入侵检测技术探讨
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Gu Xio ig a nn
(in e c es olg o ue c n eD p r n, lnh b 0 0 ,hn ) Jn gT a h r C l eC mp tr i c e at t i e Se me Wua c a u 10 0C i 2 a
Absr c : ih t p iai n oft o utrn two k ic e sn ,t e p o lm b u e— r e u iy i r n r t a tW t he a plc to he c mp e e- r n r a ig h r b e a o tn two sc rt smo ea d mo e k
引言 征 判断 主体 系统 是否入 侵 。 伴 随着计 算机 网络技术 和互 联 网 的飞速发 展 ,各种 网络 攻击 () 2 误用 入侵检 测 。 该检 测系 统收 集 非正常 数据特 征通 过 匹 和入 侵 事件 时有发 生 ,所造 成 的破坏 性和 损 失 日益严重 。 网络安 配 来确 定系 统 中是否有 入侵 和攻击 。 全威 胁 愈加被 人们 所 重视 。 4 根据 系统 各个模 块运 行 的分布 方式 . 传 统 的信息 安全 方法 都是 静态 的 安全防 御技 术 ,面 对现 今 复 ( )集 中式入侵 检测 系统 ; ()分 布式 入侵检 测 系统 。 1 2 杂 多变 的入 侵手 段难 以应 付 。而入 侵检 测是 一种 动态 安全 的核 心 ( )入 侵检测 的系 统 的数据源 三 技 术 ,它通 过对 入侵 行为 的发 觉 ,收集 信 息进行 分析 ,并 做 出实 1基 于主机 的数 据源 . 时的 响应 ,从 中发现 是否 有违 反安 全策 略 的行 为和被 攻击 击 的迹 ( )系统运 行状 态信 息; ( )系统 记 帐信息 ; ( )系统 日 1 2 3 象 ,在 不 影响 网络性 能 的情况 下对 网络 进行 监测 ,提 供对 系统 的 志 。 实时保 护 [] 1。 2 基 于 网络 的数据源 . 二 、 入侵检 测 系统 ( )SM 1 NP信 息 ; ( )网络通 信包 2 入 侵检 测 系统 是传统 操作 系统 加 固和 防火墙 隔离 技术 的合 理 3应 用程 序 日志文件 . 补 充 ,它 的功 能是监 控 并分析 系统 及 用户 活动 ,检查 系统 的配 置 4其 他入 侵检 测系 统的报 警信 息 . 和漏 洞 ,发现 已知 的攻 击行 为 以及分 析异 常行 为 ,对系 统 日志进 三 、入侵 检测 技术 行管 理并 识别 非正 常活 动 , 发现 的入侵 行 为进行 告警 和响 应等 。 对 入 侵检测 技术 是 为保证 计算 机系 统 的安全 而设 计与 配置 的一 它 能够 保 护 网络安 全策 略 ,可 以提 高系统 管理 员 的安全 管理 能力 种 能够 及时 发现 并报 告系统 中未 授权 或异 常现 象 的技术 。它在 系 和信 息安 全基 础结 构 的完整 性 。理想 的入 侵检 测系 统应 该管 理方 统 内部 和各种 网络 资源 中主 动采 集信 息 ,从 中发现 内部 、外 部攻 便 、配 置简 单 ,扩展 性强 、保护 范 围广 。应 该具备 动态 自适 应性 , 击 与合 法用 户是 否滥用 特权 。入 侵检 测技 术可 以根据 用 户 的历史 应 能够根 据 网络 的规模 、系 统 的构 造 和安 全需求 的 改变而 改变 。 行 为或 的 当前操 作 ,完 成对 入侵 的检 测 ,根据 系统 入侵 的痕迹 , ( )入 侵检 测系 统 的工作模 式 一 来 恢复 和处理 数据 [] 1。 入侵 检测 的工 作过 程一 般分 四个 方面 : ( )入侵检 测 的过程 。入 侵检 测 的过程 分为 三步 :信 息收 一 ( )对信 息 进行 采集 。 ( )分 析该 信息 ,试 图寻 找入侵 活 集 、信 息分 析 以及 告警 与 响应 [] 1 2 5。 动 的特 征 。 ( )对检 测到 的行 为 自动作 出 响应 。 ( )记 录并 处 3 4 1信 息收集 。想 要入 侵检 测就 必须 有信 息收集 ,具 体 内容包 . 理 结果 。 括系 统 、网络 、数据 以及 用户 活动 的状 态和行 为等 。信 息 收集要 ( )入侵检 测 系统 的分类 [] 二 2 尽可 能 的扩 大范 围 ,从一 个信 息源 来 的信息 可能看 不 出什 么 ,但 1根据 目标 系统 的类 型来 看 ,可 以分 为两 类 . 