入侵检测系统及其发展研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信l l J 息 科 学
科
Hale Waihona Puke 入侵检测系统及其发展研究
朱 嘉 平
( 凯明信息, 上海 2 0 3 ) 0 2 7
摘 要: 简要介绍 了入侵检测 系统及其发展趋 势。 关键词: 入侵检测 系统 ; 防御 ; 发展
1 入侵险测系统简介 e t n S s m, I S 。 i e 存在以下—些问题 :1 误报 以 3. .1 及漏报率过高 : 大 v n o y t N P ) 1 入侵检测系统简史。18 年。 m s n 量的报警信息中存在误报的情况,同时由于攻击 . 1 90 J e A — a 3 D 3 I S以及 IS的 比较分 析 。2 o P 0 3年 dr n e o 最早提出了入侵检测的概念,他将入侵定 手段的不断更新,入侵检测系统并不—定能够报 G r e公司副总裁 R ca t n o 发表的—份 s a nr t i r Si nn hd e 义为 : ‘ ‘ 潜在的、 有预谋的、 未经授权的访问及操作 出网络中所有攻击行为 ; 1 海量信 息 3’ . 2 挑战系统 名为 认 侵检测已寿终正寝,入侵防御将万古长 信息, 致使系统不可靠或无法使用的企 图。” 能力: 由于网络 中数据流量的不断增长 , 入侵检测 青》 的报告在信息安全界掀起了不小的波澜 , 然而 18 年 ,l Sa f dR sac ntue的 系统产品能否对之进行高效的处理成为其效能的 时至今 日,我们可以看到无论从产品的开发以及 9 6 SY(tno eerhIstt) r i D rh . enn 发表论文 <nIrs nD — oo yE D nig t A t i e nuo 个关键节点 ; 1 不能及时地对攻击行为进行 市场反映, 33 . 都还没有到了 IS P 取代 IS D 的地步, 人 t tnM dl 首次给出了 ^ e i oe , co } 侵检测的抽象模型, 阻断:传统的入侵检测系统只能够通过抓包来对 们谈论的更多的是究竟哪一个更适合 自己的需 被认为是入 侵检测系统的开山之作。 网络数据进行分析 , 并将可疑情况通报给系统管 求 , 甚至把两款产品综合起来部署在自己的网络 1 8 ,R 的 T rs u t 98年 S I eeaL n 等人进一步改 理员 , 不能主 系统中, 以取得更强的安全效应。 进了 D n i 提 出的 ^ en g n 侵检测模型 , 并提出了入 3 2入侵防御系统 ( t s nPee t nSs I r i rvn o y— nuo i I DS和 IS各有其侧重点 , S强调 的是对 P I D 侵检测专家 系统( t s n D t tn E pr Ss t n IS。由于入侵检测系统在实际应用中存在 网络流量的监控和分析, I r i e c o x e v— e , P ) nu o ei t r 通常 IS D 都是以旁路的 tn IE ) e ,D S , r 这是—个实时入侵检测系统 , 被认为 着诸多的缺陷, 人侵防御系统开始进 ^^ 们的视 形式连接在网络上 ;而 IS P 强调的是一种主动的 是^ 侵检测研究中最有影响的—个系统。 野。 入侵防御系统至今并没有—个明确的定 义 有 发现及阻隔功能,它通常必须串接在网络的关键 , 2 世纪 8 年代后期 , 0 0 商业化的人侵检测系 些 ^ 认为 IS就是在线的 I S有些 人 P D; 认为 IS就 节点上,因此它也会带来 I S P D 所不可能产生的一 统开始出现。 是防火墙和 IS D 的组合 ;还有一种观点认为 I 些 问题, P S 例如单点故障以及网络瓶颈, I S 同时 D 所 1 侵检测系统的定义。 侵检测系统就是 就是新—代的 I S 2^ ^ D 。总的来说, 我们可以认为, S 固有的误报及漏报问题在 IS I P P 身上也同样存在。 因此, 不能简单 地认为 IS P 会取代 I S 它们 D。 能够通过从各网络 资源及其他系统节点收集信 就是能够检测到入侵的行为 ,并且主动的对之进 息, 并对这些信息进行分析 , 从而发现系统 中可能 行阻断的系统 。 根据部署方式 , 入侵防御系统能够 分别满足了用户不同的安全需求 , 这两种技术必 存在的安全问题 , 帮助信息系统及时应对处理各 分为以下两种类型:.1主机入侵 防护系统 ( ot 将在以后相当长—段时间内 3 . 2 Hs 互相共存 , 共同构成 种攻击事件的—种安全系统。 bsd It s n Peet n S s m H P )3 . 信息安全体系中的重要—环。 ae nr i rvn o yt uo i e , IS :22 l 3入侵检测系统的分类。1.基于主机的 网 31 络入侵防护系统( e o ae t s n P 一 N t r b d n ui i w k s Ir o e 入侵 检测系 统 ( o ae n ui e co H s bsdIt sn Dt tn t r o ei Ss m H D )H D yt , I S 。 I S通常都安装在它所要监控的 ( g 4 e I  ̄ 4页) 地标准》G J3 _0 中的城市 其原因主要是二者并不是孤立的, - (Bl79) 存在相互重复 主机上, 用于记录重要 的系统文件属性 , 扫描各类 示 以及当地的国民经济 计算的情况, 需要通过修正系数对结果进行修正。 日 志文件, 在发现异常行为时通知系统管理员 , 甚 发展规划 根据已 有经验, 确定修正系数为 0 5 . ,则该地州 8 00 3 0. 公顷。 1 规划 至像防火墙监控所有进出主机的数据包。1 .基 3 2 本文以云南省某地州为例, 据该地州国民经 2 1 年建设用地修正规模为 15 0 4 于网络的入侵检测系统( ew r ae nrs n 济发展“ N tokb sd It i uo 十一五” 规划及 期的建设用地需求往往不是—个 固定的预测值 , D tc o ytm, I ) I S通常位于网络重 果 , 1 年全州城市 化率 达 3%,城镇人 口为 因此将建设用地修正值作为下限,预测值作为上 eet nS s i e NDS。N D 2 0 0 2 要节点,利用运行在混杂模式下的网络适配器来 l2 4 1 . 万人。 6 城镇 ^ 均建设用地指标根据 2 0 年 限, 05 形成—个弹性的需求区间, 这样更能体现需求 实时监控和分析网络中的所有流量。 现状并参考 G J3 -0 确定为人均 8 平方米。 的合理性。 B 179 , 0 2^ 侵检测系统的体系结构及作用 经计算 ,预测该 地州 2 1 年城镇 建设用地 为 00 建设用地需求量预测对制定科学的发展规 划有着重要的作用 , 经研究得出该地州 2 1 年建 00 Z 入侵检测系统 的体系结构 。根据 C D 9 1 . 公 顷 。 1 IF 01 0 2 ( olo t s nD tcinFa w r)标准 , C nI n I r i eet rme ok l n uo l o 根据 固 定资产投资增 长对建设用地带动 的 设用地规模在 1 50 4 1 82 2 3 0. - 5 8. 公顷之间。 前 1 5 目 国内有关研究引入 了投资拉动土地增长系 建设用地预测研究较多的是在数量上 的变化 , 对 入侵检测系统被划分成 4 个相对独立的功能模 分析 , 块: 事件产生器 、 事件分析器、 响应单元和事件数 数的概念。 所谓投资拉动土地增长系数, 是指在一 空间布局上的变化研究较少,因此 将来对建设用 将转向空问布局和扩展模式 E 。 据库。2 .事件产生器从整个计算环境中获取事 定区域范围内, .1 1 每投入 1 亿元的全社会固定资产 地研究方向 需相应增加的城镇建设用地面积, 通常用 T 参 考文 献 件, 它不负责处理事件 , 向系统的其他部分提 投资 , 而是 供事件; 1 Z 2事件分析器分析得到的数据, 并产生 表示 , 单位为公顷, 亿元。根据该地州 19- 0 5 『 道持, 9 82 0 】 伟 刘力, 贾辉等威 镇建设用 地预测方法新 西南师范大学学报 ,04 2 0. 分析结果 ; 1 . 2 3响应单元对分析结果进行相应的 年 固定资产累计投资额及建设用地增长情况 , 计 探切. 前投资带动土地增长的系数为 :- [ 邵建英 , I 2 " 】 王珂等. 城镇建设用地预测方法研究U l 反击行为 ; 1 事件数据库存放各种中间和最终 算 出该地州 目 2- 4 数据。 13 公顷, 元 。 值可以看出, 73 f 从 乙 该地州土地利用 江西农业大学学报 。0 6 20. 2 ^ 2 侵检测系统的作用。 入侵I测系统并不 经济效应较差,也在一定程度上反映了其土地利 圈姜海, 佥 曲福田. 用地需求预测的理论与方法 建设 中国士地科学,0 5 2 o. 能帮助我们解决所有网络安全相关的问题 , 一般
