入侵检测系统概述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
mo e , c o o y a ede l p n rnd fi tuso ee to nt e ̄ tr d lt hn l g ndt veo i gte so r i n d tcin i e h n h u e.
K e wo dsnr in ee t ; b s ee to An mal tc o y r l tuso d tci A u ed tc n; o on i ydee t n i
I t u i n De e to y t m e v e n r so t c i n S se Ov r iw
Ya gYa n n
( h n d o ain lT c nc l ol eC e g u 6 0 0C ia C e g uV ct a& e h i lg ,h n d 1 0 ,hn ) o aC e 0
【】 Hen — r g r gSb sa ekBe hr u i著 , I[ 德] iz GedHeei ,e a i A b c , r adNe ma n tn n r
曹阳等译_ 系统的集成管理: 网络 概念、 系及其应用f . 体 M】 清华大学
出 版 社 .0 11 . Байду номын сангаас 0 .13
计 算机光 盘软 件 与应 用
2 1 年第 7 00 期
C m u e DS f w r n p lc t o s o p t rC o t a ea dA p i a i n 工 程 技 术
入侵检测系统概述
杨 焰
( 成都职业技 术学院 ,成都
摘
600 ) 10 0
要 :本 文主要 介 绍 了入 侵检 测 的概 念 、 功能 ,研 究 了入 侵检 测模 型 、技 术 以及 未来 入侵检 测技 术 的发展 趋 势 。 关键 词 :入 侵检 测 ;误用检 测 ;异 常检 测 中 图分 类号 :T 39 文献 标识码 :A P 0. 5 文章编号:10— 59 ( 00 0 — 0 1 0 07 99 2 1 ) 7 07 — 1
一
、
( )误用 检测 一
一
误 用 检 测 (iu e ee to )又 称 基 于 特 征 的 检 测 M s s dt c in (in tr a e ee to ) 误用 检测 假 设入侵 者活 动可 以用 S ga u eb sd tc in 。 d 种模 式来 表示 ,首 先 要定 义违 背安 全策 略 的事件 的特 征 ,根据 已定义 好 的入侵 模式 ,判 断这 类特 征 是否在 所 收集 到 的数据 中 出 现 ,从 而判 断入侵 是 否 出现 。 ( )异常检 测 二 网络流量 异 常检 测系 统试 图建 立一 个对 应 “ 常的活 动 ”的 正 特征 原 型 ,然后 把所 有与所 建 立 的特征 原 型 中差 别 “ 很大 ”的行 为都 标 志为异 常 。它 假定所 有异 常行为 都是 与 正常 行为不 同 的。 如果 能够 建立 系统 正 常行 为 的轨 迹 ,那 么理 论上 就可 以把所 有 与 正常 轨迹 不 同的系 统状 态视 为可 疑企 图 。 ( )异 常检 测方 法 三 目前异 常检 测 常用 到的方 法和 技术 包括 : 1 阈值 检测 方 法 。这是 最常 见 的量化 分 析形 式 ,在 阈值 检测 . 中,用 户和 系统 行 为 的某种 属性 根据 计数 进行 描述 ,这 些计 数是 有 某种 许可 级别 的 。一般 是 根据 历 史数据 建立 一个 正常 的参 数基 线 ,设 定一 个容 许范 围 ,一旦 超 出此范 围就 判 断为异 常 。
一
2 统计检 测 . 统计模型常用异常检测 , 在统计模型 中常用 的测量参数包括 :审 计事件 的数量 、间隔时间、资源消耗 『况等 。统计方法的最大优 点是 青 它可 以 “ 学习 ”用户的使用习惯,从而具有较高检 出率与可用性。 3基 于 小波 的检测 方法 。该方 法利 用小 波变 换把 流量 观测 值 . 序 列分 解 成 近 似 系 数 (pr xm to of i in s ap o ia in ce fc et )和 细 节 系 数 (ea 1 o f iin s , 量 中的奇 异性 可 以在细 节系 数 中检 d t i efc et ) 流 c 测 出来 。 4 面 向 网络安 全 的检测 方法 。它是 通过 过程 模型来 描 述所期 . 望 的网络特 征 , 即正常 行为 特征 ,如 果 当前特 征 与所期 望 的特征 有 显著 偏差 时产 生警 报 。 5 其它 的 方法 。如 :神经 网络 、遗 传 算法 、模 糊识 别 、免疫 . 系 统 、数据挖 掘 等 。这 些 方法 目前 都停 留在 理论研 究 阶段 。 小 结 总之 ,入 侵检 测 作为 一种 积极 主动 地 安全 防护 技术 ,提供 了 对 内部攻 击 、外 部攻击 和 误操 作 的实 时保 护 ,在 网络系 统受 到危 害之 前拦 截和 响应 入 侵 。从 网络 安全立 体 纵深 、多 层次 防御 的角 度 出发 ,入侵 检测 理应 受 到人 们 的高度 重视 ,这 从 国外入 侵检 测 产 品市场 的蓬 勃发 展就 可 以看 出。 国内 , 在 随着 上 网的关键 部 门、 关键业 务 越来 越多 ,迫 切需 要具 有 自主版 权 的入侵检 测产 品。 参 考文 献 :
