入侵检测系统研究的论文
- 格式:doc
- 大小:28.00 KB
- 文档页数:3
下载文档原格式
合集下载
入侵检测技术论文
1
3、入侵检测系统分类 入侵检测系统由控制台(Console)与传感器(Sensor)两部分组成,控制台起 到中央管理作用,传感器则负责采集数据与分析数据并生成安全事件的作用,入 侵检测系统根据检测的对象可分为基于主机入侵检测系统与基于网络入侵检测 系统。 3.1 主机入侵检测系统 HIDS 基于主机入侵检测通过全面监测主机的状态与用户操作进行检测分析,可 以检测到主机、进程或用户异常行为,在受保护主机上有专门的检测代理系统, 通过对系统日志和审计记录不间断监视与分析来发现系统的攻击,及时发送警 告信息和采取相应的措施来阻止攻击作用,其主要目的是在事件发生之后,能够 提供足够分析来阻止进一步的攻击的用途。 3.2 网络入侵检测系统 NIDS 基于网络入侵检测系统放置在网络中比较重要的位置,可以不间断的监测 网段中各种数据包,并且可以对每一个数据包或者可疑数据包进行特征分析与 研究,网络入侵检测系统是可以使用原始网络数据包作为数据源,进行保护网络 正常运行,如果这些数据包与产品内置某些规则相吻合,则入侵检测系统就会发 出警报甚至于直接切断网络连接来进行防御,目前入侵检测系统大部分产品是 基于网络的。 4、入侵检测技术类型 入侵检测技术通常分为两种类型:误用检测与异常检测。 4.1 误用检测览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。
入侵检测技术论文 入侵检测系统的分析与研究 入侵检测技术论文-入侵检测系统的分析与研究 论文
摘要:本文主要针对计算机网络安全风险系数不断的提高,传统的计算机网 络安全解决方案已难解决,曾经作为主要的计算机网络安全防范手段的防火墙 技术,已经不能满足人们对日益增长的网络需求,作为对防火墙技术的有益补充, 从而引入一种全新的计算机网络安全技术——入侵检测系统 (Intrusion Detection System, IDS),并对其分类、技术特征及其发展进行了深入的分析与 研究。 关键字:网络安全 防火墙技术 入侵检测系统 1、引言 随着 Internet 网络技术的发展,以资源的共享以及传递信息的计算机网络系 统,日益遭到恶意潜在的破坏与攻击,使得计算机网络安全系统日益成为人们关 注的热点,为了弥补传统的计算机网络安全技术的缺陷与不足,入侵检测系统已 经成为计算机网络安全系统保护的一道保障,Dorothy. E. Denning 在 1986 年首 次提出了入侵检测系统的抽象模型,并提出将入侵检测系统纳入计算机网络安 全系统,从而形成了全新的计算机网络安全的概念。 2、入侵检测系统定义 入侵检测系统作为一种积极主动的网络安全防护技术,提供对内部网络攻 击、 外部网络攻击与误操作实时保护,在网络系统体系受到危害之前作出响应入 侵,入侵检测系统能很好的弥补防火墙技术的不足,至今为止,软件技术还不可能 百分之百的保证系统中不存在安全漏洞,针对日益严重的网络安全问题和安全 需求,适应网络安全模型与动态安全模型应运而生,入侵检测系统在网络安全技 术中占有重要的地位。
入侵检测系统在计算机网络安全中的设计与应用论文
入侵检测系统在计算机网络安全中的设计与应用论文入侵检测系统在计算机网络安全中的设计与应用论文随着现代计算机技术的快速发展,当前网络安全成为一个焦点话题,这也使网络入侵技术成为当前网络安全领域的研究重点。
入侵检测具体指的是监视或者在可能的情况下,阻止入侵或者是试图入侵系统资源的努力。
目前,网络入侵检测系统在工作的过程中不像路由器以及防火墙作为关键设备工作,可以指出网络入侵检测系统发展的关键路径。
网络入侵系统在工作的过程中即使出现了故障也并不会影响正常的工作,因此使用网络入侵检测系统的风险相比于主机入侵检测系统会更小。
1入侵检测系统框架模型互联网工作小组的入侵检测小组,在1996年就已经开发了安全事件报警的标准格式,即入侵检测交换格式。
入侵检测工作小组制定的这一格式对部分术语的使用进行了比较严格的规范,并且为了能够适应入侵检测系统所输出的安全事件信息的多样性,这一模型在客观上能够满足入侵检测系统各种功能要求和逻辑结构。
这样可以确保入侵检测系统在形式上可以有不同的特点。
在进行系统设计的过程当中根据系统所承担的具体任务以及其工作环境的不同,在进行搭建时可以选择独立的传感器、管理器等设备,其功能的实现也可以是一个设备当中所具有的不同的功能。
入侵检测系统在工作中,具体可以划分为3步,信息收集、数据分析、事件响应。
其中信息收集包括系统以及网络;数据分析的主要任务是将收集到的有关数据信息发送到检测引擎,检测引擎会通过模式匹配、统计分析、完整性分析3种手段对于收集的信息进行客观分析;在系统工作的过程中,检测到一个任务时会主动将报警发送到系统当中的管理器,管理器能够根据预先设计好的安全政策进行定义,对接收到的报警内容进行回应,并提出相关检疫。
2入侵检测系统结构2.1基于主机的入侵检测系统这一入侵系统在具体工作的过程当中,需要以应用程序日志等相关的审计记录文件作为重要数据来源。
通过对这些文件中的记录和共计签名进行比较,确定其是否可以进行匹配。
关于网络入侵检测技术论文(2)
关于网络入侵检测技术论文(2)副标题#关于网络入侵检测技术论文篇二网络安全中的入侵检测技术研究摘要:本文首先对在网络安全防护中使用入侵检测技术的必要性进行了分析,然后对入侵检测技术的分类状况做了简要描述,进而对不同分类下的入侵检测技术进行了研究和讨论。
关键词:网络安全;入侵检测中图分类号:TP393.08互联网技术的发展极大的改变了人们的生活和工作通信方式,但是随着互联网应用范围的拓展和网络传输信息重要性的不断提升,针对网络计算机的非法入侵行为也迅猛增多,这种入侵行为不仅可能会对用户计算机传输和存储的数据造成破坏,还可能会带来重大的经济损失,因而对计算机网络的行为进行入侵检测,采取必要的网络安全防护措施保障网络计算机的安全已经成为网络安全领域所面临的重要问题之一。