是从 多个信 息源 收集 到 的不 同信息 能够 最大 限度 的识别 可 疑行 为 ( )基于 主机 (o tB s d 1 H s— ae )的入侵 检测 系统 。 常 ,基 于 或入侵 。 通 主 机 的入侵 检测 系统 可监测 系 统事 件和 操作 系统 下 的安全 记录 以 2信 息分析 。入侵检 测系 统 收集到 的信 息量 非常 大 ,而且 大 . 及 系统 记录 。它 通过 监视 并分 析主 机系 统 的 日志 、端 口调 用和 安 部分 都是 正常 的信 息 。想 要从 庞大 的信 息 中找 出少部 分 的异常 入 全 审计 记录 等来 检测入 侵 ,保 护主机 的 系统安 全 。 侵信 息 ,就要通 过信 息分 析 。所 以说信 息分 析是 入侵检 测 过程 的 ( )基于 网络 (e wr —a e )的 入侵检 测 系统 。该类 型 核心 环节 。 2 N tok B sd 的入侵 检测 系 统主 要作 用是针 对保 护 网络 。该 系统 由混杂 模式 下 3 告警 与响应 入 侵检 测发 现系 统发 生变 更后 ,产 生警 告并 . 的 网络 适配 器 组成 ,用 来识 别 网络 中的原 始数 据包 ,实 时监视 并 采取 响 应措施 ,告诉管 理员 有入侵 发生 或者 直接 处理 分 析通 过 网络 的所 有通信 业 务 。 ( )入 侵分 析 的模型 。入 侵分 析是 入侵 检测 的核 心 。在这 二 2根 据入 侵检 测系 统分析 的数 据来 源 . 里 ,我 们把入 侵 分析 的处理 过程 分 为三个 阶段 :构 建分 析器 、对 入侵检 测 系统 分析 的数据 可 以是主 机 系统 日志 、 网络数据 包 、 现场 数 据进 行分 析、反 馈和 提炼 [] 2。 应用 程序 的 日志 、防火 墙报 警 日志 以其他 入侵 检测 系统 的报警 信 1构建 分析器 . 息等 分 析器 可 以执行预 处理 、分 类和 后处理 的 核心 功能 3根 据入 侵检 测方 法可 以分 为两类 . ( ) 以收集 并 生成 事件信 息 ; ( ) 1可 2 分析 预 处理信 息 ; ( ) 3 () 1 异常 入侵检 测检 测 。 该类 型 的系统 基于 正常 状态 数据特 建立一 个行 为分 析引擎 。
s ro s d y b a . h o c p ft e i c r in d tci g s se wa n r d c d i hs t e i, d s l n lz d ic so eiu y d y T e c n e to u so ee t y tm s ito u e t i h ss n i y a ay e n u in a h n n n a mp r d t cig tc n l g i e mo t s d d tci g tc o o y n wa y s ds u s dI e ls, e d v lp n rn n ee t e h o o y wh l t sl u e ee t e h lg o d s wa i s e . t a th e eo me tt d a d n eh y n n a c nh t e man rs a c ie t f h c o o y wa iwe . i e r hd rc tet h lg s e d e o en v Ke wo d : t r c r y I t s n d t cin Dee t n tc n l g ; t so ee t n s se y r sNewo k s u i ; r i ee t ; tci h o o y I r ind tc i y tm e t n u o o o e n u o
关键词 : 网络 安全 ;入侵 检 测 ;入 侵检 测技 术 ;入侵 检测 系统
中图分类号 :T 33 8 P9 . 0
文献标识码 :A 文章蝙号 :10 — 59( 02 O 一 0 7 0 07 99 21 ) l 04 - 2
I tu in Dee t n Te h o o y S u y n r so t ci c n l g t d o
计 算机 光盘 软件 与应 用
21 第 i 0 2年 期 C m u e DS fw r n p l c t o s op trC o ta eFra Baidu bibliotek dA p ia in 工 程 技 术
入侵检测技术探讨
顾 晓 宁
( 集宁师范学院计算机 系,内蒙古乌兰察布 0 20 100)
摘 要 :随着计算机网络应用的增 多,网络安全 问题也 日益严峻。本文介绍了入侵检测 系统的概念,并对入侵检测技 术进行 了简要 的分 析 ,探 讨 了一 些现阶段 主要 的入 侵检 测技 术 ,最后展 望 了入侵 检 测技 术的发展 趋 势及 主要研 究 方向 。
