入侵檢測技術(shù)研究概述

1、入侵檢測技術(shù)研究概述入侵檢測技術(shù)研究概述本文由dontyoulin貢獻doc文檔可能在WAP端瀏覽體驗不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機查看。入侵檢測技術(shù)研究概述郭風(fēng)(酒鋼(集團)檢修工程公司系統(tǒng)所，甘肅嘉峪關(guān)735100摘要：入侵檢測是保護信息安全的重要途徑，是一種新的動態(tài)安全防御技術(shù)，它是繼防火墻之后的第二道安全防線。介紹入侵檢測的相關(guān)概念，總結(jié)了入侵檢測系統(tǒng)的功能、分類及入侵檢測的過程，并對入侵檢測的方法進行了簡要分析

2、，為進一步研究提供參考。關(guān)鍵詞：入侵檢測；入侵檢測系統(tǒng)；檢測過程；檢測方法中圖分類號：TV31如何建立安全而又健壯的網(wǎng)絡(luò)系統(tǒng)，保證重要信息的安全性，已經(jīng)成為研究的焦點。以往采用的方式多是防火墻的策略，它可以防止利用協(xié)議漏洞、源路由、地址仿冒等多種攻擊手段，并提供安全的數(shù)據(jù)通道，但是它對于應(yīng)用層的后門，內(nèi)部用戶的越權(quán)操作等導(dǎo)致的攻擊或竊取，破壞信息卻無能為力。另外，由于防火墻的位置處在網(wǎng)絡(luò)中的明處，自身的設(shè)計缺陷也難免會暴露給眾多的攻擊者

3、，所以僅僅憑借防火墻是難以抵御多種多樣層出不窮的攻擊的，這種靜態(tài)的安全技術(shù)自身存在著不可克服的缺點。為了保證網(wǎng)絡(luò)系統(tǒng)的安全，就需要有一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，即入侵檢測技術(shù)。1入侵檢測的基本概念入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖?！比肭謾z測是檢驗和響應(yīng)計算機誤用的學(xué)科，是通過計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從

4、中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時做出相應(yīng)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測技術(shù)可以分為兩類：I)濫用檢測(MisuseDetection)濫用檢測是利用已知的入侵方法和系統(tǒng)的薄弱環(huán)節(jié)識別非法入侵。該方法的主要缺點為：由于所有已知的入侵模式都被植人系統(tǒng)中，非常適合于加密和交換環(huán)境；

5、(b)近實時的檢測和響應(yīng)；(c)不需要額外的硬件。同時也存在著一些不足：會占用主機的系統(tǒng)資源，增加系統(tǒng)負荷，而且針對不同的操作平臺必須開發(fā)出不同的程序，另外所需配置的數(shù)量眾多。但是對系統(tǒng)內(nèi)在的結(jié)構(gòu)卻沒有任何約束，同時可以利用操作系統(tǒng)本身提供的功能，并結(jié)合異常檢測分析，更能準確的報告攻擊行為。(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS：wkbasedIntrusionDetectionSystem)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為

6、數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實時地監(jiān)視并分析通過網(wǎng)絡(luò)進行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。它的攻擊識別模塊進行攻擊簽名識別的方法有：模式、表達式或字節(jié)碼匹配；頻率或閾值比較；次要事件的相關(guān)性處理；統(tǒng)計異常檢測。一旦檢測到攻擊，IDS的響應(yīng)模塊通過通知、報警以及中斷連接等方式來對攻擊行為作出反應(yīng)。然而它只能監(jiān)視通過本網(wǎng)段的活動，并且精確度較差，在交換網(wǎng)絡(luò)環(huán)境中難于配置，防欺騙的能力也比較差。但它也有著一定的優(yōu)勢：(a)成本低；(b)攻擊者轉(zhuǎn)移證據(jù)困難；

7、(C)實時的檢測和響應(yīng)；(d)能夠檢測到未成功的攻擊企圖；(e)與操作系統(tǒng)無關(guān)，即基于網(wǎng)絡(luò)的IDS并不依賴主機的操作系統(tǒng)作為檢測資源。212按照采用的檢測技術(shù)分類(1)異常檢測異常檢測(AnomalyDetection)，也被稱為基于行為的檢測；其基本前提是：假定所有的入侵行為都是異常的。原理：首先建立系統(tǒng)或用戶的“?！毙袨樘卣鬏喞?，通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。而不是依賴于具體行為是否出

8、現(xiàn)來進行檢測的，從這個意義上來講，異常檢測是一種間接的方法。(2)誤用檢測誤用檢測(MisuseDetection)，也被稱為基于知識的檢測；其基本前提是：假定所有可能的入侵行為都能被識別和表示。原理：首先對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是直接判斷攻擊簽名的出現(xiàn)與否來判斷入侵的，從這一點來看，