入侵檢測技術(shù)論文(2)
入侵檢測技術(shù)論文
入侵檢測技術(shù)論文篇二
淺析入侵檢測技術(shù)
摘 要 入侵檢測系統(tǒng)是一個能夠?qū)W(wǎng)絡(luò)或計算機(jī)系統(tǒng)的活動進(jìn)行實時監(jiān)測的系統(tǒng),它能夠發(fā)現(xiàn)并報告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象,為網(wǎng)絡(luò)安全管理提供有價值的信息。
關(guān)鍵詞 入侵檢測 信號分析 模型匹配 分布式
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A
隨著計算機(jī)技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的發(fā)展,計算機(jī)系統(tǒng)已經(jīng)從獨(dú)立的主機(jī)發(fā)展到復(fù)雜的、互連的開放式系統(tǒng)。這給人們在信息利用和資源共享上帶來了無與倫比的便利,但又面臨著由于入侵而引發(fā)的安全問題。傳統(tǒng)的安全防御策略( 如訪問控制機(jī)制、防火墻技術(shù)等)均屬于靜態(tài)的安全防御技術(shù),對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動的反應(yīng)。由于靜態(tài)的安全技術(shù)自身存在著不可克服的缺點(diǎn),促發(fā)了人們在研究過程中新的探索,從而引出入侵檢測這一安全領(lǐng)域的新課題的誕生。入侵檢測是動態(tài)安全技術(shù)的最核心技術(shù)之一,是防火墻的合理補(bǔ)充,是安全防御體系的一個重要組成部分。
1 入侵檢測系統(tǒng)( IDS) 執(zhí)行的主要任務(wù)
所謂IDS就是一個能夠?qū)W(wǎng)絡(luò)或計算機(jī)系統(tǒng)的活動進(jìn)行實時監(jiān)測的系統(tǒng),它能夠發(fā)現(xiàn)并報告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象,為網(wǎng)絡(luò)安全管理提供有價值的信息。IDS 執(zhí)行的主要任務(wù)是:監(jiān)視、分析用戶及系統(tǒng)活動;對系統(tǒng)構(gòu)造和弱點(diǎn)的審計;識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。
2 入侵檢測的步驟
2.1 信息收集
入侵檢測的第一步是信息收集。內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。
入侵檢測利用的信息一般來自以下4方面:系統(tǒng)和網(wǎng)絡(luò)日志文件:目錄和文件中的不期望的改變; 程序執(zhí)行中的不期望行為;物理形式的入侵信息。這包括兩個方面的內(nèi)容:一是未授權(quán)的對網(wǎng)絡(luò)硬件的連接;二是對物理資源的未授權(quán)訪問。
2.2 信號分析
對上述4 類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息, 一般通過3 種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計分析和完整分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
2.3 響應(yīng)
入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后會及時做出響應(yīng), 包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。響應(yīng)一般分為主動響應(yīng)和被動響應(yīng)兩種類型。主動響應(yīng)由用戶驅(qū)動或系統(tǒng)本身自動執(zhí)行, 可對入侵者采取行動、修正系統(tǒng)環(huán)境或收集有用信息;被動響應(yīng)則包括告警和通知、簡單網(wǎng)絡(luò)管理協(xié)議( SNMP) 陷阱和插件等。
3 常用的入侵檢測方法
3.1基于用戶行為概率統(tǒng)計模型的入侵檢測方法
這種入侵檢測方法是基于對用戶歷史行為建模, 以及在早期的證據(jù)或模型的基礎(chǔ)上, 審計系統(tǒng)實時的檢測用戶對系統(tǒng)的使用情況, 根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計模型進(jìn)行檢測, 當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時, 保持跟蹤并監(jiān)測、記錄該用戶的行為。
3.2 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法
這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)進(jìn)行入侵檢測。因此, 這種方法對用戶行為具有學(xué)習(xí)和自適應(yīng)功能, 能夠根據(jù)實際檢測到的信息有效地加以處理并作出入侵可能性的判斷。
3.3 基于專家系統(tǒng)的入侵檢測技術(shù)
該技術(shù)根據(jù)安全專家對可疑行為進(jìn)行分析的經(jīng)驗來形成一套推理規(guī)則, 然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng), 由此專家系統(tǒng)自動對所涉及的入侵行為進(jìn)行分析該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。
4 入侵檢測技術(shù)的發(fā)展方向
4.1 分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu), 對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足, 同時不同的IDS 系統(tǒng)之間不能協(xié)同工作, 為解決這一問題, 需要分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。
4.2 智能化的入侵檢測
入侵方法越來越多樣化與綜合化, 盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域的應(yīng)用研究, 但是這只是一些嘗試性的研究工作, 需要對智能化的IDS 加以進(jìn)一步地研究以解決其自學(xué)習(xí)與自適應(yīng)能力。
4.3入侵檢測的評測方法
用戶需對眾多的IDS 系統(tǒng)進(jìn)行評價, 評價指標(biāo)包括IDS 檢測范圍、系統(tǒng)資源占用、IDS 系統(tǒng)自身的可靠性。從而設(shè)計通用的入侵檢測測試與評估方法和平臺, 實現(xiàn)對多種IDS 系統(tǒng)的檢測已成為當(dāng)前IDS 的另一重要研究與發(fā)展領(lǐng)域。
4.4 與其它網(wǎng)絡(luò)安全技術(shù)相結(jié)合
結(jié)合防火墻、PKIX、安全電子交易SET 等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)安全保障。
入侵檢測作為一種積極主動的安全防護(hù)技術(shù), 提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù), 在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā), 入侵檢測理應(yīng)受到人們的高度重視, 這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。在國內(nèi), 隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多, 迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品。入侵檢測產(chǎn)品仍具有較大的發(fā)展空間, 從技術(shù)途徑來講, 除了完善常規(guī)的、傳統(tǒng)的技術(shù)( 模式識別和完整性檢測) 外, 應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計分析的相關(guān)技術(shù)研究。入侵檢測是保護(hù)信息系統(tǒng)安全的重要途徑, 對網(wǎng)絡(luò)應(yīng)用的發(fā)展具有重要意義與深遠(yuǎn)影響。研究與開發(fā)自主知識產(chǎn)權(quán)的IDS 系統(tǒng)將成為我國信息安全領(lǐng)域的重要課題。
參考文獻(xiàn)
[1]耿麥香.網(wǎng)絡(luò)入侵檢測技術(shù)研究綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(6).
[2]王福生.數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].現(xiàn)代情報,2006(9).
[3]蔣萍.網(wǎng)絡(luò)入侵檢測技術(shù)[J].鄭州航空工業(yè)管理學(xué)院學(xué)報,2003(3).
看了“入侵檢測技術(shù)論文”的人還看:
2.計算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)論文