1 入侵检测技术应用的必要性分析互联网具有高度的开放性和自由性,而接入网络的计算机系统或软件不可能绝对安全,为保障计算机用户数据和系统的完整性、可用性以及保密性,就必须采用必要的安全防护措施。
目前常用的安全防护措施有对系统进行完善、对数据进行加密、执行访问控制等。
但是就目前技术发展来看,第一种措施在技术层面很难实现;第二种措施短期内可对数据进行保护,但是加密技术本身实现过程中存在一些问题,被破解的可能性相对较高;第三种措施会在一定程度上降低网络用户的使用效率。
综合来看,可以应用较为容易实现的安全系统配合使用基于某些安全策略建立起来的安全辅助系统来提升网络用户的安全性能。
基于入侵检测技术构建的入侵检测系统即为这样一类系统,系统模型如图1所示。
其可以主动对用户网络中存在的行为进行实时检测,从中识别入侵行为和入侵对象,进而采用适当的安全防护措施保障网络用户的网络安全。
因此,使用入侵检测技术对网络用户进行安全防护是非常有必要的。
2 入侵检测技术分类目前常用的入侵检测技术可分为两种类型:异常入侵检测相关技术和无用入侵检测相关技术。
前者会对用户所在网络的异常行为和用户所使用的计算机的资源利用情况进行实时监测,并按照一定的描述方式将所检测到的行为进行分类,区分出正常网络行为和入侵网络行为,进而根据分析结果确认是否执行安全防护相关策略;后者则是根据已知的系统和应用软件的弱点攻击模式对网络行为进行入侵检测,进而筛选出对用户不理的行为,并执行相应的安全防护策略保护网络用户的安全。
入侵检测系统研究毕业论
入侵检测系统研究毕业论摘要随着互联网的普及和应用,网络安全问题越来越受到人们的关注。
为了保障网络系统的安全,防范黑客攻击,入侵检测系统逐渐成为研究热点。
本文旨在探讨入侵检测系统的发展现状和未来发展趋势,介绍入侵检测系统的基本原理和分类方法,并结合实际案例详细分析了IDS的实现和性能,为进一步加强系统的安全性提供参考。
引言随着互联网技术的发展,网络安全成为了人们越来越关注的话题,因此入侵检测技术也逐渐受到重视。
传统的入侵检测技术主要基于规则的方法,但随着攻击技术的不断发展,对检测技术的要求也不断提高。
因此,发展基于机器学习和人工智能等技术的入侵检测系统成为了研究的方向。
本文将从入侵检测的发展现状和未来趋势、基本原理、方法分类和实现与性能分析等方面进行探讨。
入侵检测的发展现状和未来趋势入侵检测系统的发展经历了多个阶段,最初的入侵检测方法是基于规则的方法。
随着网络攻击技术的不断更新和发展,规则方法已经不能满足现代入侵检测的需要。
近年来,基于机器学习和人工智能等技术的入侵检测系统逐渐受到重视。
这些新型技术相比传统规则方法具有更好的鲁棒性和准确性,并能够检测到更加复杂的攻击行为。
未来的入侵检测技术趋势将会重视可扩展性和自适应性,同时融入更加高级的算法和技术。
入侵检测系统的基本原理入侵检测系统的基本原理是在网络流量中判断出异常信息(攻击信息)。
具体而言,检测方法主要有两种,一种是基于特征的方法,另一种是基于行为的方法。
基于特征的检测方法主要是通过预定义的一些规则进行流量判断,从而检测出有威胁的流量。
比如说,对某一IP地址进行一段时间的统计和分析,如果发现该IP地址的行为与正常使用行为不同,则可以判定为具有攻击特征的威胁行为。
而基于行为的检测方法则是通过对网络流量的所有数据进行收集和分析,然后识别出与网络正常行为不同的异常行为作为攻击特征。
入侵检测系统的分类方法入侵检测系统的分类主要分为以下三类:1.基于规则的入侵检测系统(Rule-Based IDS)基于规则的入侵检测系统通过事先设定的规则集进行检测,如果检测到数据符合某一条规则,就会判定为入侵行为。
网络安全入侵检测论文
网络安全入侵检测论文网络安全入侵检测是当前信息安全领域中一个非常重要的研究方向。
随着网络的普及和应用,网络上存在各种各样的攻击和威胁。
传统的网络安全措施已经不能满足对各种新型威胁的防范和检测需求。
入侵检测技术的发展,能够有效地检测网络中的各种入侵行为,是保障网络安全不可或缺的环节。
一、入侵检测概述入侵检测系统(IDS)是指通过监视网络流量或系统日志,自动分析和识别网络中的异常行为或攻击行为的系统。
入侵检测系统可以分为网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)。
NIDS主要通过分析网络流量中的数据包来检测各种入侵行为。
HIDS主要通过监视和分析主机系统的日志和系统活动来检测异常行为或入侵行为。
二、入侵检测技术入侵检测技术主要分为基于特征的入侵检测和基于行为的入侵检测。
基于特征的入侵检测依赖于对攻击行为的特征进行判断。
基于行为的入侵检测则通过分析网络流量或主机活动的行为模式来判断是否存在异常行为。
此外,还有一些基于机器学习和数据挖掘的入侵检测技术,通过训练模型来判断是否存在入侵行为。
三、入侵检测系统的设计原则设计一个有效的入侵检测系统需要考虑以下几个原则。
首先,入侵检测系统应具备高效的数据收集和存储能力,能够准确地获取网络流量和系统日志数据。
其次,入侵检测系统应具备较高的检测准确率和较低的误报率,即能够准确地检测和判断入侵行为。
再次,入侵检测系统应具备较快的响应能力,能够及时发出警报并采取相应的措施。
最后,入侵检测系统应具备较强的可伸缩性和可扩展性,能够适应不同规模和复杂度的网络环境。
四、入侵检测系统的挑战和未来发展趋势入侵检测系统面临着许多挑战,比如高容量的网络流量和日志收集、不断变化的攻击手段和攻击者的隐蔽性。
为了应对这些挑战,未来的研究方向可以包括增加入侵行为的特征库和行为模型、提高机器学习和数据挖掘算法的准确率和效率、引入人工智能和大数据分析等先进技术。