(in e c es olg o ue c n eD p r n, lnh b 0 0 ,hn ) Jn gT a h r C l eC mp tr i c e at t i e Se me Wua c a u 10 0C i 2 a
Absr c : ih t p iai n oft o utrn two k ic e sn ,t e p o lm b u e— r e u iy i r n r t a tW t he a plc to he c mp e e- r n r a ig h r b e a o tn two sc rt smo ea d mo e k
引言 征 判断 主体 系统 是否入 侵 。 伴 随着计 算机 网络技术 和互 联 网 的飞速发 展 ,各种 网络 攻击 () 2 误用 入侵检 测 。 该检 测系 统收 集 非正常 数据特 征通 过 匹 和入 侵 事件 时有发 生 ,所造 成 的破坏 性和 损 失 日益严重 。 网络安 配 来确 定系 统 中是否有 入侵 和攻击 。 全威 胁 愈加被 人们 所 重视 。 4 根据 系统 各个模 块运 行 的分布 方式 . 传 统 的信息 安全 方法 都是 静态 的 安全防 御技 术 ,面 对现 今 复 ( )集 中式入侵 检测 系统 ; ()分 布式 入侵检 测 系统 。 1 2 杂 多变 的入 侵手 段难 以应 付 。而入 侵检 测是 一种 动态 安全 的核 心 ( )入 侵检测 的系 统 的数据源 三 技 术 ,它通 过对 入侵 行为 的发 觉 ,收集 信 息进行 分析 ,并 做 出实 1基 于主机 的数 据源 . 时的 响应 ,从 中发现 是否 有违 反安 全策 略 的行 为和被 攻击 击 的迹 ( )系统运 行状 态信 息; ( )系统 记 帐信息 ; ( )系统 日 1 2 3 象 ,在 不 影响 网络性 能 的情况 下对 网络 进行 监测 ,提 供对 系统 的 志 。 实时保 护 [] 1。 2 基 于 网络 的数据源 . 二 、 入侵检 测 系统 ( )SM 1 NP信 息 ; ( )网络通 信包 2 入 侵检 测 系统 是传统 操作 系统 加 固和 防火墙 隔离 技术 的合 理 3应 用程 序 日志文件 . 补 充 ,它 的功 能是监 控 并分析 系统 及 用户 活动 ,检查 系统 的配 置 4其 他入 侵检 测系 统的报 警信 息 . 和漏 洞 ,发现 已知 的攻 击行 为 以及分 析异 常行 为 ,对系 统 日志进 三 、入侵 检测 技术 行管 理并 识别 非正 常活 动 , 发现 的入侵 行 为进行 告警 和响 应等 。 对 入 侵检测 技术 是 为保证 计算 机系 统 的安全 而设 计与 配置 的一 它 能够 保 护 网络安 全策 略 ,可 以提 高系统 管理 员 的安全 管理 能力 种 能够 及时 发现 并报 告系统 中未 授权 或异 常现 象 的技术 。它在 系 和信 息安 全基 础结 构 的完整 性 。理想 的入 侵检 测系 统应 该管 理方 统 内部 和各种 网络 资源 中主 动采 集信 息 ,从 中发现 内部 、外 部攻 便 、配 置简 单 ,扩展 性强 、保护 范 围广 。应 该具备 动态 自适 应性 , 击 与合 法用 户是 否滥用 特权 。入 侵检 测技 术可 以根据 用 户 的历史 应 能够根 据 网络 的规模 、系 统 的构 造 和安 全需求 的 改变而 改变 。 行 为或 的 当前操 作 ,完 成对 入侵 的检 测 ,根据 系统 入侵 的痕迹 , ( )入 侵检 测系 统 的工作模 式 一 来 恢复 和处理 数据 [] 1。 入侵 检测 的工 作过 程一 般分 四个 方面 : ( )入侵检 测 的过程 。入 侵检 测 的过程 分为 三步 :信 息收 一 ( )对信 息 进行 采集 。 ( )分 析该 信息 ,试 图寻 找入侵 活 集 、信 息分 析 以及 告警 与 响应 [] 1 2 5。 动 的特 征 。 ( )对检 测到 的行 为 自动作 出 响应 。 ( )记 录并 处 3 4 1信 息收集 。想 要入 侵检 测就 必须 有信 息收集 ,具 体 内容包 . 理 结果 。 括系 统 、网络 、数据 以及 用户 活动 的状 态和行 为等 。信 息 收集要 ( )入侵检 测 系统 的分类 [] 二 2 尽可 能 的扩 大范 围 ,从一 个信 息源 来 的信息 可能看 不 出什 么 ,但 1根据 目标 系统 的类 型来 看 ,可 以分 为两 类 . 是从 多个信 息源 收集 到 的不 同信息 能够 最大 限度 的识别 可 疑行 为 ( )基于 主机 (o tB s d 1 H s— ae )的入侵 检测 系统 。 