科
Hale Waihona Puke 入侵检测系统及其发展研究
朱 嘉 平
( 凯明信息, 上海 2 0 3 ) 0 2 7
摘 要: 简要介绍 了入侵检测 系统及其发展趋 势。 关键词: 入侵检测 系统 ; 防御 ; 发展
1 入侵险测系统简介 e t n S s m, I S 。 i e 存在以下—些问题 :1 误报 以 3. .1 及漏报率过高 : 大 v n o y t N P ) 1 入侵检测系统简史。18 年。 m s n 量的报警信息中存在误报的情况,同时由于攻击 . 1 90 J e A — a 3 D 3 I S以及 IS的 比较分 析 。2 o P 0 3年 dr n e o 最早提出了入侵检测的概念,他将入侵定 手段的不断更新,入侵检测系统并不—定能够报 G r e公司副总裁 R ca t n o 发表的—份 s a nr t i r Si nn hd e 义为 : ‘ ‘ 潜在的、 有预谋的、 未经授权的访问及操作 出网络中所有攻击行为 ; 1 海量信 息 3’ . 2 挑战系统 名为 认 侵检测已寿终正寝,入侵防御将万古长 信息, 致使系统不可靠或无法使用的企 图。” 能力: 由于网络 中数据流量的不断增长 , 入侵检测 青》 的报告在信息安全界掀起了不小的波澜 , 然而 18 年 ,l Sa f dR sac ntue的 系统产品能否对之进行高效的处理成为其效能的 时至今 日,我们可以看到无论从产品的开发以及 9 6 SY(tno eerhIstt) r i D rh . enn 发表论文 <nIrs nD — oo yE D nig t A t i e nuo 个关键节点 ; 1 不能及时地对攻击行为进行 市场反映, 33 . 都还没有到了 IS P 取代 IS D 的地步, 人 t tnM dl 首次给出了 ^ e i oe , co } 侵检测的抽象模型, 阻断:传统的入侵检测系统只能够通过抓包来对 们谈论的更多的是究竟哪一个更适合 自己的需 被认为是入 侵检测系统的开山之作。 网络数据进行分析 , 并将可疑情况通报给系统管 求 , 甚至把两款产品综合起来部署在自己的网络 1 8 ,R 的 T rs u t 98年 S I eeaL n 等人进一步改 理员 , 不能主 系统中, 以取得更强的安全效应。 进了 D n i 提 出的 ^ en g n 侵检测模型 , 并提出了入 3 2入侵防御系统 ( t s nPee t nSs I r i rvn o y— nuo i I DS和 IS各有其侧重点 , S强调 的是对 P I D 侵检测专家 系统( t s n D t tn E pr Ss t n IS。由于入侵检测系统在实际应用中存在 网络流量的监控和分析, I r i e c o x e v— e , P ) nu o ei t r 通常 IS D 都是以旁路的 tn IE ) e ,D S , r 这是—个实时入侵检测系统 , 被认为 着诸多的缺陷, 人侵防御系统开始进 ^^ 们的视 形式连接在网络上 ;而 IS P 强调的是一种主动的 是^ 侵检测研究中最有影响的—个系统。 野。 入侵防御系统至今并没有—个明确的定 义 有 发现及阻隔功能,它通常必须串接在网络的关键 , 2 世纪 8 年代后期 , 0 0 商业化的人侵检测系 些 ^ 认为 IS就是在线的 I S有些 人 P D; 认为 IS就 节点上,因此它也会带来 I S P D 所不可能产生的一 统开始出现。 是防火墙和 IS D 的组合 ;还有一种观点认为 I 些 问题, P S 例如单点故障以及网络瓶颈, I S 同时 D 所 1 侵检测系统的定义。 侵检测系统就是 就是新—代的 I S 2^ ^ D 。总的来说, 我们可以认为, S 固有的误报及漏报问题在 IS I P P 身上也同样存在。 因此, 不能简单 地认为 IS P 会取代 I S 它们 D。 能够通过从各网络 资源及其他系统节点收集信 就是能够检测到入侵的行为 ,并且主动的对之进 息, 并对这些信息进行分析 , 从而发现系统 中可能 行阻断的系统 。 根据部署方式 , 入侵防御系统能够 分别满足了用户不同的安全需求 , 这两种技术必 存在的安全问题 , 帮助信息系统及时应对处理各 分为以下两种类型:.1主机入侵 防护系统 ( ot 将在以后相当长—段时间内 3 . 