檢測(cè)技術(shù)論文(2)
檢測(cè)技術(shù)論文篇二
淺析入侵檢測(cè)技術(shù)
摘 要 入侵檢測(cè)系統(tǒng)是一個(gè)能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的系統(tǒng),它能夠發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象,為網(wǎng)絡(luò)安全管理提供有價(jià)值的信息。
關(guān)鍵詞 入侵檢測(cè) 信號(hào)分析 模型匹配 分布式
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A
隨著計(jì)算機(jī)技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)系統(tǒng)已經(jīng)從獨(dú)立的主機(jī)發(fā)展到復(fù)雜的、互連的開放式系統(tǒng)。這給人們?cè)谛畔⒗煤唾Y源共享上帶來了無與倫比的便利,但又面臨著由于入侵而引發(fā)的安全問題。傳統(tǒng)的安全防御策略( 如訪問控制機(jī)制、防火墻技術(shù)等)均屬于靜態(tài)的安全防御技術(shù),對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。由于靜態(tài)的安全技術(shù)自身存在著不可克服的缺點(diǎn),促發(fā)了人們?cè)谘芯窟^程中新的探索,從而引出入侵檢測(cè)這一安全領(lǐng)域的新課題的誕生。入侵檢測(cè)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一,是防火墻的合理補(bǔ)充,是安全防御體系的一個(gè)重要組成部分。
1 入侵檢測(cè)系統(tǒng)( IDS) 執(zhí)行的主要任務(wù)
所謂IDS就是一個(gè)能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的系統(tǒng),它能夠發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象,為網(wǎng)絡(luò)安全管理提供有價(jià)值的信息。IDS 執(zhí)行的主要任務(wù)是:監(jiān)視、分析用戶及系統(tǒng)活動(dòng);對(duì)系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;異常行為模式的統(tǒng)計(jì)分析;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。
2 入侵檢測(cè)的步驟
2.1 信息收集
入侵檢測(cè)的第一步是信息收集。內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。
入侵檢測(cè)利用的信息一般來自以下4方面:系統(tǒng)和網(wǎng)絡(luò)日志文件:目錄和文件中的不期望的改變; 程序執(zhí)行中的不期望行為;物理形式的入侵信息。這包括兩個(gè)方面的內(nèi)容:一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件的連接;二是對(duì)物理資源的未授權(quán)訪問。
2.2 信號(hào)分析
對(duì)上述4 類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息, 一般通過3 種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則用于事后分析。
2.3 響應(yīng)
入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后會(huì)及時(shí)做出響應(yīng), 包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。響應(yīng)一般分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)兩種類型。主動(dòng)響應(yīng)由用戶驅(qū)動(dòng)或系統(tǒng)本身自動(dòng)執(zhí)行, 可對(duì)入侵者采取行動(dòng)、修正系統(tǒng)環(huán)境或收集有用信息;被動(dòng)響應(yīng)則包括告警和通知、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議( SNMP) 陷阱和插件等。
3 常用的入侵檢測(cè)方法
3.1基于用戶行為概率統(tǒng)計(jì)模型的入侵檢測(cè)方法
這種入侵檢測(cè)方法是基于對(duì)用戶歷史行為建模, 以及在早期的證據(jù)或模型的基礎(chǔ)上, 審計(jì)系統(tǒng)實(shí)時(shí)的檢測(cè)用戶對(duì)系統(tǒng)的使用情況, 根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè), 當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí), 保持跟蹤并監(jiān)測(cè)、記錄該用戶的行為。
3.2 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法
這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)進(jìn)行入侵檢測(cè)。因此, 這種方法對(duì)用戶行為具有學(xué)習(xí)和自適應(yīng)功能, 能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并作出入侵可能性的判斷。
3.3 基于專家系統(tǒng)的入侵檢測(cè)技術(shù)
該技術(shù)根據(jù)安全專家對(duì)可疑行為進(jìn)行分析的經(jīng)驗(yàn)來形成一套推理規(guī)則, 然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng), 由此專家系統(tǒng)自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。
4 入侵檢測(cè)技術(shù)的發(fā)展方向
4.1 分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu), 對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足, 同時(shí)不同的IDS 系統(tǒng)之間不能協(xié)同工作, 為解決這一問題, 需要分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。
4.2 智能化的入侵檢測(cè)
入侵方法越來越多樣化與綜合化, 盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域的應(yīng)用研究, 但是這只是一些嘗試性的研究工作, 需要對(duì)智能化的IDS 加以進(jìn)一步地研究以解決其自學(xué)習(xí)與自適應(yīng)能力。
4.3入侵檢測(cè)的評(píng)測(cè)方法
用戶需對(duì)眾多的IDS 系統(tǒng)進(jìn)行評(píng)價(jià), 評(píng)價(jià)指標(biāo)包括IDS 檢測(cè)范圍、系統(tǒng)資源占用、IDS 系統(tǒng)自身的可靠性。從而設(shè)計(jì)通用的入侵檢測(cè)測(cè)試與評(píng)估方法和平臺(tái), 實(shí)現(xiàn)對(duì)多種IDS 系統(tǒng)的檢測(cè)已成為當(dāng)前IDS 的另一重要研究與發(fā)展領(lǐng)域。
4.4 與其它網(wǎng)絡(luò)安全技術(shù)相結(jié)合
結(jié)合防火墻、PKIX、安全電子交易SET 等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)安全保障。
入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù), 提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù), 在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā), 入侵檢測(cè)理應(yīng)受到人們的高度重視, 這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。在國(guó)內(nèi), 隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多, 迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間, 從技術(shù)途徑來講, 除了完善常規(guī)的、傳統(tǒng)的技術(shù)( 模式識(shí)別和完整性檢測(cè)) 外, 應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。入侵檢測(cè)是保護(hù)信息系統(tǒng)安全的重要途徑, 對(duì)網(wǎng)絡(luò)應(yīng)用的發(fā)展具有重要意義與深遠(yuǎn)影響。研究與開發(fā)自主知識(shí)產(chǎn)權(quán)的IDS 系統(tǒng)將成為我國(guó)信息安全領(lǐng)域的重要課題。
參考文獻(xiàn)
[1]耿麥香.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(6).
[2]王福生.數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].現(xiàn)代情報(bào),2006(9).
[3]蔣萍.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)[J].鄭州航空工業(yè)管理學(xué)院學(xué)報(bào),2003(3).
看了“檢測(cè)技術(shù)論文”的人還看: