当前位置:文档之家 › 浅谈入侵检测系统

浅谈入侵检测系统

  • 格式:pdf
  • 大小:122.22 KB
  • 文档页数:1

下载文档原格式

  / 1

合集下载

浅谈网络入侵检测系统

浅谈网络入侵检测系统
A b s t r a c t: w i t h t h e r a p i d d e v e l o p me n t o f c o mp u t e r t e c h n o l o g y a n d I n t e me t ,n e t wo r k i n b n n g c o n v e n i e n c e t o o u r d a i l yⅡ he t s a me血n e ,i t s s e c u r i t y p r o b l e m a l s o a p p e a r s v e r yi mp o r t a n t . I nt h i s p a p e r ,t h e d e i f n i u o n o f i n ma s i o n d e mc u o n s y s t e m ,t h e s  ̄t e m c l a s s i i f c a t i o n a n dt hef u t u r e d e v e l o p me n t t r e n d h a s ma d et he s i mp l e e l a b o r a t i o n .
浅 谈 网 络 入 侵 检 测 系 统
徐铭洋 唐盼盼 商丘职 业技 术学 院
【 摘 要】随着计算机技术和I n t e r o e t  ̄飞发展,网络在给我们的 日常生活带来方便的同时,其安全 问题也显得十分重要。本 文对入侵检测系统的定义,系统分 类及今后的发展趋势作 了简单的阐述。 【 关键词 】网络安全 ;入侵检测系统
Ke y wor d s:ne t wo r k s e c u r i t y; I n t r o s i o n de t e c fo n s ys t e m

网络安全防护中的入侵检测系统

网络安全防护中的入侵检测系统

网络安全防护中的入侵检测系统随着互联网的快速发展,网络安全问题成为各个领域不可忽视的重要议题。

为了保护网络系统免受未经授权的访问和攻击,入侵检测系统应运而生。

本文将介绍网络安全防护中的入侵检测系统,并探讨其在网络安全中的重要性。

一、什么是入侵检测系统入侵检测系统(Intrusion Detection System,简称IDS)是一种通过监控和分析网络流量、系统活动以及异常行为来检测和预防未经授权的访问和攻击的系统。

它可以帮助网络管理员及时发现潜在的威胁,并采取相应的措施进行防范和应对。

入侵检测系统通常分为两种类型:网络入侵检测系统(Network-based Intrusion Detection System,简称NIDS)和主机入侵检测系统(Host-based Intrusion Detection System,简称HIDS)。

NIDS主要通过监视网络流量来检测潜在的攻击行为,而HIDS则主要通过监视主机上的系统活动来检测潜在的入侵行为。

二、入侵检测系统的工作原理入侵检测系统通过收集网络流量、系统日志以及其他相关信息来进行分析和判断,以便发现异常活动和潜在的入侵行为。

它主要包括以下几个关键步骤:1. 收集数据:入侵检测系统会主动收集网络流量、系统日志等数据,并存储在相应的数据库中。

2. 分析数据:入侵检测系统会对收集到的数据进行分析和处理,以发现异常活动和潜在的入侵行为。

3. 判断威胁:入侵检测系统会根据事先设定好的规则和模型对数据进行判断,以确定是否存在潜在的威胁。

4. 发出警报:一旦入侵检测系统检测到异常活动或潜在的入侵行为,它会立即发出警报,通知网络管理员或相关人员采取相应的措施。

5. 响应措施:在发出警报后,网络管理员可以根据入侵检测系统提供的信息采取相应的防御和应对措施,以保护网络系统的安全。

三、入侵检测系统在网络安全中的重要性入侵检测系统在网络安全中发挥着重要的作用,具有以下几个重要的优点和价值:1. 及时发现威胁:入侵检测系统可以及时发现网络系统中的潜在威胁和异常活动,为网络管理员提供了预警机制,有助于他们及时采取相应的防御和应对措施。

网络安全入侵检测系统

网络安全入侵检测系统

网络安全入侵检测系统随着互联网的迅速发展,网络安全问题日益突出。

恶意黑客、病毒攻击、数据泄露等威胁随处可见,给个人和组织的信息安全带来了严重的挑战。

为了有效应对这些威胁,网络安全入侵检测系统应运而生。

一、网络安全入侵检测系统概述网络安全入侵检测系统(Intrusion Detection System,简称IDS)是一种计算机安全设备或应用软件,旨在实时监控和分析网络中的数据流量,检测并响应潜在的入侵行为。

IDS通过分析网络数据包以及日志信息,识别恶意的网络活动和攻击。

它可以监测和记录系统和网络中的异常活动,并及时提醒管理员采取相应的措施,保障网络环境的安全。

二、网络安全入侵检测系统的工作原理网络安全入侵检测系统基于多种方法和技术,包括签名检测、行为分析、统计模型等。

其中,签名检测是最常用的一种方法,它通过比对已知的攻击特征库来识别和标记恶意行为。

行为分析则是通过对网络流量特征的建模和监控,比较实际流量与预期行为之间的差异来检测异常活动。

统计模型则是基于历史数据和模式分析,利用统计学方法来检测和预测潜在的攻击。

三、网络安全入侵检测系统的分类与架构根据部署方式和工作原理的不同,网络安全入侵检测系统可以分为主机型和网络型,以及入侵检测系统(IDS)和入侵防御系统(IPS)两种类型。

1. 主机型IDS/IPS:运行在主机上的IDS/IPS系统,可以通过监控主机的日志和实时数据流量来检测入侵行为。

主机型IDS可以监测主机上的各种运行活动,譬如文件改变、进程启停等,从而发现潜在的威胁。

主机型IPS在发现入侵行为后,可以采取主动的措施进行阻止和响应,防止攻击向下延伸。

2. 网络型IDS/IPS:部署在网络中的IDS/IPS系统,可以对网络流量进行监测和分析。

网络型IDS可以在网络中设立传感器,对经过的数据包进行实时检测,发现潜在的入侵行为。

网络型IPS则在发现入侵行为后,根据预设的策略进行响应和阻断,保护网络的安全。

了解电脑网络安全中的入侵检测系统

了解电脑网络安全中的入侵检测系统

了解电脑网络安全中的入侵检测系统电脑网络安全是当今科技发展的重要组成部分,而入侵检测系统(IDS)作为一种关键的安全机制,对于保护网络免受恶意攻击具有不可或缺的作用。

本文将全面介绍电脑网络安全中的入侵检测系统,包括其定义、原理、分类、应用以及未来的发展趋势。

一、入侵检测系统的定义入侵检测系统是一种监视计算机网络及其上运行的应用程序的技术手段,通过实时监测网络流量、访问日志和入侵特征等信息,从而识别并报告潜在的安全事件或恶意行为。

其主要目的是及时发现并应对可能的入侵行为,保护计算机网络的安全。

二、入侵检测系统的原理入侵检测系统的工作原理主要分为两种:基于签名的入侵检测和基于异常的入侵检测。

1. 基于签名的入侵检测:这种方法利用已知的攻击特征来识别入侵行为。

入侵检测系统会与预先定义的攻击签名进行匹配,一旦发现相应的特征,就会发出警报。

这种方法的优点是准确性高,但对于未知的攻击形式可能无法及时发现。

2. 基于异常的入侵检测:这种方法主要通过监视网络流量和系统行为,从正常的网络活动模式中检测出异常情况。

入侵检测系统会建立起一个正常行为模型,并根据该模型来判断是否存在异常行为。

相对于基于签名的方法,基于异常的入侵检测能够更好地应对未知的攻击形式。

三、入侵检测系统的分类根据入侵检测系统的部署位置和检测范围的不同,可以将其分为以下几种类型:1. 主机入侵检测系统(HIDS):该系统部署在单个主机上,用于对该主机上的操作系统和应用程序进行入侵检测。