总之,网络安全入侵检测技术是保障信息安全的重要手段之一。
基于AC-BM改进算法的入侵检测技术研究论文[精选5篇]
![基于AC-BM改进算法的入侵检测技术研究论文[精选5篇]](https://img.taocdn.com/s1/m/8557eb499a6648d7c1c708a1284ac850ad0204e5.png)
基于AC-BM改进算法的入侵检测技术研究论文[精选5篇]第一篇:基于AC-BM改进算法的入侵检测技术研究论文摘要:网络的飞速发展带来了诸多安全隐患,入侵检测技术作为一种积极防御手段成为了网络安全领域的研究热点。
模式匹配由于原理简单、无需训练、检测效率高、扩展性好广泛用于目前的入侵检测系统。
本文首先分析了模式匹配,比较了经典的模式匹配算法,总结了其存在的问题,并在此基础上对AC-BM模式匹配算法进行优化,提出了AC-BM改进算法,有效提高了检测效率,降低了检测过程中的资源消耗。
关键词:入侵检测模式匹配 AC-BM改进算法检测效率随着网络的日新月异,网络入侵行为变得越来越复杂,因此网络安全也日益受到人们广泛关注。
入侵检测系统能够在不影响网络正常工作的前提下,对网络数据进行监测、收集和分析,进而从中发现是否存在入侵行为[1]。
根据入侵检测方法的不同,可以分为异常检测技术和误用检测技术。
误用检测技术存在一个已知攻击模式特征库,通过网络数据与库中攻击模式进行匹配来判断是否存在入侵行为,其检测的误报率较低。
误用检测中使用的检测技术主要有模式匹配、专家系统、状态转移等,而模式匹配由于原理简单、可扩展性好等特点被广泛应用[2]。
网络数据包的高速传输使得模式匹配算法应用于入侵检测领域面临了诸多问题,模式匹配的效率将直接影响入侵检测的性能。
模式匹配模式匹配是指:已知一长度为n的文本字符串T=T1T2….Tn和一长度为t(t目前的模式匹配算法多分为单模式匹配和多模式匹配[3]。
若每次文本串只能对一种模式串进行模式匹配,这种方法称为单模式匹配算法。
即己知文本串Text=T[l...n]和模式串Pattern=P[l...t],对于1<=f<=n,存在T[f+1...f+t]=P[1…t]。
网络入侵类型日益复杂,为了提高匹配速度期望可以实现每次可以同时对多个模式进行匹配,这种方法称为多模式匹配方法。
也就是说,文本字符串T ext=T[l...n]对模式树进行扫描时,至少在模式树种发现其中一个模式串与之相匹配。
毕业论文——网络入侵检测系统(Snort)研究【范本模板】
本科毕业论文二〇一一年五月摘要互联网络的蓬勃发展给人们的工作生活带来极大的便利,然而,随着现代化网络应用的普及,伴随而来的网络不安全因素也给网络信息安全带来了严峻挑战,传统的网络安全技术已经很难对付这些日益严重的安全威胁,所以我们就有必要去开发专门的工具去避免这些不安全因素的攻击,而入侵检测技术便可以作为一种很重要的技术为我们所用。
入侵检测是网络安全领域中一个较新的课题,检测引擎作为入侵检测系统的核心模块,其检测速度快慢直接影响网络入侵检测系统的效率,模式匹配是入侵检测系统的重要检测方法,其性能对入侵检测系统至关重要。
入侵检测系统按照数据分析模式来分,可以分为异常入侵检测和误用入侵检测,对于当前基于模式匹配的误用入侵检测系统来说,入侵检测的检测效率主要体现在模式匹配的速度,好的模式匹配算法是提高入侵检测速度的关键所在。
本论文首先介绍研究了网络入侵检测的概况,然后深入的研究了snort的详细信息,包括其特点,结构和其检测流程等,论文较重点的配置了snort在windows 下的工作环境,做了简单的实验,来展现snort的DOS下的工作过程和与php,acid 等可图形显示下的数据浏览与操作。
关键词:网络安全;snort;入侵检测;模式匹配ABSTRACTThe rapid development of the Internet brings great convenience to people’s work and live but as the popularity of modern network ,the network attendant insecurity also brings to the information security challenges ,the traditional network security technology has difficulty to deal with these increasingly serious security threat ,so it is necessary to develop special tools to avoid the insecurity of the attack ,and intrusion detection technologies can be a very important technology work for us.Network security intrusion detection is a relatively new subject ,The engine of testing is the core module of the Intrusion Detection System ,and the detection rate of speed directly affects the efficiency of network intrusion detection systems .Pattern matching intrusion detection system is an important detection method and the performance of intrusion