關於入侵檢測技術論文

　　檢測技術是一個能夠對網路或計算機系統的活動進行實時監測的技術，下面是小編整理的，希望你能從中得到感悟!

　　篇一

　　入侵檢測技術探討

　　摘要：隨著計算機網路應用的增多，網路安全問題也日益嚴峻。本文介紹了入侵檢測系統的概念，並對入侵檢測技術進行了簡要的分析，探討了一些現階段主要的入侵檢測技術，最後展望了入侵檢測技術的發展趨勢及主要研究方向。

　　關鍵詞：網路安全;入侵檢測;入侵檢測技術;入侵檢測系統

　　中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 ***2012*** 01-0000-02

　　Intrusion Detection Technology Study

　　Gu Xiaoning

　　***Jining Teachers College Computer Science Department,Wulanchabu012000,China***

　　 the application of the computer net-work increasing, the problem about net-work security is more and more serious day by day. The concept of the incursion detecting system was introduced in this thesis,and simply analyzed incursion detecting technology while the mostly used detecting technology nowadays was discussed.In the last,the development trend and main research direct of the technology was viewed.

　　 security;Intrusion detection;Detection technology;

　　Intrusion detection system

　　一、引言

　　伴隨著計算機網路技術和網際網路的飛速發展，各種網路攻擊和入侵事件時有發生，所造成的破壞性和損失日益嚴重。網路安全威脅愈加被人們所重視。

　　傳統的資訊保安方法都是靜態的安全防禦技術，面對現今複雜多變的入侵手段難以應付。而入侵檢測是一種動態安全的核心技術，它通過對入侵行為的發覺，收集資訊進行分析，並做出實時的響應，從中發現是否有違反安全策略的行為和被攻擊擊的跡象，在不影響網路效能的情況下對網路進行監測，提供對系統的實時保護[1]。

　　二、入侵檢測系統

　　入侵檢測系統是傳統作業系統加固和防火牆隔離技術的合理補充，它的功能是監控並分析系統及使用者活動，檢查系統的配置和漏洞，發現已知的攻擊行為以及分析異常行為，對系統日誌進行管理並識別非正常活動，對發現的入侵行為進行告警和響應等。它能夠保護網路安全策略，可以提高系統管理員的安全管理能力和資訊保安基礎結構的完整性。理想的入侵檢測系統應該管理方便、配置簡單，擴充套件性強、保護範圍廣。應該具備動態自適應性，應能夠根據網路的規模、系統的構造和安全需求的改變而改變。

　　***一***入侵檢測系統的工作模式

　　入侵檢測的工作過程一般分四個方面：

　　***1***對資訊進行採集。***2***分析該資訊，試圖尋找入侵活動的特徵。***3***對檢測到的行為自動作出響應。***4***記錄並處理結果。

　　***二***入侵檢測系統的分類[2]

　　1.根據目標系統的型別來看，可以分為兩類

　　***1***基於主機***Host-Based***的入侵檢測系統。通常，基於主機的入侵檢測系統可監測系統事件和作業系統下的安全記錄以及系統記錄。它通過監視並分析主機系統的日誌、埠呼叫和安全審計記錄等來檢測入侵，保護主機的系統安全。

　　***2***基於網路***Network-Based***的入侵檢測系統。該型別的入侵檢測系統主要作用是針對保護網路。該系統由混雜模式下的網路介面卡組成，用來識別網路中的原始資料包，實時監視並分析通過網路的所有通訊業務。

　　2.根據入侵檢測系統分析的資料來源

　　入侵檢測系統分析的資料可以是主機系統日誌、網路資料包、應用程式的日誌、防火牆報警日誌以其他入侵檢測系統的報警資訊等

　　3.根據入侵檢測方法可以分為兩類

　　***1***異常入侵檢測檢測。該型別的系統基於正常狀態資料特徵判斷主體系統是否入侵。

　　***2***誤用入侵檢測。該檢測系統收集非正常資料特徵通過匹配來確定系統中是否有入侵和攻擊。

　　4.根據系統各個模組執行的分佈方式

　　***1***集中式入侵檢測系統;***2***分散式入侵檢測系統。

　　***三***入侵檢測的系統的資料來源

　　1.基於主機的資料來源

　　***1***系統執行狀態資訊;***2***系統記帳資訊;***3***系統日誌。

　　2.基於網路的資料來源

　　***1***SNMP資訊;***2***網路通訊包

　　3.應用程式日誌檔案

　　4.其他入侵檢測系統的報警資訊

　　三、入侵檢測技術

　　入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術。它在系統內部和各種網路資源中主動採集資訊，從中發現內部、外部攻擊與合法使用者是否濫用特權。入侵檢測技術可以根據使用者的歷史行為或的當前操作，完成對入侵的檢測，根據系統入侵的痕跡，來恢復和處理資料[1]。

　　***一***入侵檢測的過程。入侵檢測的過程分為三步：資訊收集、資訊分析以及告警與響應[5]。

　　1.資訊收集。想要入侵檢測就必須有資訊收集，具體內容包括系統、網路、資料以及使用者活動的狀態和行為等。資訊收集要儘可能的擴大範圍，從一個資訊源來的資訊可能看不出什麼，但是從多個資訊源收集到的不同資訊能夠最大限度的識別可疑行為或入侵。