主机入侵检测系统能够更加深入地检测主机上的异常行为,但对于大规模网络来说,部署和管理会相对复杂。

2. 网络入侵检测系统(NIDS):该系统部署在网络上,对整个网络流量进行监测和分析。

网络入侵检测系统通常通过监听网络流量来检测潜在的攻击行为,能够更好地检测网络层面上的安全事件。

但相对于主机入侵检测系统,网络入侵检测系统可能无法检测到主机上的一些内部攻击。

3. 分布式入侵检测系统(DIDS):该系统将主机入侵检测系统和网络入侵检测系统进行了整合,既可以对主机进行深入检测,也可以对网络流量进行监测。

网络安全中的入侵检测系统

网络安全中的入侵检测系统

网络安全中的入侵检测系统网络安全作为当今信息化社会必备的一项重要保障,在网络攻击和数据泄露日益增多的背景下,成为了各大企业、组织和个人关注和投入的重点领域。

入侵检测系统(Intrusion Detection System,简称IDS)作为网络安全的一部分,起到了监测和防范入侵行为的重要作用。

本文将对入侵检测系统的概念、分类、工作原理以及应用前景进行探讨。

一、入侵检测系统的概念入侵检测系统是一种在计算机网络中用于检测和预防未经授权的网络访问和异常行为的技术。

其主要功能是通过分析网络流量和系统日志,识别出可能的攻击行为,并及时采取相应的防护措施,保护网络系统的安全。

二、入侵检测系统的分类根据监测位置和检测原理,入侵检测系统可以分为两类:主机型入侵检测系统(Host-based IDS,简称HIDS)和网络型入侵检测系统(Network-based IDS,简称NIDS)。

1. 主机型入侵检测系统(HIDS)主机型入侵检测系统基于主机内部的数据和行为进行检测,一般安装在每台需要保护的主机上。

其优点是可以监测到主机内部的异常行为和攻击,并且可以在主机本地进行处理和防护,但是由于只针对主机进行监测,无法全面覆盖整个网络的攻击情况。

2. 网络型入侵检测系统(NIDS)网络型入侵检测系统基于网络流量进行检测,通过监测整个网络中的数据包来判断是否存在入侵行为。

其优点是可以全面监控网络中的各种攻击行为,同时也可以对恶意流量进行过滤和屏蔽,但是无法获取主机内部的具体行为信息。

三、入侵检测系统的工作原理入侵检测系统主要通过以下几个步骤来进行工作:1. 采集数据:IDS会收集网络流量、系统日志、主机数据等信息作为分析和监测依据。

2. 行为分析:通过对采集到的数据进行分析和比对,识别出可能的入侵行为。

这一过程通过建立规则库、学习和训练机器学习模型等方式进行。

3. 发现异常:当系统检测到异常行为时,会发送警报通知管理员或相关人员。

网络安全防护的入侵检测系统

网络安全防护的入侵检测系统

网络安全防护的入侵检测系统随着互联网的普及和网络技术的快速发展,我们越来越依赖于网络来完成各种任务和活动。

然而,网络的普及也带来了一系列安全威胁,如入侵、黑客攻击等。

因此,建立有效的网络安全防护措施变得非常重要。

其中,入侵检测系统(Intrusion Detection System,IDS)作为网络安全防护的重要组成部分,具有检测和应对网络入侵的功能,对于保护网络安全具有巨大的意义。

一、入侵检测系统的概念和作用入侵检测系统是一种监视网络或系统中异常活动的安全设备,它的作用是检测和分析网络中的恶意行为和入侵事件,并及时采取应对措施。

入侵检测系统通过监控网络流量、分析日志和异常行为等手段,发现并警报任何可能的入侵事件,从而及时保护网络安全。

二、入侵检测系统的分类根据工作原理和部署位置的不同,入侵检测系统可以分为主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)两种类型。

