計(jì)算機(jī)網(wǎng)絡(luò)論文淺析入侵檢測(cè)技術(shù)
簡(jiǎn)要:入侵檢測(cè)顧名思義是指入侵行為的檢查,入侵檢測(cè)是一種積極主動(dòng)的安全防護(hù)技術(shù)的����,可以防止遭受外部供給,在網(wǎng)絡(luò)系統(tǒng)受到傷害之前攔截和響應(yīng)入侵,下面小編推薦優(yōu)秀的電子網(wǎng)絡(luò)
入侵檢測(cè)顧名思義是指入侵行為的檢查,入侵檢測(cè)是一種積極主動(dòng)的安全防護(hù)技術(shù)的��,可以防止遭受外部供給,在網(wǎng)絡(luò)系統(tǒng)受到傷害之前攔截和響應(yīng)入侵,下面小編推薦優(yōu)秀的電子網(wǎng)絡(luò)論文�。
摘要:入侵檢測(cè)系統(tǒng)是一個(gè)能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的系統(tǒng)����,它能夠發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象��,為網(wǎng)絡(luò)安全管理提供有價(jià)值的信息。
關(guān)鍵詞:入侵檢測(cè)信號(hào)分析模型匹配分布式
隨著計(jì)算機(jī)技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的發(fā)展����,計(jì)算機(jī)系統(tǒng)已經(jīng)從獨(dú)立的主機(jī)發(fā)展到復(fù)雜的、互連的開放式系統(tǒng)�。這給人們?cè)谛畔⒗煤唾Y源共享上帶來了無與倫比的便利���,但又面臨著由于入侵而引發(fā)的安全問題。傳統(tǒng)的安全防御策略(如訪問控制機(jī)制��、防火墻技術(shù)等)均屬于靜態(tài)的安全防御技術(shù),對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。由于靜態(tài)的安全技術(shù)自身存在著不可克服的缺點(diǎn)�����,促發(fā)了人們?cè)谘芯窟^程中新的探索���,從而引出入侵檢測(cè)這一安全領(lǐng)域的新課題的誕生��。入侵檢測(cè)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一�����,是防火墻的合理補(bǔ)充,是安全防御體系的一個(gè)重要組成部分。
1入侵檢測(cè)系統(tǒng)(IDS)執(zhí)行的主要任務(wù)
所謂IDS就是一個(gè)能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的系統(tǒng),它能夠發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象�,為網(wǎng)絡(luò)安全管理提供有價(jià)值的信息���。IDS執(zhí)行的主要任務(wù)是:監(jiān)視����、分析用戶及系統(tǒng)活動(dòng);對(duì)系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;異常行為模式的統(tǒng)計(jì)分析;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計(jì)跟蹤管理�����,并識(shí)別用戶違反安全策略的行為�。
2入侵檢測(cè)的步驟
2.1信息收集
入侵檢測(cè)的第一步是信息收集���。內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為����。
入侵檢測(cè)利用的信息一般來自以下4方面:系統(tǒng)和網(wǎng)絡(luò)日志文件:目錄和文件中的不期望的改變;程序執(zhí)行中的不期望行為;物理形式的入侵信息�。這包括兩個(gè)方面的內(nèi)容:一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件的連接;二是對(duì)物理資源的未授權(quán)訪問�����。
2.2信號(hào)分析
對(duì)上述4類收集到的有關(guān)系統(tǒng)��、網(wǎng)絡(luò)���、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,一般通過3種技術(shù)手段進(jìn)行分析:模式匹配����、統(tǒng)計(jì)分析和完整分析���。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)��,而完整性分析則用于事后分析。
2.3響應(yīng)
入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后會(huì)及時(shí)做出響應(yīng)�,包括切斷網(wǎng)絡(luò)連接�、記錄事件和報(bào)警等�。響應(yīng)一般分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)兩種類型�。主動(dòng)響應(yīng)由用戶驅(qū)動(dòng)或系統(tǒng)本身自動(dòng)執(zhí)行,可對(duì)入侵者采取行動(dòng)�、修正系統(tǒng)環(huán)境或收集有用信息;被動(dòng)響應(yīng)則包括告警和通知����、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)陷阱和插件等��。
3常用的入侵檢測(cè)方法
3.1基于用戶行為概率統(tǒng)計(jì)模型的入侵檢測(cè)方法
這種入侵檢測(cè)方法是基于對(duì)用戶歷史行為建模���,以及在早期的證據(jù)或模型的基礎(chǔ)上�,審計(jì)系統(tǒng)實(shí)時(shí)的檢測(cè)用戶對(duì)系統(tǒng)的使用情況�,根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè)���,當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)�,保持跟蹤并監(jiān)測(cè)����、記錄該用戶的行為。