detection system is essential.This paper first introduces the study the general network intrusion detection,Then a snort of thorough research information,including its characteristics, structure and the detection process,and so on,The paper is the focus of the configuration snort under Windows work environment, to a simple experiment,To show the work under the DOS snort with PHP, process and acid, under the graphic display data browsing with operation。
入侵检测系统研究
入侵检测系统研究论文导读:1.入侵检测系统概述入侵检测,就是对网络或者系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。
3.按照目前IDS的发展趋势来分,IDS分为集中式和分布式两种。
关键词:入侵检测,计算机网络,分布式1. 入侵检测系统概述入侵检测,就是对网络或者系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。
简单说就是对入侵行为的发觉。
入侵检测系统(Intrusion Detection System,简称IDS)是一个能够对网络或计算机系统的活动进行实时监测的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络安全管理员及时采取对策提供有价值的信息。
2.入侵检测系统的历史研究与现状入侵检测系统从开始研究到目前的商业产品,已经有20多年的历史了。
最早研究入侵检测的是James Anderson,他在1980年首先提出了入侵检测的概念,将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。
Anderson提出审计追踪可应用于监视入侵威胁。
国外入侵检测系统已经进入相对成熟期,目前比较成功的商业系统大都是混合使用多种技术,而且很多系统不只是具有入侵检测和响应功能,还具有很强的网络管理和网络通信统计的功能。
比如:ISS公司的RealSecure、Axcent公司的Intruder Alert、Cisco公司的Cisco Secure IDS、Network Flight Recorder公司的NID、NetworkIce公司的BlackIce Defender、NAI公司的CyberCop Intrusion Protection等产品。
国内对入侵检测系统的研究起步较晚,无论理论研究还是实践创新都落后于国外,目前处于对国外技术的跟踪研究状态。
入侵检测系统论文
入侵检测系统论文1.引言随着互联网技术的高速发展,计算机网络的结构变的越来越复杂,计算机的工作模式由传统的以单机为主的模式向基于网络的分布式模式转化,而由此引发的网络入侵的风险性也随之大大增加,网络安全与信息安全问题成为人们高度重视的问题。
每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元,且这个数字正在不断增加。
传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要,想要保证网络信息和网络秩序的安全,就必须要更强有力和更完善的安全保护技术。
近年来,入侵检测技术以其强有力的安全保护功能进入了人们的视野,也在研究领域形成了热点。
入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制。
作为传统安全机制的补充,入侵检测技术不再是被动的对入侵行为进行识别和防护,而是能够提出预警并实行相应反应动作。
入侵检测系统(IDS,Intrusion Detection System)可以识别针对计算机系统和网络系统,或更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法行动。
通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点。
2.入侵检测技术2.1 异常检测异常检测分为静态异常检测和动态异常检测两种,静态异常检测在检测前保留一份系统静态部分的特征表示或者备份,在检测中,若发现系统的静态部分与以前保存的特征或备份之间出现了偏差,则表明系统受到了攻击或出现了故障。
动态异常检测所针对的是行为,在检测前需要建立活动简档文件描述系统和用户的正常行为,在检测中,若发现当前行为和活动简档文件中的正常行为之间出现了超出预定标准的差别,则表明系统受到了入侵。
目前使用的异常检测方法有很多种,其中有代表性的主要由以下2种。
(1).基于特征选择的异常检测方法基于特征选择的异常检测方法,是从一组特征值中选择能够检测出入侵行为的特征值,构成相应的入侵特征库,用以预测入侵行为。
入侵检测系统论文入侵检测技术论文
入侵检测系统论文入侵检测技术论文摘要:入侵检测技术是保证计算机网络安全的核心技术之一,在保护计算机安全方面起着越来越重要的作用。
本文从介绍入侵检测系统的概念入手,对入侵检测系统的功能、分类以及入侵检测技术这三个方面进行了讨论。
