入侵检测关键技术研究

《入侵检测关键技术研究》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、入侵检测关键技术研究根据当前的X络现状，对入侵检测的概念，发展历史以及通用入侵检测模型进行了分析和研究。关键词：入侵检测；滥用监测；异常检测；分布式检测　　近年来，随着X络技术的发展和广泛应用，X络安全问题日益突出。而传统的基于防火墙、身份认证以及加密技术等的X络安全防御体系主要是采用禁止策略来进行防御，从X络安全的角度来讲，仅有防御是不够的，还应该采取主动策略，入侵检测技术应运而生，并成为当前X络安全方面研究的热点和重要方向。它改变了以往的被动防御的特点，能够主动实时地跟踪各种危害系统安全的行为，并做出及时的响应。尤其在抵御X络内部的攻击方面，更有独到的特点，成为

2、防火墙之后的又一道安全防线[2]。但是，目前人们对入侵检测了解得还不够，检测技术也不像防火墙那样成熟，因而开展对入侵检测方面的研究更有深远意义。一、入侵检测技术概述　　入侵检测（IntrusionDetection）[8]是指通过计算机X络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现X络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。具体来讲，入侵检测就是对X络系统的运行状态进行监视，检测发现各种攻击企图、攻击行为或攻击结果，以保证系统资源的机密性、完整性和可用性。　　入侵检测系统[8]（IDS：IntrusionDetectionSy

3、stem）是实现入侵检测功能的一系列软硬件组合。与其他安全产品不同的是，入侵检测系统需要更多的智能，将得到的数据进行分析，并得出有用结果。它从不同的系统资源收集反映滥用或异常的行为模式信息，对检测的行为作出自动的反应。　　美国国防部高级研究计划署（DAPPA）和互联X工程任务组（IETF）的入侵检测工作组（IDisuseDetection），是指将已知的攻击方式以某种形式存储在知识库中，通过判断知识库中的入侵模式是否出现来检测，如果出现，说明发生了入侵。这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。可以检测已有的攻击，对未知的

4、攻击无法检测。　　滥用检测依据具体特征库进行判断，所以检测率(detectionrate)很高，能够准确有效的识别出大部分X络攻击，是目前发展比较成熟且普遍使用的入侵检测技术。但缺陷在于：模式匹配算法的计算代价非常大；只能检测出一些攻击特征明显且唯一的攻击，如果攻击特征字符串稍稍发生改变，就可能发生漏检；即只能对己知攻击进行检测，对那些变种的和新的攻击却无能为力；所以漏警率(falsenegativerate)也较高。　　(3)异常检测和滥用检测的比较　　比较而言，异常检测试图发现一些未知的入侵行为，而滥用监测则是标识一些已知的入侵行为。异常检测的主要缺陷是误报率太

5、高，例如：将一些正常的行为误报为异常；而滥用监测正好相反，它检测不出新型的攻击类型，必须不断地更新规则库。滥用监测比异常检测具备更好的确定解释能力，开发规则库和特征集合相对于建立系统正常模型而言，也更方便，更容易。　　所以滥用检测和异常检测各有长处，而从实际商用系统来看，大多数都是采用滥用入侵检测技术，但在许多优秀的入侵检测系统中，也采用了不同形式的异常入侵检测模块。如早期的IDES和NIDES系统同时采用统计分析的异常检测和基于专家系统规则的滥用入侵检测技术。从最终的需求来看，联合使用两种技术势在必行。多种检测技术的结合使用，可以有效提高入侵检测系统的性能，更有效

6、的实现入侵检测功能。　　三、目前入侵检测系统存在的问题　　入侵检测经过近几十年来的发展，仍有许多地方需要提高。根据国外权威机构近来发布的入侵检测产品评测报告，目前主流的入侵检测系统存在的问题表现在以下几个方面：　　(1)高速交换X络环境下的检测问题。　　(2)恶意数据采用加密方式传输。X络上传输的数据进行了加密之后会大大影响特征检测的规则匹配能力，从而极大影响到X络入侵检测的正常工作。　　(3)存在过多的误报和漏报信息。缺乏检测高水平新型攻击的有效手段。　　(4)入侵检测系统自身的抗强力攻击能力差。　　分析以上问题，不具备检测新攻击类型的能力，是因为以往的检测方法常

7、常使用滥用检测技术，滥用检测的本质决定了它检测不到新型攻击类型。而异常检测就可以很好地解决这个问题，但是异常检测会导致第二个问题，就是误报率比较高。降低误报率同时具备检测新类型攻击的能力对异常检测系统来说是一个很大的挑战。