入侵检测与防范技术(IDSIPS)综述与分析

《入侵检测与防范技术(IDSIPS)综述与分析》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、入侵检测与防范技术(IDS/IPS)综述与分析卓雪君学号：2007310381(清华大学计算机科学与技术系，北京市100084)摘要：木文从入侵检测/入侵防范的概念入手，对两者的技术特点，原理进行了详细的分析，进而讨论了入侵检测和入侵防范之间的关系。并在此基础上对入侵检测/入侵防范产品进行了调研，着重对开源IDS软件snort进行了介绍。最后给出了一系列反入侵检测技术，并提出了入侵检测/入侵防范技术所存在的问题以及发展趋势。关键字：入侵检测系统、入侵防范系统、安全IntrusionDetectionSystemandInt

2、rusionPreventionSystem:ASurveyZhuoXue-JunDept,ofComputerScienceandTechnology,TsinghuaUniversity,Beijing100084,ChinaAbstract：StartingfromtheconceptofIntrusionDetectionandIntrusionProtection,thisarticlepresentsadetailedanalysisoftheirtechnologicalcharacteristicsandp

3、rinciples,andthendiscussestheirrelationships.Basedonthis,thearticlegivesasurveyoftheintrusiondetection/protectionproductsandputthefocusontheopen-sourceIDS(IntrusionDetectionSystem)softwaresnort.Atlast,aseriesofanti-intrusiondetectiontechniquesareintroduced,aswella

4、ssomeexistingproblemsandfuturetrendoftheintrusiondetection/protectiontechnology.KeyWords：IntrusionDetectionSystem;IntrusionPreventionSystem;Security计算机安全逐步成为一个国际化的问题，每年全球因为计算机安全系统被破坏而造成的经济损失也在不断飙升。对于企业、机关乃至个人来说，如何保护自身的安全不受到黑客的攻击成为了一个现实而至关重要的问题。传统的网络安全防范工具是防火墙，它是一种

5、用来加强网络之间访问控制的特殊网络互联设备，通过对两个或多个网络Z间传输的数据包和链接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。防火墙能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部菲授权用户的访问和过滤不良信息的目的。但是防火墙不能防止来自网络内部的攻击，而事实证明往往大部分的攻击都是来自网络内部，此外由于防火墙性能的限制使得它不具备实时监控入侵的能力。在这个需求背景下，入侵检测技术乃至入侵防范便应运而生，可以弥补防火墙的不足，为网络提供实时的监控，并结合其他的

6、网络安全产品，在网络系统受到威胁之前对入侵行为做岀实时反应。1.IDS/IPS技术介绍入侵指的是破坏目标系统资源的完整性、机密性或可用性的一系列活动，入侵检测系统所检测的入侵行为不包括物理入侵，而是仅包括从系统内部或者外部发起的，尝试或者实施对系统资源的非授权访问、操纵或破环的行为山2】。入侵检测系统IDS(IntrusionDetectionSystem)是通过收集网络系统信息来进行入侵分析的软件与硬件的智能组合。对IDS进行标准化工作的两个组织分别是作为国际互联网标准的制定者IETF的IntrusionDetectio

7、nworkingGroup(IDWG,入侵检测工作组)WCommonIntrusionDetectionFramework(CIDF,通用入侵检测框架)。入侵防范系统IPS(IntrusionPreventionSystem)的功能是不仅能实吋检测网络信息，发现识别出入侵信息，主动智能进行防御。如一旦发现有攻击行为，立即相应主动切断连接。IDS和IPS都属于网络入侵检测技术，两者在技术应用上有着很多相同点，但其防御手段却有着很大的区别。1.1入侵检测的基本模型从1984年到1986年间，乔治敦大学的DorothyDenni

8、ng⑶和SRI/CSL(SRI公司计算机科学实验室)fl