论文导读:1.入侵检测系统概述入侵检测,就是对网络或者系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。3.按照目前IDS的发展趋势来分,IDS分为集中式和分布式两种。
关键词:入侵检测,计算机网络,分布式
1. 入侵检测系统概述入侵检测,就是对网络或者系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。简单说就是对入侵行为的发觉。入侵检测系统(Intrusion Detection System,简称IDS)是一个能够对网络或计算机系统的活动进行实时监测的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络安全管理员及时采取对策提供有价值的信息。
2.入侵检测系统的历史研究与现状入侵检测系统从开始研究到目前的商业产品,已经有20多年的历史了。最早研究入侵检测的是James Anderson,他在1980年首先提出了入侵检测的概念,将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。Anderson提出审计追踪可应用于监视入侵威胁。
国外入侵检测系统已经进入相对成熟期,目前比较成功的商业系统大都是混合使用多种技术,而且很多系统不只是具有入侵检测和响应功能,还具有很强的网络管理和网络通信统计的功能。比如:ISS公司的RealSecure、Axcent公司的Intruder Alert、Cisco公司的Cisco Secure IDS、Network Flight Recorder公司的NID、NetworkIce公司的BlackIce Defender、NAI公司的CyberCop Intrusion Protection等产品。
国内对入侵检测系统的研究起步较晚,无论理论研究还是实践创新都落后于国外,目前处于对国外技术的跟踪研究状态。论文检测。近年来有一些单位如:中科院、清华大学、国防科技大学、中联绿盟、金诺网安、启明星辰等都开展了入侵检测系统的理论研究和产品开发研制工作。
3.入侵检测系统的分类随着入侵检测技术的发展,目前已经出现了很多入侵检测系统,不同的入侵检测系统具有不同的特征。根据不同的分类标准,入侵检测系统可分为不同的类别。
1.按照数据来源划分,入侵检测系统分为基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。
1)基于主机的入侵检测系统
它检测的目标主要是主机系统和系统本地用户。检测的原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。此系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的定义。
2)基于网络的入侵检测系统
它通过在共享网段上对通信数据进行侦听,采集数据,分析可疑现象,系统根据网络流量、协议分析、简单网络管理协议信息等检测入侵。
2.按照目前国内外的入侵检测技术IDS主要分为两类:基于异常的入侵检测和基于误用的入侵检测。
1)基于异常的入侵检测
首先总结正常操作应该具有的特征,例如特定用户的操作习惯与某些操作的频率等;在得出正常操作的模型之后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。
2)基于误用的入侵检测
收集非正常操作也就是入侵行为的特征,建立相关的特征库;在后续的检测过程中,将收集到的数据与特征库中的特征代码进行比较,得出是否是入侵的结论。当前流行的系统基本上采用了这种模型。
3.按照目前IDS的发展趋势来分,IDS分为集中式和分布式两种。
1)集中式IDS
所谓集中式是指整合基于主机的IDS和基于网络的IDS的各自优点,将HIDS和NIDS这两种检测技术很好地集成起来,提供集成化的攻击签名、检测、报告和事件关联功能。
2)分布式IDS
对分布式而言有两层含义,一是针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击。这其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。论文检测。
4.入侵检测技术的发展方向目前入侵检测系统面临的最主要挑战有两个:一是误警率太高,二是检测速度太慢。针对这些挑战和入侵手段的不断进步,今后的入侵检测技术大致将朝以下几个方向发展。
1.分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。
2.应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测如WEB之类的通用协议,而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
3.智能化的入侵检测
入侵方法越来越多样化与综合化,已经有模糊技术、神经网络与遗传算法在入侵检测领域的应用研究,这些方法常用于入侵特征的辨识与泛化,需对智能化的IDS做进一步的研究以解决其自学习与自适应能力,来完善系统模型,提高检测的效率和准确性。
4.入侵检测的评测方法
用户需对众多的IDS系统进行评价,设计通用的入侵检测测试与评估方法与平台,实现对多种IDS系统的检测已成为当前IDS的另一重要研究与发展领域。
5.综合性检测系统
与其它的网络安全技术 (包括硬件技术) 相结合, 形成综合的检测系统,解决传统方法检测对象单一、检测攻击形式简单的问题和一些难以解决的问题。
6.宽带高速网络的实时入侵检测技术
大量高速网络技术近年来不断出现,在此背景下的各种宽带接入手段层出不穷,如何实现高速网络环境的入侵检测已成为一个现实问题。这需要考虑两个方面,首先,入侵检测系统的软件结构和算法需要重新设计,以适应高速网络的新环境,重点是提高运行速度和效率。另一方面是,随着高速网络技术的不断进步和成熟,新的高速网络协议的设计也成为未来的一个发展趋势,现有的入侵检测系统如何适应和利用未来新的网络协议结构是一个全新的问题。
从信息安全角度出发,入侵检测理应受到人们的高度重视,从国外入侵检测产品市场的蓬勃发展可以看出这一点。论文检测。在国内,随着国家重要部门的关键业务逐渐增多,迫切需要具有自主版权的入侵检测产品。但目前的入侵检测仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性分析)外,应重点加强统计分析的相关技术研究。
|