1. 主机入侵检测系统主机入侵检测系统部署在主机上,通过监视主机行为,检测并分析主机上的异常活动。

主机入侵检测系统能够捕获主机级别的信息,如文件修改、注册表变化、系统文件损坏等。

它主要用于检测主机上的恶意软件、病毒、木马等威胁,并能及时阻止它们对系统的进一步侵害。

2. 网络入侵检测系统网络入侵检测系统部署在网络上,通过监视网络流量,检测并分析网络中的异常活动。

网络入侵检测系统能够捕获网络层次的信息,如IP地址、端口号、协议类型等。

它主要用于检测网络流量中的入侵行为、DDoS攻击、端口扫描等,并能及时阻止它们对网络的进一步侵害。

三、入侵检测系统的工作原理入侵检测系统主要通过以下几个步骤来实现入侵检测和预防:1. 监控和收集信息入侵检测系统通过监控网络流量、日志和系统行为等方式,收集和获取信息。

网络入侵检测系统可以通过流量分析技术、协议分析技术等来获取数据,而主机入侵检测系统则可以通过监视主机上的日志和系统行为来获取数据。

计算机安全的入侵检测系统

计算机安全的入侵检测系统计算机安全是当今信息时代中不可或缺的重要组成部分。

随着互联网的广泛应用,网络攻击事件层出不穷,保障计算机系统的安全性变得愈发迫切。

而入侵检测系统 (Intrusion Detection System, IDS) 是一种能够及时识别并响应网络入侵的保护措施。

本文将介绍计算机安全的入侵检测系统的原理、分类、及其在保护计算机系统安全中的重要性。

一、入侵检测系统的原理入侵检测系统基于对计算机系统安全漏洞的分析,通过监控和分析网络流量、系统日志和事件记录等方式来检测可能的入侵行为。

其主要原理包括:异动检测、特征检测和行为分析。

1. 异动检测异动检测是入侵检测系统最基本的一种原理。

它通过分析计算机系统的正常行为模式,当系统发生异常变化时,系统会自动警示可能的入侵行为。

异动检测主要基于对系统资源的监控,如CPU使用率、内存消耗、网络带宽占用等。

2. 特征检测特征检测是一种通过识别已知入侵行为特征来判断是否存在入侵的原理。

通过建立入侵行为数据库,入侵检测系统可以与数据库中的特征进行对比,并判断是否存在恶意攻击行为。

特征检测主要运用在各类病毒、蠕虫和黑客攻击等已知入侵行为的识别上。

3. 行为分析行为分析是入侵检测系统相对复杂的一种原理。

它通过对网络流量、系统操作等进行深入分析,检测可能存在的异常行为。

行为分析可以通过建立行为模型,对入侵行为进行规律性分析和预测,以提高对未知入侵行为的识别能力。

二、入侵检测系统的分类根据入侵检测系统的部署位置和监控对象的不同,入侵检测系统可以分为两类:网络入侵检测系统 (Network Intrusion Detection System, NIDS) 和主机入侵检测系统 (Host Intrusion Detection System, HIDS)。

1. 网络入侵检测系统(NIDS)网络入侵检测系统是部署在网络边界上的一种安全设备,通过对网络流量的监控及分析,检测潜在的入侵行为。

网络信息安全的入侵检测

网络信息安全的入侵检测网络信息安全已经成为现代社会中不可或缺的一部分。

随着网络技术的不断发展,网络安全问题也随之而来。

入侵检测系统(Intrusion Detection System,简称IDS)作为网络安全的重要组成部分,被广泛应用于企业、组织和个人的网络环境中。

本文将就网络信息安全的入侵检测进行探讨。

一、入侵检测系统的定义与分类入侵检测系统是一种基于特定规则或算法,通过监控和分析网络流量、系统日志以及其他相关数据信息,以便及时发现和防范网络攻击行为的安全机制。

