计算机网络入侵检测技术

《计算机网络入侵检测技术》由会员分享，可在线阅读，更多相关《计算机网络入侵检测技术（3页珍藏版）》请在装配图网上搜索。

1、计算机网络入侵检测技术摘要：入侵检测技术是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术，它能对计算机和网络资源的恶意使用行为进行识别和响应。本文首先从概念、功能和检测方法等方面入手介绍了计算机网络入侵检测技术，然后从当前网络现状出发分析了目前可采用的入侵检测技术，最后从多层次防御的角度出发提出了入侵检测技术的发展方向。关键词：入侵检测；异常检测；误用检测；安全防御前言：在网络技术日新月异的今天，基于网络的计算机应用已经成为发展的主流。政府 教育商业金融等机构纷纷连入in ternet，全社会信息共享已逐步成为现实。然而近年来网上黑客的攻击活动以每年 10倍的速度增长。因此，保证计

2、算机系统网络系统及整个信息基础设施的安全已成为刻不容缓的课题。防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用，其主要功能是控制对网络的非法访问，通过监视、限制、更改通过网络的数据 流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，为了弥补防火墙存在缺陷，引入了入侵检测IDS（Intrusion Detection System）技术。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理

3、能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作 的实时保护。1、入侵检测入侵检测分为三个步骤：（1）信息收集：入侵检测的第一步是信息收集，收集内容包括 系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。（2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息， 被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、 统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发

4、送给控制台。（3）结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、 异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前， 识别并驱除入侵者， 使系统迅速恢复正常工

5、作，并且阻止入侵者进一步的行动，同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。入侵检测可分为基于主机型、 基于网络型、基于代理型三类。2、入侵检测分类及存在的问题入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。根据不同的检测方法，将入侵检测分为异常入侵检测（Anomaly Detection）和误用人侵检测（Misuse Detection）。异常检测又称为基于行为的检测。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一

6、种间接的检测方法。常用的具体方法有：统计异常检测方法、 基于特征选择异常检测方法、 基于贝叶斯推理异常检测方法、 基于贝叶斯网 络异常检测方法、 基于模式预测异常检测方法、 基于神经网络异常检测方法、 基于机器学习 异常检测方法、基于数据采掘异常检测方法等。采用异常检测的关键问题有如下两个方面：（1）特征量的选择 在建立系统或用户的行为特征轮廓的正常模型时， 选取的特征量既要能准确地体现系统或用 户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。（2）参考阈值的选定 由于异常检测是以正常的特征轮廓作为比较的参考基准，因此， 参考阈值的选定是非常关键的。阈值设定得过大

7、，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考 阈值的选定是决定这一检测方法准确率的至关重要的因素。 由此可见， 异常检测技术难点是 “正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约， 异常检测的虚警率很高， 但对于未知的入侵行为的检测非常有效。 此外， 由于需要实时地建 立和更新系统或用户的特征轮廓，这样所需的计算量很大，对系统的处理性能要求很高。误用检测又称为基于知识的检测。 其基本前提是： 假定所有可能的入侵行为都能被识别和 表示。 首先，对已知的攻击方法进行攻击签名，然后根据已经定义好的攻击签名， 通过判断 这些攻击签名是否出现来判断入侵行

8、为的发生与否。 这种方法是依据是否出现攻击签名来判 断入侵行为，是一种直接的方法。常用的具体方法有：基于条件概率误用入侵检测方法、基 于专家系统误用入侵检测方法、 基于状态迁移分析误用入侵检测方法、 基于键盘监控误用入 侵检测方法、 基于模型误用入侵检测方法。 误用检测的关键问题是攻击签名的正确表示。 误 用检测是根据攻击签名来判断入侵的， 根据对已知的攻击方法的了解， 用特定的模式语言来 表示这种攻击， 使得攻击签名能够准确地表示入侵行为及其所有可能的变种， 同时又不会把 非入侵行为包含进来。 由于多数入侵行为是利用系统的漏洞和应用程序的缺陷， 因此， 通过 分析攻击过程的特征、条件、排列以

9、及事件间的关系，就可具体描述入侵行为的迹象。 这些 迹象不仅对分析已经发生的入侵行为有帮助， 而且对即将发生的入侵也有预警作用。 误用检 测将收集到的信息与已知的攻击签名模式库进行比较， 从中发现违背安全策略的行为。 由于 只需要收集相关的数据， 这样系统的负担明显减少。 该方法类似于病毒检测系统， 其检测的 准确率和效率都比较高。 但是它也存在一些缺点， 如未知的入侵方法就不能进行有效的检测， 对于不同实现机制的操作系统，由于攻击的方法不尽相同，很难定义出统一的模式库等。3、入侵检测的发展方向目前 IDS 存在的缺陷入侵检测系统作为网络安全防护的重要手段，有很多地方值得我们 进一步深入研究。

10、目前的 IDS 还存在很多问题，有待于我们进一步完善。a. 高误警（误报）率误警的传统定义是将良性流量误认为恶性的。广义上讲，误警还包括对IDS 用户不关心事件的告警。因此，导致 IDS 产品高误警率的原因是 IDS 检测精度过低以及用户对误警 概念的拓展。b. 产品适应能力低传统的 IDS 产品在开发时没有考虑特定网络环境的需求，千篇一律。网络技术在发展， 网络设备变得复杂化、 多样化， 这就需要入侵检测产品能动态调整， 以适应不同环境的需求。c. 大型网络的管理问题很多企业规模在不断扩大，对 IDS 产品的部署从单点发展到跨区域全球部署，这就将 公司对产品管理的问题提上日程。 首先，要确保

11、新的产品体系结构能够支持数以百计的 IDS 传感器；其次，要能够处理传感器产生的告警事件；此外，还要解决攻击特征库的建立，配 置以及更新问题。d. 缺少防御功能检测，作为一种被动且功能有限的技术，缺乏主动防御功能。因此，需要在下一代IDS产品中嵌入防御功能，才能变被动为主动。e. 评价IDS产品没有统一标准对入侵检测系统的评价目前还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断升级才能保证网络的安全性。f. 处理速度上的瓶颈随着高速网络技术如ATM、千兆以太网等的相继出现，如何实现高速网络下的实时入侵检测是急需解决的问题。目前

12、的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。为了降低误警率、合理部署多级传感器、有效控制跨区域的传感器，下一代入侵检测产品需 要包含以下关键技术智能关联是将企业相关系统的信息（如主机特征信息）与网络IDS检测结构相融合，从而减少误警。如系统的脆弱性信息需要包括特定的操作系统（OS）以及主机上运行的服务。综上所述，入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，使网络系统在受到危害之前即拦截和响应入侵行为，为网络安全增加一道屏障。随着入侵检测的研究与开发，并在实际应用中与其它网络管理软件相结合，使网络安全可以从立体纵深、多层次防御的角度出发，

13、形成入侵检测、网络管理、网络监控三位一体化，从而更加有效地保护网络的安全。附录：1张桂玲，基于软计算理论的入侵检测技术研究天津大学.2006.62 蒋建春，冯登国.网络入侵检测技术原理与技术.北京：国防工业出版社，2001.73 戴连英，连一峰，王航.系统安全与入侵检测技术.北京：清华大学出2002.34 沈清，汤霖.模式识别导论.国防科技大学出版社，1991.55 吴焱等译，入侵者检测技术.北京：电子工业出版社,19996 美Richard O.Duda,Peter E.Hart,David G.Stork 李宏东 姚天翔等译模式分类（原书第 2版）机械工业出版社 ,2003-09-01等.