關(guān)于入侵檢測(cè)技術(shù)論文
關(guān)于入侵檢測(cè)技術(shù)論文
檢測(cè)技術(shù)是一個(gè)能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的技術(shù),下面是學(xué)習(xí)啦小編整理的關(guān)于入侵檢測(cè)技術(shù)論文,希望你能從中得到感悟!
關(guān)于入侵檢測(cè)技術(shù)論文篇一
入侵檢測(cè)技術(shù)探討
摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的增多,網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)峻。本文介紹了入侵檢測(cè)系統(tǒng)的概念,并對(duì)入侵檢測(cè)技術(shù)進(jìn)行了簡(jiǎn)要的分析,探討了一些現(xiàn)階段主要的入侵檢測(cè)技術(shù),最后展望了入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)及主要研究方向。
關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測(cè);入侵檢測(cè)技術(shù);入侵檢測(cè)系統(tǒng)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2012) 01-0000-02
Intrusion Detection Technology Study
Gu Xiaoning
(Jining Teachers College Computer Science Department,Wulanchabu012000,China)
Abstract:With the application of the computer net-work increasing, the problem about net-work security is more and more serious day by day. The concept of the incursion detecting system was introduced in this thesis,and simply analyzed incursion detecting technology while the mostly used detecting technology nowadays was discussed.In the last,the development trend and main research direct of the technology was viewed.
Keywords:Network security;Intrusion detection;Detection technology;
Intrusion detection system
一、引言
伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展,各種網(wǎng)絡(luò)攻擊和入侵事件時(shí)有發(fā)生,所造成的破壞性和損失日益嚴(yán)重。網(wǎng)絡(luò)安全威脅愈加被人們所重視。
傳統(tǒng)的信息安全方法都是靜態(tài)的安全防御技術(shù),面對(duì)現(xiàn)今復(fù)雜多變的入侵手段難以應(yīng)付。而入侵檢測(cè)是一種動(dòng)態(tài)安全的核心技術(shù),它通過(guò)對(duì)入侵行為的發(fā)覺(jué),收集信息進(jìn)行分析,并做出實(shí)時(shí)的響應(yīng),從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊擊的跡象,在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),提供對(duì)系統(tǒng)的實(shí)時(shí)保護(hù)[1]。
