谈入侵检测系统探究

《谈入侵检测系统探究》由会员分享，可在线阅读，更多相关《谈入侵检测系统探究（8页珍藏版）》请在装配图网上搜索。

1、谈入侵检测系统探究 引言 多年来，伴随信息和络技术的高速发展和政治、经济或军事利益的驱动，计算机和络基础设施，非通常多种官方机构的站，成为黑客攻击的热门目标。多年来对电子商务的热切需求，愈加激化了这种入侵事件的增加趋向。因为防火墙只防外不防内，而且很轻易被绕过，因此仅仅依靠防火墙的计算机系统已经不能对付日益猖獗的入侵行为，对付入侵行为的第二道防线入侵检测系统就被启用了。 1 入侵检测系统（IDS）概念 1980年，James P.Anderson 第一次系统论述了入侵检测的概念，并将入侵行为分为外部滲透、内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想1。即其以后,1986年Do

2、rothy E.Denning提出实时异常检测的概念2并建立了第一个实时入侵检测模型，命名为入侵检测教授系统（IDES），1990年，L.T.Heberlein等设计出监视络数据流的入侵检测系统，NSM(Network Security Monitor)。自此以后，入侵检测系统才真正发展起来。 Anderson将入侵尝试或威胁定义为摘要：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为4摘要：发觉非授权使用计算机的个体（如“黑客”）或计算机系统的正当用户滥用其访问系统的权利和企图实施上述行为的个体。实施入侵检测任务的程序即是入侵检测系统。入侵检

3、测系统也能够定义为摘要：检测企图破坏计算机的完整性，真实性和可用性的行为的软件。 入侵检测系统实施的关键任务包含3摘要：监视、分析用户及系统活动；审计系统结构和弱点；识别、反应已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评定主要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反平安策略的行为。入侵检测通常分为三个步骤摘要：信息搜集、数据分析、响应。 入侵检测的目标摘要：（1）识别入侵者；（2）识别入侵行为；（3）检测和监视以实施的入侵行为；（4）为对抗入侵提供信息，阻止入侵的发生和事态的扩大；2 入侵检测系统模型 美国斯坦福国际探究所（SRI）的D.E.Denning于

4、1986年首次提出一个入侵检测模型2，该模型的检测方法就是建立用户正常行为的描述模型，并以此同目前用户活动的审计统计进行比较，假如有较大偏差，则表示有异常活动发生。这是一个基于统计的检测方法。伴随技术的发展，以后大家又提出了基于规则的检测方法。结合这两种方法的优点，大家设计出很多入侵检测的模型。通用入侵检测构架（Common Intrusion Detection Framework简称CIDF）组织，试图将现有的入侵检测系统标准化，CIDF论述了一个入侵检测系统的通用模型（通常称为CIDF模型）。它将一个入侵检测系统分为以下四个组件摘要： 事件产生器(Event Generators)事件分

5、析器(Event analyzers)响应单元(Response units)事件数据库(Event databases) 它将需要分析的数据通称为事件，事件能够是基于络的数据包也能够是基于主机的系统日志中的信息。事件产生器的目标是从整个计算机环境中取得事件，并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功效单元，它能够做出切断连接、修改文件属性等强烈反应。事件数据库是存放多种中间和最终数据的地方的通称，它能够是复杂的数据库也能够是简单的文本文件。 3 入侵检测系统的分类摘要： 现有的IDS的分类，大全部基于信息源和分析方法。为了表现对ID

6、S从布局、采集、分析、响应等各个层次及系统性探究方面的新问题，在这里采取五类标准摘要：控制策略、同时技术、信息源、分析方法、响应方法。 根据控制策略分类 控制策略描述了IDS的各元素是怎样控制的，和IDS的输入和输出是怎样管理的。根据控制策略IDS能够划分为，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一个中心节点控制系统中全部的监视、检测和汇报。在部分分布式IDS中，监控和探测是由当地的一个控制点控制，层次似的将汇报发向一个或多个中心站。在全分布式IDS中，监控和探测是使用一个叫“代理”的方法，代理进行分析并做出响应决议。 根据同时技术分类 同时技术是指被监控的事件和

7、对这些事件的分析在同一时间进行。根据同时技术划分，IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中，信息源是以文件的形式传给分析器，一次只处理特定时间段内产生的信息，并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS全部采取这种方案。在实时连续型IDS中，事件一发生，信息源就传给分析引擎，而且立即得四处理和反应。实时IDS是基于络IDS首选的方案。 根据信息源分类 根据信息源分类是现在最通用的划分方法，它分为基于主机的IDS、基于络的IDS和分布式IDS。基于主机的IDS经过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在