2 Hs 互相共存 , 共同构成 种攻击事件的—种安全系统。 bsd It s n Peet n S s m H P )3 . 信息安全体系中的重要—环。 ae nr i rvn o yt uo i e , IS :22 l 3入侵检测系统的分类。1.基于主机的 网 31 络入侵防护系统( e o ae t s n P 一 N t r b d n ui i w k s Ir o e 入侵 检测系 统 ( o ae n ui e co H s bsdIt sn Dt tn t r o ei Ss m H D )H D yt , I S 。 I S通常都安装在它所要监控的 ( g 4 e I  ̄ 4页) 地标准》G J3 _0 中的城市 其原因主要是二者并不是孤立的, - (Bl79) 存在相互重复 主机上, 用于记录重要 的系统文件属性 , 扫描各类 示 以及当地的国民经济 计算的情况, 需要通过修正系数对结果进行修正。 日 志文件, 在发现异常行为时通知系统管理员 , 甚 发展规划 根据已 有经验, 确定修正系数为 0 5 . ,则该地州 8 00 3 0. 公顷。 1 规划 至像防火墙监控所有进出主机的数据包。1 .基 3 2 本文以云南省某地州为例, 据该地州国民经 2 1 年建设用地修正规模为 15 0 4 于网络的入侵检测系统( ew r ae nrs n 济发展“ N tokb sd It i uo 十一五” 规划及 期的建设用地需求往往不是—个 固定的预测值 , D tc o ytm, I ) I S通常位于网络重 果 , 1 年全州城市 化率 达 3%,城镇人 口为 因此将建设用地修正值作为下限,预测值作为上 eet nS s i e NDS。N D 2 0 0 2 要节点,利用运行在混杂模式下的网络适配器来 l2 4 1 . 万人。 6 城镇 ^ 均建设用地指标根据 2 0 年 限, 05 形成—个弹性的需求区间, 这样更能体现需求 实时监控和分析网络中的所有流量。 现状并参考 G J3 -0 确定为人均 8 平方米。 的合理性。 B 179 , 0 2^ 侵检测系统的体系结构及作用 经计算 ,预测该 地州 2 1 年城镇 建设用地 为 00 建设用地需求量预测对制定科学的发展规 划有着重要的作用 , 经研究得出该地州 2 1 年建 00 Z 入侵检测系统 的体系结构 。根据 C D 9 1 . 公 顷 。 1 IF 01 0 2 ( olo t s nD tcinFa w r)标准 , C nI n I r i eet rme ok l n uo l o 根据 固 定资产投资增 长对建设用地带动 的 设用地规模在 1 50 4 1 82 2 3 0. - 5 8. 公顷之间。 前 1 5 目 国内有关研究引入 了投资拉动土地增长系 建设用地预测研究较多的是在数量上 的变化 , 对 入侵检测系统被划分成 4 个相对独立的功能模 分析 , 块: 事件产生器 、 事件分析器、 响应单元和事件数 数的概念。 所谓投资拉动土地增长系数, 是指在一 空间布局上的变化研究较少,因此 将来对建设用 将转向空问布局和扩展模式 E 。 据库。2 .事件产生器从整个计算环境中获取事 定区域范围内, .1 1 每投入 1 亿元的全社会固定资产 地研究方向 需相应增加的城镇建设用地面积, 通常用 T 参 考文 献 件, 它不负责处理事件 , 向系统的其他部分提 投资 , 而是 供事件; 1 Z 2事件分析器分析得到的数据, 并产生 表示 , 单位为公顷, 亿元。根据该地州 19- 0 5 『 道持, 9 82 0 】 伟 刘力, 贾辉等威 镇建设用 地预测方法新 西南师范大学学报 ,04 2 0. 分析结果 ; 1 . 2 3响应单元对分析结果进行相应的 年 固定资产累计投资额及建设用地增长情况 , 计 探切. 前投资带动土地增长的系数为 :- [ 邵建英 , I 2 " 】 王珂等. 城镇建设用地预测方法研究U l 反击行为 ; 1 事件数据库存放各种中间和最终 算 出该地州 目 2- 4 数据。 13 公顷, 元 。 值可以看出, 73 f 从 乙 该地州土地利用 江西农业大学学报 。0 6 20. 2 ^ 2 侵检测系统的作用。 入侵I测系统并不 经济效应较差,也在一定程度上反映了其土地利 圈姜海, 佥 曲福田. 用地需求预测的理论与方法 建设 中国士地科学,0 5 2 o. 能帮助我们解决所有网络安全相关的问题 , 一般