3.2基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法
這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)進(jìn)行入侵檢測(cè)。因此,這種方法對(duì)用戶行為具有學(xué)習(xí)和自適應(yīng)功能����,能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并作出入侵可能性的判斷�。
3.3基于專家系統(tǒng)的入侵檢測(cè)技術(shù)
該技術(shù)根據(jù)安全專家對(duì)可疑行為進(jìn)行分析的經(jīng)驗(yàn)來形成一套推理規(guī)則����,然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)���,由此專家系統(tǒng)自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正����。
4入侵檢測(cè)技術(shù)的發(fā)展方向
4.1分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)��,對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足�����,同時(shí)不同的IDS系統(tǒng)之間不能協(xié)同工作,為解決這一問題,需要分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)��。
4.2智能化的入侵檢測(cè)
入侵方法越來越多樣化與綜合化�����,盡管已經(jīng)有智能體��、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域的應(yīng)用研究,但是這只是一些嘗試性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步地研究以解決其自學(xué)習(xí)與自適應(yīng)能力�。
4.3入侵檢測(cè)的評(píng)測(cè)方法
用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià)��,評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍、系統(tǒng)資源占用、IDS系統(tǒng)自身的可靠性。從而設(shè)計(jì)通用的入侵檢測(cè)測(cè)試與評(píng)估方法和平臺(tái)��,實(shí)現(xiàn)對(duì)多種IDS系統(tǒng)的檢測(cè)已成為當(dāng)前IDS的另一重要研究與發(fā)展領(lǐng)域����。
4.4與其它網(wǎng)絡(luò)安全技術(shù)相結(jié)合
結(jié)合防火墻����、PKIX、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)����,提供完整的網(wǎng)絡(luò)安全保障���。
入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)�����,提供了對(duì)內(nèi)部攻擊��、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵��。從網(wǎng)絡(luò)安全立體縱深���、多層次防御的角度出發(fā)����,入侵檢測(cè)理應(yīng)受到人們的高度重視�����,這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出�。在國(guó)內(nèi),隨著上網(wǎng)的關(guān)鍵部門���、關(guān)鍵業(yè)務(wù)越來越多�����,迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品���。入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間����,從技術(shù)途徑來講��,除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識(shí)別和完整性檢測(cè))外,應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。入侵檢測(cè)是保護(hù)信息系統(tǒng)安全的重要途徑�����,對(duì)網(wǎng)絡(luò)應(yīng)用的發(fā)展具有重要意義與深遠(yuǎn)影響。研究與開發(fā)自主知識(shí)產(chǎn)權(quán)的IDS系統(tǒng)將成為我國(guó)信息安全領(lǐng)域的重要課題。
參考文獻(xiàn)
[1]耿麥香.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用��,2004(6).
[2]王福生.數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].現(xiàn)代情報(bào),2006(9).
小編推薦優(yōu)秀電子期刊 《信息網(wǎng)絡(luò)安全》
《信息網(wǎng)絡(luò)安全》(月刊)創(chuàng)刊于2001年,由公安部第三研究所�、中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)主辦��。是由公安部主管����,公安部第三研究所���、中國(guó)計(jì)算機(jī)學(xué)會(huì)共同主辦的信息網(wǎng)絡(luò)安全領(lǐng)域中的一本綜合性刊物。
