關(guān)于入侵檢測技術(shù)論文

　　檢測技術(shù)是一個(gè)能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的活動進(jìn)行實(shí)時(shí)監(jiān)測的技術(shù)，下面是學(xué)習(xí)啦小編整理的關(guān)于入侵檢測技術(shù)論文，希望你能從中得到感悟!

　　關(guān)于入侵檢測技術(shù)論文篇一

　　入侵檢測技術(shù)探討

　　摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的增多，網(wǎng)絡(luò)安全問題也日益嚴(yán)峻。本文介紹了入侵檢測系統(tǒng)的概念，并對入侵檢測技術(shù)進(jìn)行了簡要的分析，探討了一些現(xiàn)階段主要的入侵檢測技術(shù)，最后展望了入侵檢測技術(shù)的發(fā)展趨勢及主要研究方向。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全;入侵檢測;入侵檢測技術(shù);入侵檢測系統(tǒng)

　　中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2012) 01-0000-02

　　Intrusion Detection Technology Study

　　Gu Xiaoning

　　(Jining Teachers College Computer Science Department,Wulanchabu012000,China)

　　Abstract:With the application of the computer net-work increasing, the problem about net-work security is more and more serious day by day. The concept of the incursion detecting system was introduced in this thesis,and simply analyzed incursion detecting technology while the mostly used detecting technology nowadays was discussed.In the last,the development trend and main research direct of the technology was viewed.

　　Keywords:Network security;Intrusion detection;Detection technology;

　　Intrusion detection system

　　一、引言

　　伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展，各種網(wǎng)絡(luò)攻擊和入侵事件時(shí)有發(fā)生，所造成的破壞性和損失日益嚴(yán)重。網(wǎng)絡(luò)安全威脅愈加被人們所重視。

　　傳統(tǒng)的信息安全方法都是靜態(tài)的安全防御技術(shù)，面對現(xiàn)今復(fù)雜多變的入侵手段難以應(yīng)付。而入侵檢測是一種動態(tài)安全的核心技術(shù)，它通過對入侵行為的發(fā)覺，收集信息進(jìn)行分析，并做出實(shí)時(shí)的響應(yīng)，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊擊的跡象，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測，提供對系統(tǒng)的實(shí)時(shí)保護(hù)[1]。

　　二、入侵檢測系統(tǒng)

　　入侵檢測系統(tǒng)是傳統(tǒng)操作系統(tǒng)加固和防火墻隔離技術(shù)的合理補(bǔ)充，它的功能是監(jiān)控并分析系統(tǒng)及用戶活動，檢查系統(tǒng)的配置和漏洞，發(fā)現(xiàn)已知的攻擊行為以及分析異常行為，對系統(tǒng)日志進(jìn)行管理并識別非正?；顒?，對發(fā)現(xiàn)的入侵行為進(jìn)行告警和響應(yīng)等。它能夠保護(hù)網(wǎng)絡(luò)安全策略，可以提高系統(tǒng)管理員的安全管理能力和信息安全基礎(chǔ)結(jié)構(gòu)的完整性。理想的入侵檢測系統(tǒng)應(yīng)該管理方便、配置簡單，擴(kuò)展性強(qiáng)、保護(hù)范圍廣。應(yīng)該具備動態(tài)自適應(yīng)性，應(yīng)能夠根據(jù)網(wǎng)絡(luò)的規(guī)模、系統(tǒng)的構(gòu)造和安全需求的改變而改變。

　　(一)入侵檢測系統(tǒng)的工作模式

　　入侵檢測的工作過程一般分四個(gè)方面：

　　(1)對信息進(jìn)行采集。(2)分析該信息，試圖尋找入侵活動的特征。(3)對檢測到的行為自動作出響應(yīng)。(4)記錄并處理結(jié)果。

　　(二)入侵檢測系統(tǒng)的分類[2]

　　1.根據(jù)目標(biāo)系統(tǒng)的類型來看，可以分為兩類

　　(1)基于主機(jī)(Host-Based)的入侵檢測系統(tǒng)。通常，基于主機(jī)的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。它通過監(jiān)視并分析主機(jī)系統(tǒng)的日志、端口調(diào)用和安全審計(jì)記錄等來檢測入侵，保護(hù)主機(jī)的系統(tǒng)安全。

　　(2)基于網(wǎng)絡(luò)(Network-Based)的入侵檢測系統(tǒng)。該類型的入侵檢測系統(tǒng)主要作用是針對保護(hù)網(wǎng)絡(luò)。該系統(tǒng)由混雜模式下的網(wǎng)絡(luò)適配器組成，用來識別網(wǎng)絡(luò)中的原始數(shù)據(jù)包，實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

　　2.根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源

　　入侵檢測系統(tǒng)分析的數(shù)據(jù)可以是主機(jī)系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報(bào)警日志以其他入侵檢測系統(tǒng)的報(bào)警信息等