8、关键的段或交换部位经过捕捉并分析络数据包来检测攻击。分布式IDS，能够同时分析来自主机系统日志和络数据流，系统由多个部件组成，采取分布式结构。 根据分析方法分类 根据分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中，首先建立一个对过去多种入侵方法和系统缺点知识的数据库，当搜集到的信息和库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为正当，所以这么的系统虚警率很低。异常检测型IDS是建立在以下假设的基础之上的，即任何一个入侵行为全部能因为其偏离正常或所期望的系统和用户活动规律而被检测出来。因此它需要一个统计正当活动的数据库，因为库的有限性使得虚警率比较高。

9、根据响应方法分类 根据响应方法IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时，主动IDS会采取以下三种响应摘要：搜集辅助信息；改变环境以堵住造成入侵发生的漏洞；对攻击者采取行动（这是一个不被推荐的做法，因为行为有点过激）。被动响应IDS则是将信息提供给系统用户，依靠管理员在这一信息的基础上采取深入的行动。 4 IDS的评价标准 现在的入侵检测技术发展快速，应用的技术也很广泛，怎样来评价IDS的优缺点就显得很主要。评价IDS的优劣关键有这么多个方面5摘要：（1）正确性。正确性是指IDS不会标识环境中的一个正当行为为异常或入侵。（2）性能。IDS的性能是指处理审计事件的速度。对

10、一个实时IDS来说，必需要求性能良好。（3）完整性。完整性是指IDS能检测出全部的攻击。（4）故障容错（fault tolerance）。当被保护系统遭到攻击和毁坏时，能快速恢复系统原有的数据和功效。（5）本身反抗攻击能力。这一点很主要，尤其是“拒绝服务”攻击。因为多数对目标系统的攻击全部是采取首先用“拒绝服务”攻击摧毁IDS，再实施对系统的攻击。（6）立即性（Timeliness）。一个IDS必需立即地实施和传送它的分析结果，方便在系统造成严重危害之前能立即做出反应，阻止攻击者破坏审计数据或IDS本身。 除了上述多个关键方面，还应该考虑以下多个方面摘要：（1）IDS运行时，额外的计算机的开销

11、；（2）误警报率漏警报率的程度；（3）适应性和扩展性；（4）灵活性；（5）管理的开销；（6）是否便于使用和配置。5 IDS的发展趋伴随入侵检测技术的发展，成型的产品已陆续应用到实践中。入侵检测系统的经典代表是ISS（国际互联平安系统企业）企业的RealSecure。现在较为著名的商用入侵检测产品还有摘要：NAI企业的CyberCop Monitor、Axent企业的NetProwler、CISCO企业的Netranger、CA企业的Sessionwall3等。我国的该类产品较少，但发展很快，已经有总参北方所、中科威、启明星辰等企业推出产品。大家在完善原有技术的基础上，又在探究新的检测方法，如数

12、据融合技术，主动的自主代理方法，智能技术和免疫学原理的应用等。其关键的发展方向可概括为摘要：（1）大规模分布式入侵检测。传统的入侵检测技术通常只局限于单一的主机或络框架，显然不能适应大规模络的监测，不一样的入侵检测系统之间也不能协同工作。所以，必需发展大规模的分布式入侵检测技术。（2）宽带高速络的实时入侵检测技术。大量高速络的不停涌现，多种宽带接入手段层出不穷，怎样实现高速络下的实时入侵检测成为一个现实的新问题。（3）入侵检测的数据融合技术。现在的IDS还存在着很多缺点。首先，现在的技术还不能对付练习有素的黑客的复杂的攻击。其次，系统的虚警率太高。最终，系统对大量的数据处理，非但无助于处理新问

13、题，还降低了处理能力。数据融合技术是处理这一系列新问题的好方法。（4）和络平安技术相结合。结合防火墙，病毒防护和电子商务技术，提供完整的络平安保障。6 结束语在现在的计算机平安状态下，基于防火墙、加密技术的平安防护当然主要，不过，要根本改进系统的平安现在情况，必需要发展入侵检测技术，它已经成为计算机平安策略中的关键技术之一。IDS作为一个主动的平安防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。伴随络通信技术平安性的要求越来越高，入侵检测技术必将受到大家的高度重视。参考文件摘要：1 Anderson J P. Computer security threat monitoring and surveillance P . PA 19034,USA, 1980.42Denning D E .An IntrusionDetection Model A . IEEE Symp on Security %26amp; PrivacyC ,1986.1181313 张杰，戴英侠，入侵检测系统技术现在情况及其发展趋向J，计算机和通信，2021.6摘要：28324 曾昭苏，王锋波，基于数据开采技术的入侵检测系统J，自动化博览，2021,8摘要:29315 唐洪英，付国瑜，入侵检测的原理和方法J，重庆工学院学报，2021.4摘要：7173