A b t ac: i p p r nr u e te o c p a d u t n o ituso sr tTh s a e i tod c s h c n e t n f nci o f nr in d tcina d t d e t e ntu i n ee t n ee t n s i s h i r so d tci o u o
[段 海新 , 家海 . 于 W e 2 】 杨 基 b和数 据库 的 网络 管理 系统 的设计 与 实 现 【 . 学报 , 0,o. , . 4 8 42 M】 软件 2 0 11 0 V 1 No4 6— 7 : [ 宋 献 涛 等 . 侵 检 测 系 统 的 分 类 学研 究 【. 算 机 工 程 与 应 3 】 入 『计 ]
用 ,0 243 ()12 3 . 2 0 .,88:3 -15
入 侵检 测 系统概 念 ICA 入侵 检测 系统 论坛 的定 义是 :通 过 从计 算机 网络 或计 IS 算 机系 统 中的若 干关 键 点收集 信 息并对 其 进行 分析 , 以发现 网络 或系统 中是 否有 违 反安全 策 略 的行 为和 遭 到袭 击 的迹象 。入 侵检 测 系统 (D ) 要通 过 以下几 种活 动来 完成 任务 :监 视 、分析 用 IS 主 户 以及 系统 活动 ;对 系统 配置 和弱 点进 行 审计 ;识 别与 已知 的攻 击 模式 匹配 的活 动 ;对 异 常活 动模 式进 行 统计分 析 ;评估 重要 西 和 数据文 件 的完整 性 ;对 操作 系统进 行 审计 跟踪 管理 ,并 识别 用 户 违反 安全策 略 的行为 。 二 、入侵 检测 功能 总地 来讲 ,入侵 检测 系统 主要 有 以下功 能 : ( )监 视并 分析 用户 和系 统 的活动 ,查 找非 法 用户 和合 法 一 用户 的越权 操 作; ( )检 测系 统配 置 的正确 性和 安全 漏洞 ,并 提示 管理 员修 - 补漏洞 : ( )对用 户 的非正 常活 动进 行 统计 分析 ,发现 入侵 行 为 的 三 规律; 个合 格 的入侵 检测 系统 能大 大 简化 管理 员 的工作 ,使 管理 员 能够 更容 易地 监视 、 审计 网络和 计算 机系 统 ,扩展 了管理 员的 安 全管 理能 力 ,保 证 网络和 计算 机系 统安 全 的运 行 。 三 、入侵 检测 分 类 入侵 检测 系统 的 发展 是从 多方面 进行 的,根 据检 测系 统 的特 性 ,可从 不 同 的角 度将 入侵 检 测系 统进 行分类 ,几种 分类 方法 并 非 不相交 的 ,一个 系统 可 以同 时属于 某几类 。 ( )根 据检 测数据 的来源 或所 保护 的范 围 ,可 分为基 于主 一 机 的和基 于 网络的 : ( )根据 采用 的检 测技 术 ,可分 为异 常检 测和 误用 检测 ; 二 ( )根据 数据 收集 和 处理 的方 式 ,可分 为集 中式 的和 分布 三 式 的; ( )根据 检测 的实 时性 ,可 分为实 时检 测和 非实 时检 测 ; 四 ( )根据 对入 侵 的响应方 式 ,可分 为主 动 的和被 动 的; 五 ( )根据 对数 据处 理的粒 度 ,可分 为 分组 的和连 续 的 。 六 四、入侵 检 测模型 ( )C D模 型 体 系结 构 一 IF 随 着 入 侵 检 测 系 统 研 究 的 进 一 步 深 入 D RA (e ec A P D fn e Av ne e erh P oe t gn y提 出 的公共 入侵 检测 框架 da c dR sac r jc sA e c) (om nItu inD t c inFa eo k , 目前 应用 比较 广泛 , Cm o nr so e eto rm wr ) 虽然 它也 是 由Dn gn 模 型演变 而来 ,但 包含 了己知攻 击类 型和 en ig 系统漏 洞方 面 的知识 。 ( )事件 数据 库 (v n a a a e ) 二 E e td tb ss C D将 IS IF D 需要 分析 的数 据统 称 为事件 (v n) E et ,它 可 以是 网 络 中 的数据 包 , 可 以是从主 机系 统 日志等 其他 途径 得到 的信 息 也 事 件产 生器 的 目的是 从整 个计 算环 境 中获得 事件 ,并 以特 定格 式 向系统 其他 部分 提供 此事 件 。事件 分析 器分 析得 到 的数据 ,判 断 是 否为违 规 、反 常或是 入侵 ,把 其判 断 的结果转 变 成警 告信 息 。 五 、入侵 检测 分析 技术
K e wo dsnr in ee t ; b s ee to An mal tc o y r l tuso d tci A u ed tc n; o on i ydee t n i
I t u i n De e to y t m e v e n r so t c i n S se Ov r iw
Ya gYa n n
