论文导读:入侵检测系统(IntrusionDetectionSystem)是一种自动进行入侵检测和分析的软件或硬件系统,它能够帮助系统识别入侵、攻击以及异常数据流量,从而避免病毒、黑客的攻击。基于网络的入侵检测方法有:统计方法、神经网络、数据挖掘、免疫学方法等,以及一些新提出的基于网络的分析入侵检测方法。这也要求入侵检测技术不断改进更新,近年来,入侵检测技术有新的发展趋势:网络检测点由个别点向面发展,即一个主要的发展趋势是采用分布式系统,在网络上放置多个检测器,共享信息,并通过信息的分发交流,协同工作,提高系统响应的实时性。
关键词:入侵检测,方法,趋势
1 引言
入侵检测系统(Intrusion Detection System)是一种自动进行入侵检测和分析的软件或硬件系统,它能够帮助系统识别入侵、攻击以及异常数据流量,从而避免病毒、黑客的攻击。随着网络安全问题的日益突出,传统的防火墙技术暴露出明显的不足和缺点,比如,不能提供实时入侵检测能力;不能阻止网络内部攻击;无法解决安全后门问题等,入侵检测系统作为一种重要的动态安全技术,就成为防火墙的有益补充,扩展了系统管理员的安全管理、监视、防攻击的能力,从而提高了信息安全性。
2 入侵检测系统概述
入侵检测是对入侵行为的发觉,即对未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不可用的行为的检测、确认。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统需要很强的智能化,必须能将得到的数据进行分析,并得出有用的结果,一个合格的入侵检测系统能够大大的简化管理员的工作,保证网络安全的运行。
3 入侵检测系统的分类
根据检测系统的特性,可以从不同的角度,对入侵检测系统进行分类。比如,按照检测技术分类可以分为异常检测和滥用检测;根据检测数据的来源分类可以分为基于主机的入侵检测系统和基于网络的入侵检测系统;按照响应方式分类可以分为主动响应入侵检测和被动响应入侵检测;按照控制策略分类可以分为集中式入侵检测和部分分布式入侵检测以及全部分布式入侵检测等。基于网络流量的入侵检测是预防入侵的一个新的研究方向,特别针对网络扫描、DDos攻击以及蠕虫等较为有效,本文将做重点讨论。
4 基于网络的入侵检测系统
基于网络的入侵检测系统是通过连接在网络上的站点对报文进行捕获,根据网络的流量大小及其它有用数据的分析来判断入侵是否发生。基于网络的入侵检测的优点主要有两个:实时性和操作代价低。通过实时的观测网络流量,基于网络的入侵检测能够在入侵者实施入侵前做出反应,提供实时保护。由于基于网络的入侵检测实体安置在网络部门,而不是在用户桌面,所以安装快捷,对用户的要求不高,实现起来简单。
网络的流量行为具有长期特征和短期特征。网络流量长期特征表现为具有一定的规律性和稳定性。能够对局域网的流量或者某些关键主机的流量情况进行实时检测,并进行预测分析,有助于判断异常网络流量,及早发现和识别潜在的入侵攻击的发生。据研究,造成网络流量的异常,原因可能有:网络扫面、DDos攻击、蠕虫、恶意下载、用户对网络资源的不当使用以及物理链路或者设备不能正常运转等。
基于网络的入侵检测方法有:统计方法、神经网络、数据挖掘、免疫学方法等,以及一些新提出的基于网络的分析入侵检测方法。
统计方法通过分析大量的系统参数并生成系统的正常行为轮廓库,自适应地学习系统的正常行为模式。每个行为轮廓代表一个主体的正常行为,由一组入侵检测度量值来描述。统计方法的最大优点是它可以“学习”用户的行为习惯,具有较高的检测率和可用性。通过对一段时间网络安全状况下的数据包流量进行统计,从而从宏观上建立起网络在安全状况下的周期数据包流量轮廓,用于检测以拒绝服务攻击为主的入侵和网络扫描等异常行为。
神经网络是一个有简单处理单元构成的规模宏大的并行分布式处理器。具有存储经验知识和使之可用的特性。由于神经网络适合于学习比较复杂的非线性关系,而且它是数据驱动学习的,通过学习掌握数据间的依从关系,不需要对网络流量进行大量的数学建模工作。
数据挖掘是一种特定应用的数据分析过程,可以从包含大量冗余信息的数据中提取尽可能多的安全信息,抽象出有利于进行判断和比较的特征模型。这些特征模型可以是基于异常检测的特征量模型,也可以是基于异常检测的行为描述模型。数据分类的方法、关联分析的方法以及序列分析的方法等数据挖掘方法对入侵检测是非常有用的。
另外,借鉴免疫系统中蕴含的丰富且有效的信息处理机制,即通过产生抗体来消灭入侵,通过针对计算机系统和网络抵抗入侵的安全问题,可以发展为人工免疫模型和算法。基于网络的入侵检测系统正处于研究的初级阶段,还有其他一些方法如模式预测、遗传算法、序列匹配与学习方法等。
5 入侵检测存在的问题以及发展趋势
5.1 入侵检测存在的问题
尽管已经开发出很多入侵检测方法,但现在的入侵检测系统本身还存在不少问题。主要体现在以下几方面:
缺少有效性。入侵检测系统评价事件经常是实时的。它的代价因素有操作代价、破坏代价、响应代价等,这些代价在当今网络规模不断增大,带宽增加的情况下是非常可观的。
误警率高。入侵检测错误的判断率称为误警率。在追求高的检测率的同时也增加了误警率,影响了系统的精确性。
自身易受攻击。一般来说入侵检测系统是一个软件系统,其也有可能存在漏洞,由此一旦入侵检测系统受到攻击,它所检测的网络都将得不到保护。
自学能力弱。通常,入侵检测规则依赖于手工添加。更新缓慢,不及时,都限制了入侵检测系统的有用性。
各种安全技术协作不够。现在的安全技术,如防火墙、密码技术、身份识别和验证系统、网络安全管理等,相互间独立,缺少相互间的配合。
入侵检测判断标准缺少。入侵检测系统正处于研究的初级阶段,其方法手段缺少判断标准,同时缺少测试入侵检测系统的工具。
5.2 入侵检测系统的发展趋势
Internet技术在不断的发展,网络的速度也在不断提高,在这样的前提下,人们对安全性的要求也越来越高。这也要求入侵检测技术不断改进更新,近年来,入侵检测技术有新的发展趋势:网络检测点由个别点向面发展,即一个主要的发展趋势是采用分布式系统,在网络上放置多个检测器,共享信息,并通过信息的分发交流,协同工作,提高系统响应的实时性;入侵检测系统的数据库由手工方式向智能化、自动更新发展,智能化的入侵检测方法,使系统具有学习、更新的能力;将免疫机理应用到入侵检测系统的思想将得到大发展。经证明,基于免疫机理的入侵检测系统比传统的入侵检测系统具有更好的检测性能,能够有效降低误警率和提升检测率。
6 结束语
入侵检测在网络中起着越来越重要的作用,但目前尚处于研究的初级阶段,将面临许多挑战,但可以肯定的是入侵检测将迎来大发展。
参考文献
[1]戚玉娥.基于网络流量异常的入侵检测技术.网络安全技术与应用,2008
[2]入侵检测系统综述.谢根亮.网络安全技术与应用,2008
|