关键词:入侵检测系统;入侵检测技术brief overview of intrusion detection systemchen jing(air force 95259 troops,guangzhou510500,china)abstract:intrusion detection technology is to ensure that the core technology of computer network security is one aspect in the protection of computer security is playing an increasingly importantrole.intrusion detection system.this paper describes the concept,the function of intrusion detection systems,classification and intrusion detection technologies are discussed in three areas.keywords:intrusion detection system;intrusion detection technology随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。
由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测系统研究的论文摘要介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。
关键词入侵检测系统;cidf ;网络安全;防火墙0 引言近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。
近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。
由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。
1 入侵检测系统(ids)概念1980年,james 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。
即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(ides),1990年,等设计出监视网络数据流的入侵检测系统,nsm(network security monitor)。
自此之后,入侵检测系统才真正发展起来。
anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。
而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。
执行入侵检测任务的程序即是入侵检测系统。
入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
入侵检测一般分为三个步骤:信息收集、数据分析、响应。
入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;2 入侵检测系统模型美国斯坦福国际研究所(sri)的于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。
这是一种基于统计的检测方法。
随着技术的发展,后来人们又提出了基于规则的检测方法。
结合这两种方法的优点,人们设计出很多入侵检测的模型。
通用入侵检测构架(common intrusion detection framework简称cidf)组织,试图将现有的入侵检测系统标准化,cidf阐述了一个入侵检测系统的通用模型(一般称为cidf模型)。
它将一个入侵检测系统分为以下四个组件:事件产生器(event generators)事件分析器(event analyzers)响应单元(response units)事件数据库(event databases)它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。
事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提的功能单元,它可以做出切断连接、修改文件属性等强烈反应。
事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
3 入侵检测系统的分类:现有的ids的分类,大都基于信息源和分析方法。
为了体现对ids从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类控制策略描述了ids的各元素是如何控制的,以及ids的输入和输出是如何管理的。
按照控制策略ids可以划分为,集中式ids、部分分布式ids和全部分布式ids。
在集中式ids中,一个中央节点控制系统中所有的监视、检测和报告。
在部分分布式ids中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。
在全分布式ids中,监控和探测是使用一种叫“代理”的方法,代理进行分析并做出响应决策。
按照同步技术分类同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。
按照同步技术划分,ids划分为间隔批任务处理型ids和实时连续性ids。
在间隔批任务处理型ids中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。
很多早期的基于主机的ids都采用这种方案。
在实时连续型ids中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。