根据其检测方式和部署位置的不同,入侵检测系统可以分为主动和被动两种。

1. 主动入侵检测系统主动入侵检测系统通过直接监控网络流量和系统日志来检测异常行为,可以实时地发现和报告潜在的安全威胁。

主动入侵检测系统一般部署在网络边界上,通过分析网络通信数据和行为模式来检测入侵行为。

2. 被动入侵检测系统被动入侵检测系统则是通过采集和分析系统日志等信息来判断是否存在安全问题。

被动入侵检测系统一般部署在网络内部,对网络中的节点进行监控,以发现并报告潜在的威胁行为。

二、入侵检测系统的工作原理与方法1. 网络流量监测入侵检测系统通过对网络流量进行监测,检测网络中的异常行为。

网络流量监测可以分为基于签名和基于行为两种方式。

基于签名的网络流量监测是通过预先定义的规则或特征进行匹配,来判断网络中是否存在已知的攻击形式。

这种方式的优点是准确性较高,但无法检测全新形式的攻击。

基于行为的网络流量监测则是通过分析网络中的行为模式,来判断网络中是否存在异常行为。

这种方式的优点是可以发现未知的攻击形式,但误报率较高。

2. 系统日志分析入侵检测系统还可以通过对系统日志进行分析,来检测系统中的异常行为。

系统日志分析可以包括对登录行为、文件系统操作、进程行为等的监控和分析。

通过对系统日志的监控和分析,入侵检测系统可以发现系统中的异常活动和可能存在的攻击行为。

三、入侵检测系统的应用与挑战1. 应用领域入侵检测系统广泛用于企业、组织和个人的网络环境中。

入侵检测系统简介

入侵检测系统简介入侵检测系统(Intrusion Detection System,简称IDS)是一种用于保护计算机网络免受未经授权的访问和恶意攻击的安全工具。

它通过监控和分析网络流量以及系统日志,识别出潜在的入侵行为,并及时生成警报,帮助管理员采取适当的措施保护网络的安全。

一、入侵检测系统的作用入侵检测系统主要具有以下几个作用:1. 发现未知入侵行为:入侵检测系统可以分析网络流量和系统日志,通过与已知的入侵特征进行比较,识别出未知的入侵行为。

这有助于及时发现并应对新型的攻击手段。

2. 预防未知威胁:IDS可以根据已知的威胁情报对网络流量进行实时分析,从而及早发现潜在的威胁。

管理员可以通过及时更新系统规则和策略来增强网络的安全性,提前避免可能的攻击。

3. 提供实时警报和反馈:IDS能够实时监控网络流量和系统状态,并及时发出警报。

这可以帮助管理员快速响应并采取适当的措施,以减少潜在的损害或数据泄露。

4. 支持安全审计和合规性要求:入侵检测系统可以记录网络活动并生成详细的日志报告,为安全审计提供可靠的数据。

此外,IDS还可以帮助组织满足合规性要求,如GDPR、HIPAA等。

二、入侵检测系统的类型根据工作原理和部署方式的不同,入侵检测系统可以分为以下几类:1. 签名型入侵检测系统(Signature-based IDS):这种类型的IDS使用已知的攻击特征来检测入侵行为。

它会将已知的攻击签名与网络流量进行比对,如果匹配成功,则判断为入侵。

由于该类型IDS需要事先定义并更新大量的攻击签名,因此对于未知的攻击手段无法有效检测。

2. 基于异常行为检测的入侵检测系统(Anomaly-based IDS):这类IDS会建立正常网络活动的行为模型,并通过与该模型的比较来检测异常行为。

它可以及时发现未知的入侵行为,但也容易产生误报。

该类型IDS需要较长时间的学习和适应阶段,并需要不断调整和优化行为模型。

3. 巚杂入侵检测系统(Hybrid IDS):这是一种结合了签名型和基于异常行为检测的入侵检测系统的混合型IDS。

入侵检测系统的作用与实践

入侵检测系统的作用与实践近年来,随着网络的普及与发展,互联网已经成为人们生活中不可或缺的一部分。

然而,网络安全问题也随之而来。

入侵检测系统(Intrusion Detection System,简称IDS)作为一种重要的网络安全工具,发挥着不可替代的作用。

本文将探讨入侵检测系统的作用,并探究其在实践中的应用。

一、入侵检测系统的作用1. 检测潜在的入侵行为入侵检测系统通过监控网络通信和活动,及时发现潜在的入侵行为。

通过分析网络流量和事件日志,IDS能够检测到网络上的异常活动,如不明的连接请求、端口扫描、恶意软件传播等等。

通过实时监控和分析,IDS可以帮助企业及时发现并应对潜在的入侵行为,大大提高了网络安全的防护性能。

2. 提供即时警报和实时响应当入侵检测系统发现异常行为时,它会及时生成警报信息,并通知网络管理员。

管理员可以根据警报信息迅速采取相应的措施,以阻止攻击者的进一步入侵,并修复受到攻击的系统或网络。

入侵检测系统的即时响应能力,使企业能够快速捕捉并应对网络威胁,防止数据泄露和系统崩溃。

3. 收集和分析安全事件入侵检测系统不仅可以检测到入侵行为,还能够收集和分析安全事件。

它会记录攻击者的IP地址、攻击时间、攻击方式等信息,并归纳整理成安全事件报告。

这些事件报告对于安全分析和调查非常有价值,可以帮助企业更好地了解网络安全威胁的情况,并采取相应的防护措施。

二、入侵检测系统的实践应用1. 网络安全防护企业部署入侵检测系统是实践中最常见的应用之一。

通过将IDS与防火墙、入侵防御系统等安全设备结合起来,可以实现多层次的网络安全防护。

当防火墙未能阻止攻击者时,入侵检测系统可以发现并记录攻击信息,并触发相应的警报和响应机制,从而提高网络安全的防护能力。

2. 安全事件响应入侵检测系统的另一个实践应用是安全事件响应。

当网络发生安全事件时,IDS可以及时警报和通知网络管理员,让其采取相应的措施。

针对一些重要的安全事件,IDS还可以自动化响应机制,自动隔离受攻击的系统或网络,以避免进一步的损失。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

浅谈入侵检测系统
赵飒飒
(淄博职业学院山东淄博255000);i I—V吼A比L菡EV l
L
信息
科掌
[摘要]入侵检测是计算机安全体系结构中的一个重要的组成部分,入侵检测技术是对系统或者网络审计数据进行检测分析来发现入侵企图并采取保护措施的一种技术。

[关键词】入侵检测分布式
中图分类号:TP393.08文献标识码:A文章编号:1871--7597(2008)1110075--01
一、入侵检测技术
对于入侵检测(I nt r usi on D e t ect i on),一种定义认为它是一4种试图通过观察行为、安全闩志或审计数据来检测针对计算机或网络入侵的技术,这种检测通过手工或专家系统软件对日志或其它网络信息进行分析来完成。

进行入侵检测的软件与硬件的组合便是入侵检测系统(I nt r usi on
D et ec t i on Sys t em,简称I D S)。

(一)入侵检测系统的发展简史
1980年J am esP.A nd er so n在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,它对威胁进行了分类,第一次详细阐述了入侵检测的概念。

1984年到1986年乔治顿大学的D or o t hy D en ni ng和SR I公司计算机科学实验室的Pet er N eu m ann研究出了一个实时入侵检测系统模型一I D E S(I nt r us i on D et ect i on E xper t Syst e m s入侵检测弩家系统),是第一个在一个应用中运用了统计和基r规则两种技术的系统,是入侵检测研究中最有影响的一个系统。

(二)入侵检测系统的分类
入侵检测系统有不同的分类标准,按照不同的分类标准可以得到不同的分类结果,下面分别依据不同的分类标准对入侵检测进行分类。

1.按系统结构分类。

入侵检测系统按照其部件的分布情况,可以分为基于集中式入侵榆测系统和分布式入侵检测系统。

(1)集中式入侵检测系统。

集中式入侵检测系统(C e nt ra l i z ed
I nt r usi on D et ec t i on Sys t em,C I DS)中,无论监视的网络有多少主机,数据分析都在一个固定的位置进行。

C I DS采用单个数据分析组件进行数据分析,因此其扩展性较差,存在单点故障问题,同时也耗费大量的通信和处理资源。

(2)分布式入侵检测系统。

分布式入侵检测系统(D i st ri but ed
I nt r us i on D et ec t i on Syst e m,D I D S)则将数据分析任务分配给多个处于不同位置的数据分析组件,这些组件采用完全分布方式或分层方式进行协作。