　　3.根據(jù)入侵檢測方法可以分為兩類

　　(1)異常入侵檢測檢測。該類型的系統(tǒng)基于正常狀態(tài)數(shù)據(jù)特征判斷主體系統(tǒng)是否入侵。

　　(2)誤用入侵檢測。該檢測系統(tǒng)收集非正常數(shù)據(jù)特征通過匹配來確定系統(tǒng)中是否有入侵和攻擊。

　　4.根據(jù)系統(tǒng)各個(gè)模塊運(yùn)行的分布方式

　　(1)集中式入侵檢測系統(tǒng);(2)分布式入侵檢測系統(tǒng)。

　　(三)入侵檢測的系統(tǒng)的數(shù)據(jù)源

　　1.基于主機(jī)的數(shù)據(jù)源

　　(1)系統(tǒng)運(yùn)行狀態(tài)信息;(2)系統(tǒng)記帳信息;(3)系統(tǒng)日志。

　　2.基于網(wǎng)絡(luò)的數(shù)據(jù)源

　　(1)SNMP信息;(2)網(wǎng)絡(luò)通信包

　　3.應(yīng)用程序日志文件

　　4.其他入侵檢測系統(tǒng)的報(bào)警信息

　　三、入侵檢測技術(shù)

　　入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)。它在系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動采集信息，從中發(fā)現(xiàn)內(nèi)部、外部攻擊與合法用戶是否濫用特權(quán)。入侵檢測技術(shù)可以根據(jù)用戶的歷史行為或的當(dāng)前操作，完成對入侵的檢測，根據(jù)系統(tǒng)入侵的痕跡，來恢復(fù)和處理數(shù)據(jù)[1]。

　　(一)入侵檢測的過程。入侵檢測的過程分為三步：信息收集、信息分析以及告警與響應(yīng)[5]。

　　1.信息收集。想要入侵檢測就必須有信息收集，具體內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動的狀態(tài)和行為等。信息收集要盡可能的擴(kuò)大范圍，從一個(gè)信息源來的信息可能看不出什么，但是從多個(gè)信息源收集到的不同信息能夠最大限度的識別可疑行為或入侵。

　　2.信息分析。入侵檢測系統(tǒng)收集到的信息量非常大，而且大部分都是正常的信息。想要從龐大的信息中找出少部分的異常入侵信息，就要通過信息分析。所以說信息分析是入侵檢測過程的核心環(huán)節(jié)。

　　3.告警與響應(yīng)。入侵檢測發(fā)現(xiàn)系統(tǒng)發(fā)生變更后，產(chǎn)生警告并采取響應(yīng)措施，告訴管理員有入侵發(fā)生或者直接處理。

　　(二)入侵分析的模型。入侵分析是入侵檢測的核心。在這里，我們把入侵分析的處理過程分為三個(gè)階段：構(gòu)建分析器、對現(xiàn)場數(shù)據(jù)進(jìn)行分析、反饋和提煉[2]。

　　1.構(gòu)建分析器

　　分析器可以執(zhí)行預(yù)處理、分類和后處理的核心功能

　　(1)可以收集并生成事件信息;(2)分析預(yù)處理信息;(3)建立一個(gè)行為分析引擎。

　　2.對現(xiàn)場數(shù)據(jù)進(jìn)行分析

　　(1)輸入事件記錄;(2)進(jìn)行預(yù)處理;(3)比較事件記錄和知識庫;(4)產(chǎn)生響應(yīng)。

　　3.反饋和提煉

　　(三)入侵檢測的分析方法

　　1.誤用檢測。誤用入侵檢測的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，建立相關(guān)的特征庫。對當(dāng)前的數(shù)據(jù)源來源進(jìn)行各種處理后，再進(jìn)行特征匹配或者規(guī)則匹配工作，如果發(fā)現(xiàn)滿足條件的匹配，則認(rèn)為發(fā)生了一次攻擊行為[4]。

　　2.異常檢測。異常入侵檢測通過觀察當(dāng)前活動與系統(tǒng)歷史正常活動情況之間的差異來實(shí)現(xiàn)。首先建立一個(gè)關(guān)于系統(tǒng)正?；顒拥臓顟B(tài)模型并不斷進(jìn)行更新，當(dāng)用戶活動與正常行為有重大偏離時(shí)，則指示發(fā)現(xiàn)了非法攻擊行為[9]。

　　(四)告警與響應(yīng)

　　在完成系統(tǒng)安全狀況的分析并確定出系統(tǒng)問題以后，就應(yīng)該讓人們知道這些問題的存在，這個(gè)階段就叫做響應(yīng)期。響應(yīng)又可以分為兩種模式：被動響應(yīng)和主動響應(yīng)。

