全專家對可疑行為進行分析的經驗來形成一套推理規(guī)則, 然后在此基礎上建立相應的專家系統(tǒng), 由此專家系統(tǒng)自動對所涉及的入侵行為進行分析該系統(tǒng)應當能夠隨著經驗的積累而利用其自學習能力進行規(guī)則的擴充和修正。
4 入侵檢測技術的發(fā)展方向
4.1 分布式入侵檢測與通用入侵檢測架構
傳統(tǒng)的IDS一般局限于單一的主機或網絡架構, 對異構系統(tǒng)及大規(guī)模的網絡的監(jiān)測明顯不足, 同時不同的IDS 系統(tǒng)之間不能協(xié)同工作, 為解決這一問題, 需要分布式入侵檢測技術與通用入侵檢測架構。
4.2 智能化的入侵檢測
入侵方法越來越多樣化與綜合化, 盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域的應用研究, 但是這只是一些嘗試性的研究工作, 需要對智能化的IDS 加以進一步地研究以解決其自學習與自適應能力。
4.3入侵檢測的評測方法
用戶需對眾多的IDS 系統(tǒng)進行評價, 評價指標包括IDS 檢測范圍、系統(tǒng)資源占用、IDS 系統(tǒng)自身的可靠性。從而設計通用的入侵檢測測試與評估方法和平臺, 實現對多種IDS 系統(tǒng)的檢測已成為當前IDS 的另一重要研究與發(fā)展領域。
4.4 與其它網絡安全技術相結合
結合防火墻、PKIX、安全電子交易SET 等新的網絡安全與電子商務技術,提供完整的網絡安全保障。
入侵檢測作為一種積極主動的安全防護技術, 提供了對內部攻擊、外部攻擊和誤操作的實時保護, 在網絡系統(tǒng)受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發(fā), 入侵檢測理應受到人們的高度重視, 這從國外入侵檢測產品市場的蓬勃發(fā)展就可以看出。在國內, 隨著上網的關鍵部門、關鍵業(yè)務越來越多, 迫切需要具有自主版權的入侵檢測產品。入侵檢測產品仍具有較大的發(fā)展空間, 從技術途徑來講, 除了完善常規(guī)的、傳統(tǒng)的技術( 模式識別和完整性檢測) 外, 應重點加強統(tǒng)計分析的相關技術研究。入侵檢測是保護信息系統(tǒng)安全的重要途徑, 對網絡應用的發(fā)展具有重要意義與深遠影響。研究與開發(fā)自主知識產權的IDS 系統(tǒng)將成為我國信息安全領域的重要課題。
參考文獻
[1]耿麥香.網絡入侵檢測技術研究綜述[J].網絡安全技術與應用,2004(6).
[2]王福生.數據挖掘技術在網絡入侵檢測中的應用[J].現代情報,2006(9).
[3]蔣萍.網絡入侵檢測技術[J].鄭州航空工業(yè)管理學院學報,2003(3).
看了“入侵檢測技術論文”的人還看:
4.安全防范技術論文