根据分布的程度,又可再分为部分分布式和完全分布式结构(或称完全分布和层次性分布式)。

2.入侵检测实现方法。

入侵检测系统的实现是通过对各种事件分析,从中发现违反安全策略的行为,一般采用基于行为的检测方法和基于知识的检测方法。

(1)基于行为的入侵检测。

基于行为的入侵检测(及异常榆测)是目前入侵检测系统的主要研究方向,其特点是对系统异常行为的检测,可以发现末知的攻击模式。

该方法首先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。

这种检测方式的核心在于如何定义“正常”情况。

此方法主要问题是计算复杂,存在漏检率和误检测,同时正常行为描述模式的建证需要一定的时间。

(2)基于知识的检测。

基于知识的检测(即误用入侵检测)指运用已知攻击法,根已定义好的入侵模式,通过判断这些入侵模式足否出现来检测入侵行为。

因为很大一‘部分的入侵是利用系统的脆弱性和网络协议的弱点,通过分析入侵过程的特征、条件、排列以及事件间关系来具体描述入侵行为的迹象。

此方法其缺陷在于只能检测已知的攻击模式,但出现针对新漏洞的攻击手段或针对就漏洞的攻击于段时,需要人_J:或其它机器学习系统得出新攻击的特征模式,添加到知识库中,才能使系统具备检测新的攻击手段能力。

如同市场上杀毒软件一样,需要不断地及时升级才能保证系统检测能力的完备性。

=、入侵检翻系统的发晨趋势
随着网络技术和网络规模的不断发展,人们对于计算机网络的依赖也不断增强。

与此同时,针对刚络系统的攻击越来越普遍,攻击手法口趋复杂。

I D S也随着网络技术和相关学科的发展I f l j日趋成熟,其未来发展的趋势主要表现在以下方面:
(--)宽带高速实时的检测技术
大量高速网络技术如A T M、千兆以太网等近年里相继出现。

如何实现高速网络下的实时入侵检测已经成为现实叫临的问题。

日前的干;I E I D S产品其件能指标与实际要求相差很远。

要提高其性能丰要需考虑以下两个方面:首先,I D S的软件结构和算法需要重新’搜计,以期适应高速网的环境,提高运行速度和效率:其次,随着高速网络技术的不断发展与成熟。

新的高速网络协议的设计也必将成为未来发展的趋势,那么,现有I D S如何适应和利用未来的新网络协议将是一个全新的问题.
(二)大规模分布式的检测技术
传统的集中式I D S的基本模型是在网络的不同网段放置多个探测器收集当前网络状态的信息,然后将这蝗信息传送到中央控制台进行处理分析。

这种方式存在明显的漏警率高、网络系统性能低、不能实时反映当前网络状态等缺陷。

面对以上『日J题,新的解决方法也随之产生。

分布式的检测技术与集中式不同,它强调通过全体智能代理的协同工作来分析入侵策略。

这种方法明显优于传统集中式检测,但同时带来一些新的问题,如代理间的协作、代理闻的通信等。

这些问题仍在进一步研究之中.
参考文献:
[1]Pet er M el l a n d M a rk M cLar uon.M obi l e A ge nt at t ack r es i st ant di s t r i b ut ed hi er ar c hi cal i nt r u s i on det ec t i on s ys t en I n Pr oceedi ngs of R A I D’99,C E R I A S,Pu r due U n i ve rs i t y,1999.
[2]韩东海、王超、李群,入侵榆测系统及实例剖析.北京:清华大学出版.2002.Pg一12,P42—67.
[3]柴平碹、龚向阳、程时瑞,分布式入侵检测技术的研究北京邮电大学学报200225(2)68—73.
[4]N ecui a,’G.C.,and L e e,P.S a f e,unt r ust e d A gent s us i ng pr oof-car r yi ng code.I n Spec i al I s sue o n M obil e A ge nt
Secur i ty(3an.1998)。

G.V i gna,E d.,Spri nger—V er l ag L N cS.T o ap pe ar.
作者简介:
赵飒飒,女,汉族,山东淄博,淄博职业学院信息工程系,助教,软件工程硕士,主要研究向;计算机测量控制,计算机网络。