浅析网络入侵检测系统

  • 格式:pdf
  • 大小:141.10 KB
  • 文档页数:2
维普资讯
20 0 8年第 2期




5 3
浅析 网络入 侵检测 系统
黄现代
(陕 西 理 工 学 院数 学 系 陕 西 汉 中 7 3 0 2 0 1)
【 要】 摘 :本文针对 网络入侵检 测 系统进行 了相关的研 究。首先对入 侵检测的概念做 了简要的叙述 , 次着重分析 了当 其
统 看 成 一 台 虚 拟 计 算 机 的 观 点 简 化 了 跨 越 单 机 入 侵 行 为 的 识 D 入 侵 就是 指任 何 试 图危 及 信 息 资 源 的 机 密 性 、完 整 性 和 可 别 I M 也 应 用于 只有 单 台计 算 机 的小 型 网络 。 用 性 的行 为 而 入 侵 检 测 就 是对 入 侵 行 为 的发 觉 . 它通 过 从 计 算 33 NMP I M 模 型 - S — DS 随 着 网 络 技 术 的 飞速 发 展 . 网络 攻 击 手 段 也 越 来 越 复 杂 , 攻 机 网 络或 系统 中的 若 干 关 键 点 收 集 信 息 .并 对 这 些 信 息 进 行 分
是 由软 件 和 硬 件 组 成 的 入 侵 检 测是 防火 墙 的 合 理 补 充 . 不 影 像 攻 击 者 那 样 合 作 . 有 可 能 检 测 到入 侵 者 。 样就 要有 一 种 公 在 就 这 响 网络 性 能 的 情 况 下 能对 网 络进 行 监 测 . 而 提 供 对 内部 攻 击 、 共 的语 言 和 统 一 的数 据 表 达 格 式 .能 够让 I S系统 之 间顺 利 交 从 D 外部 攻 击 和 误 操 作 的 实 时 保 护 。 另外 . 也 扩展 了系 统 管 理 员 的 换 信 息 .从 而 实 现 分 布 式 协 同检 测 。 北 卡 罗 莱 那 州 立 大 学 的 它 e xWu等 人 从 网络 管 理 的 角 度 考 虑 I S模 型 . 突 出 了 基 于 i D 安 全管 理 能 力 . 助 于 提 高 信 息 安 全 基 础 结 构 的完 整 性 . 对 原 F l 有 是 有安 全 系 统 的 一 个 重 要 补 充 入 侵 检 测 系 统 收 集 计 算 机 系 统 和 S MP的 IS模 型 . 称 S MP IS 。 N D 简 N -D M. 网络 的信 息 . 对 这 些 信 息 加 以分 析 , 被 保 护 的 系 统 进 行 安 全 并 对 S MP I S 以 S MP为 公 共 语 言 来 实 现 I S系 统 之 间 的 N —D M N D 审计 、 控 、 击 识 别 并做 出实 时 的 反应 。 监 攻 消 息 交 换 和 协 同检 测 。 定义 了 I S MI 使 得 原 始 事 件 和 抽 象 它 D — B。 入 侵 检 测 的 主 要 功 能包 括 : 1 视 、 析 用 户及 系 统 活 动 ; 事 件 之 间 关 系 明 确 , 且 易 于 扩 展 。S MP I S 定 义 了 用 来 描 (监 1 分 并 N -D M f) 统 构 造 和 弱 点 的 审 计 ; ) 已 知进 攻 的 活 动 模 式 并 进 行 相 述 入 侵 事 件 的 管 理 信 息 库 MI 2系 (映 3 B.并 将 入 侵 事 件 分 析 为 原 始 事 件 关 人 士 报 警 ; )模 式 的 统 计 分 析 ; 1要 系 统 和 数 据 文 件 的 完 整 (a vn) 抽象 事件 f bt c E et 层 结 构 。原 始 事 件 指 的 f 4 f 5 R wE et 和 A sat vn) r 两 性 ; 1 审计 跟踪 管 理 。 识 别 用 户 违 反 安 全 策略 的行 为 。 f的 6 并
测 是 帮 助 系统 对 付 网 络 内部 攻 击 和外 部 攻 击 的一 种 解 决 方 案 。 关 入 侵 和 被监 测环 境 的全 部 安 全 假设 过程 。通 过 把 收集 到 的 分 I D 入 侵 检 测技 术 是 当今 一 种 非 常 重 要 的 动 态 安 全 技 术 ,它 与 静 态 散 数 据 进 行 加 工 抽 象 和 数 据 关 联 操 作 , M 构 造 了 一 台 虚 拟 的 机 器 环 境 . 台 机 器 由所 有 相 连 的 主 机 和 网络 组 成 。 分 布式 系 这 将 防 火墙 技 术 等 共 同 使 用 , 以大 大 提 高 系 统 的 安全 防护 水 平 。 可
功 能最 强 大 的安 全 工 具 莫 过 于 防 火 墙 ,但 是 防 火 墙 的安 全 功 能 T  ̄ (ot t 威 胁 tra 、 全 状 态 ( c rv t e。 c n x) e 、 het 安 ) s ui a ) e ts t I M 模 型 给 出了 在 推断 网络 中的 计算 机受 攻 击 时数 据 的抽 D 是 有 限 的 , 很难 防止 伪 造 I 它 P攻击 。因此 , 展 一 种新 的 网络 安 发 也 它 全 防 御手 段 来 加 强 网络 安 全 性 便 成 了 亟 待 解 决 的 问题 。入 侵 检 象 过 程 。 就 是 说 , 给 出 了将 分 散 的 原始 数 据 转 换 为 高 层 次有
简 D 该 全 以 及操 作 系 统 、 应用 软件 等 存 在 着 安 全 漏洞 ; 一 方 面 是 由于 提 出 一个 层 次 化 的入 侵 检 测 模 型 , 称 IM。 模 型 将 入 侵检 测 另 分 为 六 个 层 次 , 别 为 : 据 fa )事 件 eet 主 体 ( bet 上 分 数 dt 、 a vn 、 ) s jc 、 u ) 网络 安全 的发 展 落 后 于 网 络 攻 击 的 发 展 。目前 网络 中应 用 最 广 、
前 的 入 侵 检 测 技 术 . 目前 网络 安 全 中存 在 的 问题 和 入 侵 检 测 系统 的发 展 趋 势 做 了 简 明的 论 述 。 对
【 关键词】 :网络安 全 ; 入侵检 测
O .引 言

