入侵检测技术研究综述

入侵检测技术研究综述

ID:30911121

大小:94.00 KB

页数:4页

时间:2019-01-04

入侵检测技术研究综述_第1页
入侵检测技术研究综述_第2页
入侵检测技术研究综述_第3页
入侵检测技术研究综述_第4页
资源描述:

《入侵检测技术研究综述》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、文章编号:1009-8119(2005)07-0038-03入侵检测技术研究综述宋普选应锦鑫(北京理工大学计算机系,北京100081)摘要对入侵监测技术和入侵监测系统进行了研究和阐述。入侵监测技术和入侵监测系统的概念,对入侵监测系统按获得数据的方法和监测方法进行了详细的分类,描述了一种入侵监测系统的系统模型,叙述了入侵监测的技术途径,介绍了对入侵监测系统面临的问题和发展趋势。关键词入侵监测,特征监测,异常监测ASummaryofIntrusionDetectionTechnologySongPuxuanYingJinxin(Dept.ofComputerScience,BeijingI

2、nstituteofTechnology,Beijing10081,China)AbstractThispaperdescribestheresearchofIntrusionDetectiontechnologyandIntrusionDetectionSystem.TheconceptandhistoryofIntrusionDetectionisfirstintroduced,thenaclassificationofIDSispresentedbasedontwomethods.NextthesystemmoduleofIDSisexplained,andthetechnica

3、lapproachesaredetailedanalyzed.FinallythechallengeandfuturetrendofIDSisdiscussed.KeywordsIntrusiondetection,Signature-based detection,Anomaly detection4随着网络技术快速发展和网络应用环境不断普及的同时,安全问题也越来越突出,引起各界关注。由于TCP/IP协议族本身缺乏相应的安全机制,加上各种操作系和应用软件存在各种漏洞,使得整个网络的安全问题不可避免。现有的安全机制通过访问控制,例如口令和防火墙技术,来保护计算机和网络不受非法和未经授权

4、用户的使用。然而,如果这些访问措施被泄露或者被绕过,则可能导致巨大的损失和系统运行的崩溃。在传统的加密和防火墙技术已不能完全满足安全需求的同时,入侵检测技术作为一种新的安全手段,正越来越受到重视。1.入侵检测(IntrusionDetection)的概念1980年,Anderson首次提出了入侵检测的概念。他将入侵行为划分为外部闯入、内部授权、用户的越权使用和滥用等三种类型,并提出用审计追踪监视入侵威胁。1987年,Denning首次提出异常检测抽象模型,将入侵检测作为一种计算机系统的安全防御措施。美国国际计算机安全协会(ICSA)对入侵检测的定义是:入侵检测是通过从计算机网络或计算机

5、系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测具有监视分析用户和系统的行为、审计系统配置及漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集与系统相关的补丁、审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员比较有效地监视、审计、评估自己的系统。进行入侵检测的软件和硬件的组合就是入侵检测系统。入侵检测系统(IntrusionDetectionSystem)是在一个计算机系统和网络上实时的入侵检测、报警、响应和防范系统。IDS用来识别针对计算机系统和网络

6、系统,或者更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部用户的越权非法行动。2.入侵检测系统的分类2.1按获得原始数据的方法分类此种分类方法可以将入侵检测系统分为基于网络的入侵检测系统、基于主机的入侵检测系统、分布式入侵检测系统和基于应用的入侵检测系统。(1)基于主机的入侵检测系统基于主机的入侵检测出现在80年代初期,入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提高,并发展了精密

7、的可迅速做出响应的检测技术。通常,基于主机的IDS可监测系统、事件和Window4NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件入侵检测的一个常用方法,是通过定期检查校验进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。