二、入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)是傳統(tǒng)操作系統(tǒng)加固和防火墻隔離技術(shù)的合理補(bǔ)充,它的功能是監(jiān)控并分析系統(tǒng)及用戶活動(dòng),檢查系統(tǒng)的配置和漏洞,發(fā)現(xiàn)已知的攻擊行為以及分析異常行為,對(duì)系統(tǒng)日志進(jìn)行管理并識(shí)別非正?;顒?dòng),對(duì)發(fā)現(xiàn)的入侵行為進(jìn)行告警和響應(yīng)等。它能夠保護(hù)網(wǎng)絡(luò)安全策略,可以提高系統(tǒng)管理員的安全管理能力和信息安全基礎(chǔ)結(jié)構(gòu)的完整性。理想的入侵檢測(cè)系統(tǒng)應(yīng)該管理方便、配置簡(jiǎn)單,擴(kuò)展性強(qiáng)、保護(hù)范圍廣。應(yīng)該具備動(dòng)態(tài)自適應(yīng)性,應(yīng)能夠根據(jù)網(wǎng)絡(luò)的規(guī)模、系統(tǒng)的構(gòu)造和安全需求的改變而改變。
(一)入侵檢測(cè)系統(tǒng)的工作模式
入侵檢測(cè)的工作過(guò)程一般分四個(gè)方面:
(1)對(duì)信息進(jìn)行采集。(2)分析該信息,試圖尋找入侵活動(dòng)的特征。(3)對(duì)檢測(cè)到的行為自動(dòng)作出響應(yīng)。(4)記錄并處理結(jié)果。
(二)入侵檢測(cè)系統(tǒng)的分類[2]
1.根據(jù)目標(biāo)系統(tǒng)的類型來(lái)看,可以分為兩類
(1)基于主機(jī)(Host-Based)的入侵檢測(cè)系統(tǒng)。通常,基于主機(jī)的入侵檢測(cè)系統(tǒng)可監(jiān)測(cè)系統(tǒng)事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。它通過(guò)監(jiān)視并分析主機(jī)系統(tǒng)的日志、端口調(diào)用和安全審計(jì)記錄等來(lái)檢測(cè)入侵,保護(hù)主機(jī)的系統(tǒng)安全。
(2)基于網(wǎng)絡(luò)(Network-Based)的入侵檢測(cè)系統(tǒng)。該類型的入侵檢測(cè)系統(tǒng)主要作用是針對(duì)保護(hù)網(wǎng)絡(luò)。該系統(tǒng)由混雜模式下的網(wǎng)絡(luò)適配器組成,用來(lái)識(shí)別網(wǎng)絡(luò)中的原始數(shù)據(jù)包,實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。
2.根據(jù)入侵檢測(cè)系統(tǒng)分析的數(shù)據(jù)來(lái)源
入侵檢測(cè)系統(tǒng)分析的數(shù)據(jù)可以是主機(jī)系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報(bào)警日志以其他入侵檢測(cè)系統(tǒng)的報(bào)警信息等
3.根據(jù)入侵檢測(cè)方法可以分為兩類
(1)異常入侵檢測(cè)檢測(cè)。該類型的系統(tǒng)基于正常狀態(tài)數(shù)據(jù)特征判斷主體系統(tǒng)是否入侵。
(2)誤用入侵檢測(cè)。該檢測(cè)系統(tǒng)收集非正常數(shù)據(jù)特征通過(guò)匹配來(lái)確定系統(tǒng)中是否有入侵和攻擊。
4.根據(jù)系統(tǒng)各個(gè)模塊運(yùn)行的分布方式
(1)集中式入侵檢測(cè)系統(tǒng);(2)分布式入侵檢測(cè)系統(tǒng)。
(三)入侵檢測(cè)的系統(tǒng)的數(shù)據(jù)源
1.基于主機(jī)的數(shù)據(jù)源
(1)系統(tǒng)運(yùn)行狀態(tài)信息;(2)系統(tǒng)記帳信息;(3)系統(tǒng)日志。
2.基于網(wǎng)絡(luò)的數(shù)據(jù)源
(1)SNMP信息;(2)網(wǎng)絡(luò)通信包
3.應(yīng)用程序日志文件
4.其他入侵檢測(cè)系統(tǒng)的報(bào)警信息
三、入侵檢測(cè)技術(shù)
入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù)。它在系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動(dòng)采集信息,從中發(fā)現(xiàn)內(nèi)部、外部攻擊與合法用戶是否濫用特權(quán)。入侵檢測(cè)技術(shù)可以根據(jù)用戶的歷史行為或的當(dāng)前操作,完成對(duì)入侵的檢測(cè),根據(jù)系統(tǒng)入侵的痕跡,來(lái)恢復(fù)和處理數(shù)據(jù)[1]。