实时ids是基于网络ids首选的方案。
按照信息源分类按照信息源分类是目前最通用的划分方法,它分为基于主机的ids、基于网络的ids和分布式ids。
基于主机的ids通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。
基于主机的ids是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。
分布式ids,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类按照分析方法ids划分为滥用检测型ids和异常检测型ids。
滥用检测型的ids中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。
任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。
异常检测型ids是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。
所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类按照响应方式ids划分为主动响应ids和被动响应ids。
当特定的入侵被检测到时,主动ids会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。
被动响应ids则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4 ids的评价标准目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价ids的优缺点就显得非常重要。
评价ids的优劣主要有这样几个方面[5]:(1)准确性。
准确性是指ids不会标记环境中的一个合法行为为异常或入侵。
(2)性能。
ids的性能是指处理审计事件的速度。
对一个实时ids来说,必须要求性能良好。
(3)完整性。
完整性是指ids能检测出所有的攻击。
(4)故障容错(fault tolerance)。
当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的5目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁ids,再实施对系统的攻击。
(6)及时性(timeliness)。
一个ids必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或ids本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)ids运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 ids的发展趋随着入侵检测技术的发展,成型的产品已陆续应用到实践中。
入侵检测系统的典型代表是iss(国际互联网安全系统公司)公司的realsecure。
目前较为著名的商用入侵检测产品还有:nai公司的cybercop monitor、axent公司的netprowler、cisco公司的netranger、ca公司的sessionwall-3等。
国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主代理方法,智能技术以及免疫学原理的应用等。
其主要的发展方向可概括为:(1)大规模分布式入侵检测。
传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。
因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。
大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。
目前的ids还存在着很多缺陷。
首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。
其次,系统的虚警率太高。
最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。
数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。
结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
6 结束语在目前的计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但是,要根本改善系统的安全现状,必须要发展入侵检测技术,它已经成为计算机安全策略中的核心技术之一。
ids作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。
随着网络通信技术安全性的要求越来越高,入侵检测技术必将受到人们的高度重视。
参考文献:[1] anderson j p. computer security threat monitoring and surveillance [p] . pa 19034,usa,[2]denning d e .an intrusion-detection model [a] . ieee symp on security & privacy[c] ,[3] 张杰,戴英侠,入侵检测系统技术现状及其发展趋势[j],计算机与通信,:28-32[4] 曾昭苏,王锋波,基于数据开采技术的入侵检测系统[j],自动化博览,2002,8:29-31[5] 唐洪英,付国瑜,入侵检测的原理与方法[j],重庆工学院学报,:71-73。