常 ,基 于 或入侵 。 通 主 机 的入侵 检测 系统 可监测 系 统事 件和 操作 系统 下 的安全 记录 以 2信 息分析 。入侵检 测系 统 收集到 的信 息量 非常 大 ,而且 大 . 及 系统 记录 。它 通过 监视 并分 析主 机系 统 的 日志 、端 口调 用和 安 部分 都是 正常 的信 息 。想 要从 庞大 的信 息 中找 出少部 分 的异常 入 全 审计 记录 等来 检测入 侵 ,保 护主机 的 系统安 全 。 侵信 息 ,就要通 过信 息分 析 。所 以说信 息分 析是 入侵检 测 过程 的 ( )基于 网络 (e wr —a e )的 入侵检 测 系统 。该类 型 核心 环节 。 2 N tok B sd 的入侵 检测 系 统主 要作 用是针 对保 护 网络 。该 系统 由混杂 模式 下 3 告警 与响应 入 侵检 测发 现系 统发 生变 更后 ,产 生警 告并 . 的 网络 适配 器 组成 ,用 来识 别 网络 中的原 始数 据包 ,实 时监视 并 采取 响 应措施 ,告诉管 理员 有入侵 发生 或者 直接 处理 分 析通 过 网络 的所 有通信 业 务 。 ( )入 侵分 析 的模型 。入 侵分 析是 入侵 检测 的核 心 。在这 二 2根 据入 侵检 测系 统分析 的数 据来 源 . 里 ,我 们把入 侵 分析 的处理 过程 分 为三个 阶段 :构 建分 析器 、对 入侵检 测 系统 分析 的数据 可 以是主 机 系统 日志 、 网络数据 包 、 现场 数 据进 行分 析、反 馈和 提炼 [] 2。 应用 程序 的 日志 、防火 墙报 警 日志 以其他 入侵 检测 系统 的报警 信 1构建 分析器 . 息等 分 析器 可 以执行预 处理 、分 类和 后处理 的 核心 功能 3根 据入 侵检 测方 法可 以分 为两类 . ( ) 以收集 并 生成 事件信 息 ; ( ) 1可 2 分析 预 处理信 息 ; ( ) 3 () 1 异常 入侵检 测检 测 。 该类 型 的系统 基于 正常 状态 数据特 建立一 个行 为分 析引擎 。
s ro s d y b a . h o c p ft e i c r in d tci g s se wa n r d c d i hs t e i, d s l n lz d ic so eiu y d y T e c n e to u so ee t y tm s ito u e t i h ss n i y a ay e n u in a h n n n a mp r d t cig tc n l g i e mo t s d d tci g tc o o y n wa y s ds u s dI e ls, e d v lp n rn n ee t e h o o y wh l t sl u e ee t e h lg o d s wa i s e . t a th e eo me tt d a d n eh y n n a c nh t e man rs a c ie t f h c o o y wa iwe . i e r hd rc tet h lg s e d e o en v Ke wo d : t r c r y I t s n d t cin Dee t n tc n l g ; t so ee t n s se y r sNewo k s u i ; r i ee t ; tci h o o y I r ind tc i y tm e t n u o o o e n u o
关键词 : 网络 安全 ;入侵 检 测 ;入 侵检 测技 术 ;入侵 检测 系统
中图分类号 :T 33 8 P9 . 0
文献标识码 :A 文章蝙号 :10 — 59( 02 O 一 0 7 0 07 99 21 ) l 04 - 2
I tu in Dee t n Te h o o y S u y n r so t ci c n l g t d o
计 算机 光盘 软件 与应 用
21 第 i 0 2年 期 C m u e DS fw r n p l c t o s op trC o ta eFra Baidu bibliotek dA p ia in 工 程 技 术
入侵检测技术探讨
顾 晓 宁
( 集宁师范学院计算机 系,内蒙古乌兰察布 0 20 100)
摘 要 :随着计算机网络应用的增 多,网络安全 问题也 日益严峻。本文介绍了入侵检测 系统的概念,并对入侵检测技 术进行 了简要 的分 析 ,探 讨 了一 些现阶段 主要 的入 侵检 测技 术 ,最后展 望 了入侵 检 测技 术的发展 趋 势及 主要研 究 方向 。