欢迎来到天天文库
浏览记录
ID:6943063
大小:35.87 KB
页数:14页
时间:2018-01-31
《入侵检测技术探析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、入侵检测技术探析 (1.河南省驻马店市委党校;2.驻马店市网通公司,河南驻马店463000) 摘要:文章回顾了入侵检测技术的历史进程,重点探讨了入侵检测技术的工作原理、分类方法及其标准化工作,并展望了入侵检测技术未来的发展动向。 关键词:网络安全;入侵检测技术;CIDF 中图分类号:TP393.08文献标识码:A文章编号:1007—6921(XX)21—0040—03 随着Internet迅猛发展,计算机网络已经成为国家重要的经济基础和命脉。然而,计算机网络的共享性、开放性在为社
2、会带来便利与高效的同时,也带来了各种各样的问题,其中安全问题尤为突出。 传统的网络安全防御策略是防火墙、数据加密、身份认证以及访问控制、操作系统加固等静态安全防御策略。然而随着入侵技术的不断发展、攻击手段日趋复杂化和多样化,这些被动的、静态的安全防御体系已经无法满足当前安全状况的需要。由于入侵检测技术所需要分析的数据源仅是记录系统活动轨迹的审计数据,其几乎适用于所有的计算机系统,很好地弥补了传统保护机制的不足,从而成为目前动态安全工具的主要研究方向。 1入侵检测技术历史进程 1980年4月,J
3、amesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》的技术报告,第一次详细阐述了入侵检测的概念,被公认为是入侵检测的开山之作。 1987年Denning在IEEE上发表了题为《AnIntrusion-detectionModel》的学术报告,再次引起了人们对入侵检测的强烈关注。在这篇文献中,提出了一个重要的入侵检测系统的抽象模型,首次将入侵检测的概念作为一种全新的、与传统加密认证和访问控制完全不同的计算机系统安
4、全防御措施而提出,被认为是对入侵检测研究具有推动性的工作。 由于Internet的发展及通信和计算机带宽的增加,人们对网络安全的关注也显著地增加。在美国空军、国家安全局和能源部的资助下,由美国空军密码支持中心、LawrenceLivermor国家实验室、加州大学Davis分校和Haystack实验室共同参与研究,将基于主机的入侵检测系统同基于网络的入侵检测系统集成到一块,采用分层结构,形成了 分布式的入侵检测系统,大大增强了对入侵攻击检测的能力。 从20世纪90年代到现在,入侵检测技术的研究
5、呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方面取得了巨大的进步。数据挖掘、人工免疫、信息检索、容错技术、代理技术也渗透或融合到了入侵检测系统中,从而将入侵检测技术的发展推向了一个新的高度。 2入侵检测系统工作原理 入侵是指试图破坏资源的完整性、机密性及可用性的活动集合。入侵检测,顾名思义,是对入侵行为的发觉,它对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectio
6、nSystem,IDS)。入侵检测系统作为网络安全防护体系的重要组成部分,提供了对内部攻击、外部攻击和误操作的实时保护,在计算机系统受到危害之前拦截和响应入侵。 一般的,入侵检测系统由数据提取、数据分析和结果处理三个功能模块组成,图1给出了一个通用的入侵检测系统结构。 740)this.width=740"border=undefined#111nmousewheel="returnzoom_img(event,this)"> 其中:①数据提取模块的作用在于为系统提供数据。数据的来源可
7、以是主机上的日志信息、变动信息,也可以是网络上的数据信息,甚至是流量变化等。数据提取模块在获得数据之后,需要对数据进行简单的处理,如简单的过滤、数据格式的标准化等,然后将经过处理的数据提交给数据分析模块。②数据分析模块的作用在于对数据进行分析,发现攻击并根据分析的结果产生事件,传递给结果处理模块。数据分析的方式多种多样,可以简单到对某种行为的计数,也可以是一个复杂的专家系统。该模块是整个入侵检测系统的核心。③结果处理模块的作用在于入侵检测系统发现入侵后根据预定的策略及时地做出响应,包括切断网络连接、记录事件和报
8、警等。响应一般分为主动响应和被动响应两种类型。主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动,如断开连接、修正系统环境或收集有用信息;被动响应则包括告警、设置SNMP陷阱等。 因此,入侵检测作为一种积极主动的安全防护技术,具有以下几个基本功能: 从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;对检测到的行为做出响应;纪录并报告检测过程结果。 3入
此文档下载收益归作者所有