D nig于 1 8 enn 9 7年 最 早 提 出一个 通 用 的入 侵 检 测模 型 ( 如
随 着 计算 机技 术 、 信 技 术 和信 息 技 术 的 飞速 发展 , 种 各 图 2 1所 示 ) 通 各 . 。 该 模 型 由 6个 部 分 组 成 : ) 体 (uja ; ) 象 (bet ( 主 S bet ( 对 O jc ; 1 )2 ) 样 的 网络 应 用 已经 越 来 越 广 泛 地 渗 透 到 人 类 地 生 活 、工 作 的各
1 入 侵 检 测 的 概 念 及功 能 . 析 .从 而 发 现 网络 系 统 中 是 否 有 违 反 安 全 策 略 的行 为 和 遭 到 攻 击 者 大 都 是 通 过 合 作 的 方 式 来 攻 击 某 个 目标 系 统 。而 单 独 的 如 D 击 的 迹 象 。通 常 入 侵 检 测 系 统 (n uinD tco yt I S I S难 以发 现 这 种 类 型 的 入侵 行 为 。然 而 , 果 I S系 统 也 能够 It s eet nS s m。D ) D r o i e
A dt eod)( 活 4 A t i r e; 异 it i f 5 个 领 域 特 别 是 通 过 Itme, 们 可 以极 为 方便 地 产 生 、 送 、 (1 计 记 录(u iR crs; ) 动 简 档 (c v yPo l)() n e t人 发 3审 获 取 和 利 用 信 息 。It n t 给 人 们 带 来 巨大 便 利 的 同 时 , 产 常记 录( nma eod; 1 动规 则 。 ne e 在 r 也 A o l R cr)( 活 y 6 生 了 许多 意想 不 到 的问 题 . 网络 安 全 就是 其 中 一个 突 出 的 问 题 。 32 I M 模 型 、 D S vnS ap在 设 计 和 开 发 分 布 式 入 侵 检 测 系 统 D D t e np e I S时 , 造 成 Itre 不 安 全 的 原 因 . 方 面 是 It nt 身设 计 的 不 安 ne t n 一 ne e 本 r