　　被動響應(yīng)就是系統(tǒng)只簡單的記錄和報(bào)告所檢測出來的問題，而主動響應(yīng)則是系統(tǒng)主動阻斷攻擊防止入侵[5]。

　　四、入侵檢測技術(shù)的發(fā)展趨勢

　　前面介紹了入侵檢測系統(tǒng)和入侵檢測技術(shù)的基本概念和功能，并對典型入侵檢測技術(shù)進(jìn)行了分析。通過這些介紹和分析，可以得出結(jié)論：入侵檢測技術(shù)是網(wǎng)絡(luò)安全解決方案的一個(gè)重要組成部分。雖然入侵檢測的研究已經(jīng)取得了相當(dāng)?shù)倪M(jìn)展，但是由于現(xiàn)階段信息技術(shù)不斷進(jìn)步，入侵檢測技術(shù)已不能滿足需要。今后的入侵檢測技術(shù)主要朝以下幾個(gè)方向發(fā)展：

　　(一)寬帶高速實(shí)時(shí)的檢測技術(shù)。網(wǎng)絡(luò)帶寬迅速增長，寬帶接入手段種類繁多，如何實(shí)時(shí)檢測高速網(wǎng)絡(luò)下的入侵行為成為必須解決的問題。因此對入侵檢測的處理能力提出更高的要求。

　　(二)大規(guī)模分布式的檢測技術(shù)。統(tǒng)一集中式入侵檢測方式存在明顯的缺陷。首先，對于大規(guī)模的分布式攻擊會造成大量的信息處理遺漏，導(dǎo)致漏報(bào)率的增高。其次，由于網(wǎng)絡(luò)傳輸?shù)难訒r(shí)問題，收集到的數(shù)據(jù)信息不能實(shí)時(shí)的反映當(dāng)前的網(wǎng)絡(luò)狀態(tài)[7]。為了解決這些問題，大部分系統(tǒng)采用了分布式的結(jié)構(gòu)。

　　(三)智能化入侵檢測。使用智能化的方法與手段來進(jìn)行入侵檢測。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨認(rèn)與泛化。從某種程度上講，入侵檢測技術(shù)一直領(lǐng)先與安全技術(shù)的發(fā)展，兩者相互推動、互相促進(jìn)。隨著網(wǎng)絡(luò)的日益普及和各種黑客工具的蔓延，入侵的復(fù)雜化趨勢也越來越明顯，向著分布式、隱蔽化方向發(fā)展。因此，為了適應(yīng)新的發(fā)展形式，智能化入侵檢測具有更廣泛的應(yīng)用前景。

　　(四)多種分析方法并存。對于入侵檢測系統(tǒng)，分析方法是系統(tǒng)的核心?，F(xiàn)在的入侵檢測系統(tǒng)有很多入侵檢測分析方法，但大部分分析方法只適應(yīng)某些種類的入侵。所以在目前情況下，多種分析方法綜合運(yùn)用是一個(gè)值得研究的問題。

　　五、結(jié)論

　　入侵檢測作為一種主動性地安全防護(hù)技術(shù)，最大的優(yōu)勢是提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，預(yù)先對入侵活動進(jìn)行攔截和響應(yīng)。在網(wǎng)絡(luò)信息安全立體縱深、多重防御的發(fā)展趨勢下，未來的入侵檢測系統(tǒng)可以軟硬件結(jié)合，配合其他網(wǎng)絡(luò)管理軟件，提供更加及時(shí)、準(zhǔn)確的檢測手段。

　　參考文獻(xiàn)：

　　[[1]Rebecca Gurley Bace.入侵檢測[M].北京:人民郵電出版社,2001

　　[2]蔣建春,馮登國.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京:國防工業(yè)出版社,2002

　　[3]Paul E.Proctor,鄧琦皓等譯.入侵檢測實(shí)用手冊[M].北京:中國電力出版社,2002

　　[4]韓東海,王超,李群.入侵檢測系統(tǒng)實(shí)例剖析[M].北京:清華大學(xué)出版社,2002

　　[5]戴英俠,連一峰等.系統(tǒng)安全與入侵檢測[M].北京:清華大學(xué)出版,2002

　　[6]薛靜鋒,寧宇鵬,閻慧.IDS入侵檢測技術(shù)[M].北京:機(jī)械工業(yè)出版社,2004

　　[7]宋勁松.網(wǎng)絡(luò)入侵檢測的分析、發(fā)現(xiàn)和報(bào)告攻擊[M].北京:國防工業(yè)出版社,2004

　　[8]唐正軍,李建華.入侵檢測技術(shù)[M].北京:清華大學(xué)出版社,2004

　　[9]唐正軍.入侵檢測技術(shù)導(dǎo)論[M].北京:機(jī)械工業(yè)出版社,2004

點(diǎn)擊下頁還有更多>>>關(guān)于入侵檢測技術(shù)論文