　　2.資訊分析。入侵檢測系統收集到的資訊量非常大，而且大部分都是正常的資訊。想要從龐大的資訊中找出少部分的異常入侵資訊，就要通過資訊分析。所以說資訊分析是入侵檢測過程的核心環節。

　　3.告警與響應。入侵檢測發現系統發生變更後，產生警告並採取響應措施，告訴管理員有入侵發生或者直接處理。

　　***二***入侵分析的模型。入侵分析是入侵檢測的核心。在這裡，我們把入侵分析的處理過程分為三個階段：構建分析器、對現場資料進行分析、反饋和提煉[2]。

　　1.構建分析器

　　分析器可以執行預處理、分類和後處理的核心功能

　　***1***可以收集並生成事件資訊;***2***分析預處理資訊;***3***建立一個行為分析引擎。

　　2.對現場資料進行分析

　　***1***輸入事件記錄;***2***進行預處理;***3***比較事件記錄和知識庫;***4***產生響應。

　　3.反饋和提煉

　　***三***入侵檢測的分析方法

　　1.誤用檢測。誤用入侵檢測的技術基礎是分析各種型別的攻擊手段，建立相關的特徵庫。對當前的資料來源來源進行各種處理後，再進行特徵匹配或者規則匹配工作，如果發現滿足條件的匹配，則認為發生了一次攻擊行為[4]。

　　2.異常檢測。異常入侵檢測通過觀察當前活動與系統歷史正常活動情況之間的差異來實現。首先建立一個關於系統正常活動的狀態模型並不斷進行更新，當用戶活動與正常行為有重大偏離時，則指示發現了非法攻擊行為[9]。

　　***四***告警與響應

　　在完成系統安全狀況的分析並確定出系統問題以後，就應該讓人們知道這些問題的存在，這個階段就叫做響應期。響應又可以分為兩種模式：被動響應和主動響應。

　　被動響應就是系統只簡單的記錄和報告所檢測出來的問題，而主動響應則是系統主動阻斷攻擊防止入侵[5]。

　　四、入侵檢測技術的發展趨勢

　　前面介紹了入侵檢測系統和入侵檢測技術的基本概念和功能，並對典型入侵檢測技術進行了分析。通過這些介紹和分析，可以得出結論：入侵檢測技術是網路安全解決方案的一個重要組成部分。雖然入侵檢測的研究已經取得了相當的進展，但是由於現階段資訊科技不斷進步，入侵檢測技術已不能滿足需要。今後的入侵檢測技術主要朝以下幾個方向發展：

　　***一***寬頻高速實時的檢測技術。網路頻寬迅速增長，寬頻接入手段種類繁多，如何實時檢測高速網路下的入侵行為成為必須解決的問題。因此對入侵檢測的處理能力提出更高的要求。

　　***二***大規模分散式的檢測技術。統一集中式入侵檢測方式存在明顯的缺陷。首先，對於大規模的分散式攻擊會造成大量的資訊處理遺漏，導致漏報率的增高。其次，由於網路傳輸的延時問題，收集到的資料資訊不能實時的反映當前的網路狀態[7]。為了解決這些問題，大部分系統採用了分散式的結構。

　　***三***智慧化入侵檢測。使用智慧化的方法與手段來進行入侵檢測。所謂的智慧化方法，現階段常用的有神經網路、遺傳演算法、模糊技術、免疫原理等方法，這些方法常用於入侵特徵的辨認與泛化。從某種程度上講，入侵檢測技術一直領先與安全技術的發展，兩者相互推動、互相促進。隨著網路的日益普及和各種黑客工具的蔓延，入侵的複雜化趨勢也越來越明顯，向著分散式、隱蔽化方向發展。因此，為了適應新的發展形式，智慧化入侵檢測具有更廣泛的應用前景。

　　***四***多種分析方法並存。對於入侵檢測系統，分析方法是系統的核心。現在的入侵檢測系統有很多入侵檢測分析方法，但大部分分析方法只適應某些種類的入侵。所以在目前情況下，多種分析方法綜合運用是一個值得研究的問題。

　　五、結論

　　入侵檢測作為一種主動性地安全防護技術，最大的優勢是提供了對內部攻擊、外部攻擊和誤操作的實時保護，預先對入侵活動進行攔截和響應。在網路資訊保安立體縱深、多重防禦的發展趨勢下，未來的入侵檢測系統可以軟硬體結合，配合其他網路管理軟體，提供更加及時、準確的檢測手段。

　　參考文獻：

　　[[1]Rebecca Gurley Bace.入侵檢測[M].北京:人民郵電出版社,2001

　　[2]蔣建春,馮登國.網路入侵檢測原理與技術[M].北京:國防工業出版社,2002

　　[3]Paul E.Proctor,鄧琦皓等譯.入侵檢測實用手冊[M].北京:中國電力出版社,2002

　　[4]韓東海,王超,李群.入侵檢測系統例項剖析[M].北京:清華大學出版社,2002

　　[5]戴英俠,連一峰等.系統安全與入侵檢測[M].北京:清華大學出版,2002

　　[6]薛靜鋒,寧宇鵬,閻慧.IDS入侵檢測技術[M].北京:機械工業出版社,2004

　　[7]宋勁鬆.網路入侵檢測的分析、發現和報告攻擊[M].北京:國防工業出版社,2004

　　[8]唐正軍,李建華.入侵檢測技術[M].北京:清華大學出版社,2004