病毒入侵检测技术

随着计算机网络的发展，针对网络、主机的攻击与防御技术也不断发展，但防御相对于攻击而言总是被动和滞后的，尽管采用了防火墙等安全防护措施，并不意味着系统的安全就得到了完全的保护。总会有一个时间差，而且网络的状态是动态变化的，使得系统容易受到攻击者的破坏和入侵，这便是入侵检测系统的任务所在。入侵检测系统从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为，在发现攻击企图或攻击之后，及时采取适当的响应措施。本文主要介绍了入侵检测的描述、入侵检测基本原理、和入侵检测方法。

关键词：入侵检测系统；入侵检测的描述；检测基本原理；检测方法

With the development of computer network, the network, the host of the attack and defense technology also develops, but the defense to attack is always passive and lag, despite the use of firewalls and other security measures, does not mean that the system security has been fully protected. There is always a time lag, and the state of the network is dynamic, make the system vulnerable to the attacker's destruction and invasion, this is the task of the intrusion detection system. Intrusion detection system from the computer network system in a number of key point to collect information, and analysis of these information, check the network of violating security strategy behavior, found in the attempted attack or attacks, timely take appropriate response measures. This paper mainly introduced the intrusion detection are described, intrusion detection and intrusion detection method, basic principle.

Key words: intrusion detection system; intrusion detection; detection principle; testing method

第一章入侵检测系统概述 (1)

1.1入侵检测系统的描述 (1)

1.2基本概念 (2)

1.3入侵检测系统的功能组成 (2)

1.3.1信息收集 (2)

1.3.2信息分析 (3)

1.3.3结果处理 (3)

第二章入侵检测基本原理 (4)

2.1通用入侵检测模型 (4)

2.2数据来源 (5)

2.2.1主机入侵检测系统 (5)

2.2.2网络入侵检测系统 (6)

2.2.3混合型入侵检测系统 (7)

第三章检测技术 (8)

3.1异常检测 (8)

3.1.1检测功能 (8)

3.2误用检测 (9)

3.3响应措施 (9)

3.3.1主动响应 (9)

3.3.2被动响应 (9)

第四章入侵检测方法 (10)

4.1异常检测技术 (10)

4.1.1基于概率统计 (10)

4.1.2基于神经网络 (10)

4.2误用检测技术 (10)

4.2.1基于专家统计 (10)

4.2.2基于模型推理 (10)

第五章总结 (12)

参考文献 (13)

图2.1通用入侵检测模型 (4)

图2.2基于主机的入侵检测系统结构 (6)

图2.3基于网络的入侵检测系统结构 (7)

第一章入侵检测系统概述

1.1入侵检测系统的描述

Internet的开放性及其他方面的因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全任然存在很大的隐患，这些安全隐患主要归结为以下几点。

1、每一种安全机制都有一定的应用范围和应用环境。例如，防火墙是

一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问，但是对于内部网络之间的访问，防火墙往往无能为力。因此，对于内部网络之间和内外勾结的入侵行为，防火墙很难发觉和防范的。

2、安全工具的使用受到人为因素的影响。一个安全工具能否实现预期

的效果，在很大程度上取决于使用者，包括系统管理员和普通用户，不正当的设置就会产生不安全因素。

3、系统的后门是传统安全工具常常忽略的地方。防火墙很难考虑到这

类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉；例如，总所周知的ASP源码问题，这个问题在IIS服务器4.0以前一直存在，它是IIS服务器的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的Web访问是相似的，唯一的区别是入侵访问在请求链接中加了一个后缀。

4、只要有程序，就可能存在Bug，甚至安全工具本身也可能存在安全

漏洞。几乎每天都有新的Bug别发现和公布出来，程序设计者在修改已知Bug 的同时又有可能使它产生了新的Bug系统的Bug经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。

5、黑客的攻击手段在不断地更新，几乎每天都有不同系统的安全问题

出现。然而安全工具的更新速度太慢，绝大多数情况下需要人为参与才能发