入侵检测系统研究
摘要:该文首先介绍了入侵检测系统的发展过程,阐述了入侵检测系统的概念、功能、模型、分类。详细
研究了入侵检测系统的检测技术及应用方法,提出了入侵检测系统的发展前景。
关键词:入侵检测系统;基于主机的入侵检测系统;基于网络的入侵检测系统;
0 引言
随着网络技术的飞速发展和广泛应用,网络安全正成为阻碍网络进一步发展的重要问题。计算机网络安
全技术的滞后已经成为全社会都关注并急待解决的一个问题。无论来自于内网还是来自于外网的攻击,都
变得日益复杂和多样化。仅仅依靠防火墙所采用的静态防御手段已不能满足网络安全的需要,首先,防火
墙本身容易受到攻击;其次,防火墙对于网络内部出现的问题束手无策。作为对防火墙的必要补充,一种积
极主动的安全保护技术——入侵检测技术受到人们越来越多的关注。
1 入侵检测系统概述
1.1 入侵检测系统(IDS)的概念
入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系
统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击
的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称 IDS)。
1.2 入侵检测系统的主要功能有:
A) 监测并分析用户和系统的活动;
B) 核查系统配置和漏洞;
C) 评估系统关键资源和数据文件的完整性;
D) 识别已知的攻击行为;
E) 统计分析异常行为;
F) 操作系统日志管理,并识别违反安全策略的用户活动。
1.3 入侵检测的主要技术
A)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策
略的入侵行为。该过程可以很简单,也可以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。
这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确
率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击
手段。
B)异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的
测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,
当观察值在正常值范围之外时,IDS 就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂
的入侵,缺点是误报、漏报率高。
C)协议分析
协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议
的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,这
种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分
析所有的数据包。
1.4 入侵检测系统的分类:
根据信息源的不同,分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。主机入侵检测系统分
析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引
擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络入侵监测分析
对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。