入侵检测技术综述.doc

入侵检测技术综述.doc

ID:49504499

大小:98.00 KB

页数:12页

时间:2020-03-02

入侵检测技术综述.doc_第1页
入侵检测技术综述.doc_第2页
入侵检测技术综述.doc_第3页
入侵检测技术综述.doc_第4页
入侵检测技术综述.doc_第5页
资源描述:

《入侵检测技术综述.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、入侵检测技术综述胡征兵ShirochinV.P.2乌克兰国立科技大学摘要摘要Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品。关键词入侵检测入侵检测系统网络安全防火

2、墙1引言随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对安全解决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时乂能保证客户及合作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统來保证安全,依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必耍的安全措施。据统计,全球80%以上的入侵來自丁

3、•内部。由丁•性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程屮,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙Z后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[

4、1]o2入侵检测的概念、模型入侵检测(IntrusionDetection,ID),顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,IDS)。入侵检测的研究最早可以追溯到詹姆斯•安德森[1]在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内

5、部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础,他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。Denning[2]在1987年所发表的论文中,肖先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个H的,入侵检测系统应包含3个必要功能的组件:信息來源、分析引擎和响应组件。•信息来源(InformationSource):为检测可能的恶意攻击,IDS所检测

6、的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。•分析引擎(AnalysisEngine):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。•响应模组(ResponseComponent):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、屮断入侵者的连接和收集入侵信息等。3入侵检测系统的分类入侵检测系统依照信息來源收集方式的不同,可以分为基于主机(Host-BasedIDS)的和基丁•网络(Network-BasedIDS);另外按具分析方法

7、可分为异常检测(AnomalyDetection,AD)和误用检测(MisuseDetection,MD),其分类架构如图1所示:主机SI(Host-based)网络熨(Network-Based)攻击、riittXA'M.I报警3.1.1主机型入侵检孤配置系统库■—X1入侵检测器应急措施基于主机的入4和系统本地用户,审计记录系统操作5主耍是±机系统匚件。检测系统可以主机系统运行在被检测的主木图2.基于主机的IDS结构具优点是:确定攻击是否成功;监测特定主机系统活动;较适合有加密和网络交换器的环境;不需耍另外添加设备。其缺点:可能因操作系统平台提供的日

8、志信息格式不同,必须针对不同的操作系统安装个别的入侵检测系统;如果入侵者经其它系统漏洞入侵系统

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。