(一)入侵檢測(cè)的過(guò)程。入侵檢測(cè)的過(guò)程分為三步:信息收集、信息分析以及告警與響應(yīng)[5]。
1.信息收集。想要入侵檢測(cè)就必須有信息收集,具體內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為等。信息收集要盡可能的擴(kuò)大范圍,從一個(gè)信息源來(lái)的信息可能看不出什么,但是從多個(gè)信息源收集到的不同信息能夠最大限度的識(shí)別可疑行為或入侵。
2.信息分析。入侵檢測(cè)系統(tǒng)收集到的信息量非常大,而且大部分都是正常的信息。想要從龐大的信息中找出少部分的異常入侵信息,就要通過(guò)信息分析。所以說(shuō)信息分析是入侵檢測(cè)過(guò)程的核心環(huán)節(jié)。
3.告警與響應(yīng)。入侵檢測(cè)發(fā)現(xiàn)系統(tǒng)發(fā)生變更后,產(chǎn)生警告并采取響應(yīng)措施,告訴管理員有入侵發(fā)生或者直接處理。
(二)入侵分析的模型。入侵分析是入侵檢測(cè)的核心。在這里,我們把入侵分析的處理過(guò)程分為三個(gè)階段:構(gòu)建分析器、對(duì)現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析、反饋和提煉[2]。
1.構(gòu)建分析器
分析器可以執(zhí)行預(yù)處理、分類和后處理的核心功能
(1)可以收集并生成事件信息;(2)分析預(yù)處理信息;(3)建立一個(gè)行為分析引擎。
2.對(duì)現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析
(1)輸入事件記錄;(2)進(jìn)行預(yù)處理;(3)比較事件記錄和知識(shí)庫(kù);(4)產(chǎn)生響應(yīng)。
3.反饋和提煉
(三)入侵檢測(cè)的分析方法
1.誤用檢測(cè)。誤用入侵檢測(cè)的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段,建立相關(guān)的特征庫(kù)。對(duì)當(dāng)前的數(shù)據(jù)源來(lái)源進(jìn)行各種處理后,再進(jìn)行特征匹配或者規(guī)則匹配工作,如果發(fā)現(xiàn)滿足條件的匹配,則認(rèn)為發(fā)生了一次攻擊行為[4]。
2.異常檢測(cè)。異常入侵檢測(cè)通過(guò)觀察當(dāng)前活動(dòng)與系統(tǒng)歷史正?;顒?dòng)情況之間的差異來(lái)實(shí)現(xiàn)。首先建立一個(gè)關(guān)于系統(tǒng)正?;顒?dòng)的狀態(tài)模型并不斷進(jìn)行更新,當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí),則指示發(fā)現(xiàn)了非法攻擊行為[9]。
(四)告警與響應(yīng)
在完成系統(tǒng)安全狀況的分析并確定出系統(tǒng)問(wèn)題以后,就應(yīng)該讓人們知道這些問(wèn)題的存在,這個(gè)階段就叫做響應(yīng)期。響應(yīng)又可以分為兩種模式:被動(dòng)響應(yīng)和主動(dòng)響應(yīng)。
被動(dòng)響應(yīng)就是系統(tǒng)只簡(jiǎn)單的記錄和報(bào)告所檢測(cè)出來(lái)的問(wèn)題,而主動(dòng)響應(yīng)則是系統(tǒng)主動(dòng)阻斷攻擊防止入侵[5]。
四、入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)
前面介紹了入侵檢測(cè)系統(tǒng)和入侵檢測(cè)技術(shù)的基本概念和功能,并對(duì)典型入侵檢測(cè)技術(shù)進(jìn)行了分析。通過(guò)這些介紹和分析,可以得出結(jié)論:入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全解決方案的一個(gè)重要組成部分。雖然入侵檢測(cè)的研究已經(jīng)取得了相當(dāng)?shù)倪M(jìn)展,但是由于現(xiàn)階段信息技術(shù)不斷進(jìn)步,入侵檢測(cè)技術(shù)已不能滿足需要。今后的入侵檢測(cè)技術(shù)主要朝以下幾個(gè)方向發(fā)展:
(一)寬帶高速實(shí)時(shí)的檢測(cè)技術(shù)。網(wǎng)絡(luò)帶寬迅速增長(zhǎng),寬帶接入手段種類繁多,如何實(shí)時(shí)檢測(cè)高速網(wǎng)絡(luò)下的入侵行為成為必須解決的問(wèn)題。因此對(duì)入侵檢測(cè)的處理能力提出更高的要求。
(二)大規(guī)模分布式的檢測(cè)技術(shù)。統(tǒng)一集中式入侵檢測(cè)方式存在明顯的缺陷。首先,對(duì)于大規(guī)模的分布式攻擊會(huì)造成大量的信息處理遺漏,導(dǎo)致漏報(bào)率的增高。其次,由于網(wǎng)絡(luò)傳輸?shù)难訒r(shí)問(wèn)題,收集到的數(shù)據(jù)信息不能實(shí)時(shí)的反映當(dāng)前的網(wǎng)絡(luò)狀態(tài)[7]。為了解決這些問(wèn)題,大部分系統(tǒng)采用了分布式的結(jié)構(gòu)。
(三)智能化入侵檢測(cè)。使用智能化的方法與手段來(lái)進(jìn)行入侵檢測(cè)。所謂的智能化方法,現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法,這些方法常用于入侵特征的辨認(rèn)與泛化。從某種程度上講,入侵檢測(cè)技術(shù)一直領(lǐng)先與安全技術(shù)的發(fā)展,兩者相互推動(dòng)、互相促進(jìn)。隨著網(wǎng)絡(luò)的日益普及和各種黑客工具的蔓延,入侵的復(fù)雜化趨勢(shì)也越來(lái)越明顯,向著分布式、隱蔽化方向發(fā)展。因此,為了適應(yīng)新的發(fā)展形式,智能化入侵檢測(cè)具有更廣泛的應(yīng)用前景。
(四)多種分析方法并存。對(duì)于入侵檢測(cè)系統(tǒng),分析方法是系統(tǒng)的核心?,F(xiàn)在的入侵檢測(cè)系統(tǒng)有很多入侵檢測(cè)分析方法,但大部分分析方法只適應(yīng)某些種類的入侵。所以在目前情況下,多種分析方法綜合運(yùn)用是一個(gè)值得研究的問(wèn)題。
五、結(jié)論
入侵檢測(cè)作為一種主動(dòng)性地安全防護(hù)技術(shù),最大的優(yōu)勢(shì)是提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),預(yù)先對(duì)入侵活動(dòng)進(jìn)行攔截和響應(yīng)。在網(wǎng)絡(luò)信息安全立體縱深、多重防御的發(fā)展趨勢(shì)下,未來(lái)的入侵檢測(cè)系統(tǒng)可以軟硬件結(jié)合,配合其他網(wǎng)絡(luò)管理軟件,提供更加及時(shí)、準(zhǔn)確的檢測(cè)手段。
參考文獻(xiàn):
[[1]Rebecca Gurley Bace.入侵檢測(cè)[M].北京:人民郵電出版社,2001
[2]蔣建春,馮登國(guó).網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].北京:國(guó)防工業(yè)出版社,2002
[3]Paul E.Proctor,鄧琦皓等譯.入侵檢測(cè)實(shí)用手冊(cè)[M].北京:中國(guó)電力出版社,2002
[4]韓東海,王超,李群.入侵檢測(cè)系統(tǒng)實(shí)例剖析[M].北京:清華大學(xué)出版社,2002
[5]戴英俠,連一峰等.系統(tǒng)安全與入侵檢測(cè)[M].北京:清華大學(xué)出版,2002
[6]薛靜鋒,寧宇鵬,閻慧.IDS入侵檢測(cè)技術(shù)[M].北京:機(jī)械工業(yè)出版社,2004
[7]宋勁松.網(wǎng)絡(luò)入侵檢測(cè)的分析、發(fā)現(xiàn)和報(bào)告攻擊[M].北京:國(guó)防工業(yè)出版社,2004
[8]唐正軍,李建華.入侵檢測(cè)技術(shù)[M].北京:清華大學(xué)出版社,2004
[9]唐正軍.入侵檢測(cè)技術(shù)導(dǎo)論[M].北京:機(jī)械工業(yè)出版社,2004
點(diǎn)擊下頁(yè)還有更多>>>關(guān)于入侵檢測(cè)技術(shù)論文