( h n d o ain lT c nc l ol eC e g u 6 0 0C ia C e g uV ct a& e h i lg ,h n d 1 0 ,hn ) o aC e 0
【】 Hen — r g r gSb sa ekBe hr u i著 , I[ 德] iz GedHeei ,e a i A b c , r adNe ma n tn n r
曹阳等译_ 系统的集成管理: 网络 概念、 系及其应用f . 体 M】 清华大学
出 版 社 .0 11 . Байду номын сангаас 0 .13
计 算机光 盘软 件 与应 用
2 1 年第 7 00 期
C m u e DS f w r n p lc t o s o p t rC o t a ea dA p i a i n 工 程 技 术
入侵检测系统概述
杨 焰
( 成都职业技 术学院 ,成都
摘
600 ) 10 0
要 :本 文主要 介 绍 了入 侵检 测 的概 念 、 功能 ,研 究 了入 侵检 测模 型 、技 术 以及 未来 入侵检 测技 术 的发展 趋 势 。 关键 词 :入 侵检 测 ;误用检 测 ;异 常检 测 中 图分 类号 :T 39 文献 标识码 :A P 0. 5 文章编号:10— 59 ( 00 0 — 0 1 0 07 99 2 1 ) 7 07 — 1
一
、
( )误用 检测 一
一
误 用 检 测 (iu e ee to )又 称 基 于 特 征 的 检 测 M s s dt c in (in tr a e ee to ) 误用 检测 假 设入侵 者活 动可 以用 S ga u eb sd tc in 。 d 种模 式来 表示 ,首 先 要定 义违 背安 全策 略 的事件 的特 征 ,根据 已定义 好 的入侵 模式 ,判 断这 类特 征 是否在 所 收集 到 的数据 中 出 现 ,从 而判 断入侵 是 否 出现 。 ( )异常检 测 二 网络流量 异 常检 测系 统试 图建 立一 个对 应 “ 常的活 动 ”的 正 特征 原 型 ,然后 把所 有与所 建 立 的特征 原 型 中差 别 “ 很大 ”的行 为都 标 志为异 常 。它 假定所 有异 常行为 都是 与 正常 行为不 同 的。 如果 能够 建立 系统 正 常行 为 的轨 迹 ,那 么理 论上 就可 以把所 有 与 正常 轨迹 不 同的系 统状 态视 为可 疑企 图 。 ( )异 常检 测方 法 三 目前异 常检 测 常用 到的方 法和 技术 包括 : 1 阈值 检测 方 法 。这是 最常 见 的量化 分 析形 式 ,在 阈值 检测 . 中,用 户和 系统 行 为 的某种 属性 根据 计数 进行 描述 ,这 些计 数是 有 某种 许可 级别 的 。一般 是 根据 历 史数据 建立 一个 正常 的参 数基 线 ,设 定一 个容 许范 围 ,一旦 超 出此范 围就 判 断为异 常 。
一
2 统计检 测 . 统计模型常用异常检测 , 在统计模型 中常用 的测量参数包括 :审 计事件 的数量 、间隔时间、资源消耗 『况等 。统计方法的最大优 点是 青 它可 以 “ 学习 ”用户的使用习惯,从而具有较高检 出率与可用性。 3基 于 小波 的检测 方法 。该方 法利 用小 波变 换把 流量 观测 值 . 序 列分 解 成 近 似 系 数 (pr xm to of i in s ap o ia in ce fc et )和 细 节 系 数 (ea 1 o f iin s , 量 中的奇 异性 可 以在细 节系 数 中检 d t i efc et ) 流 c 测 出来 。 4 面 向 网络安 全 的检测 方法 。它是 通过 过程 模型来 描 述所期 . 望 的网络特 征 , 即正常 行为 特征 ,如 果 当前特 征 与所期 望 的特征 有 显著 偏差 时产 生警 报 。 5 其它 的 方法 。如 :神经 网络 、遗 传 算法 、模 糊识 别 、免疫 . 系 统 、数据挖 掘 等 。这 些 方法 目前 都停 留在 理论研 究 阶段 。 小 结 总之 ,入 侵检 测 作为 一种 积极 主动 地 安全 防护 技术 ,提供 了 对 内部攻 击 、外 部攻击 和 误操 作 的实 时保 护 ,在 网络系 统受 到危 害之 前拦 截和 响应 入 侵 。从 网络 安全立 体 纵深 、多 层次 防御 的角 度 出发 ,入侵 检测 理应 受 到人 们 的高度 重视 ,这 从 国外入 侵检 测 产 品市场 的蓬 勃发 展就 可 以看 出。 国内 , 在 随着 上 网的关键 部 门、 关键业 务 越来 越多 ,迫 切需 要具 有 自主版 权 的入侵检 测产 品。 参 考文 献 :
A b t ac: i p p r nr u e te o c p a d u t n o ituso sr tTh s a e i tod c s h c n e t n f nci o f nr in d tcina d t d e t e ntu i n ee t n ee t n s i s h i r so d tci o u o
[段 海新 , 家海 . 于 W e 2 】 杨 基 b和数 据库 的 网络 管理 系统 的设计 与 实 现 【 . 学报 , 0,o. , . 4 8 42 M】 软件 2 0 11 0 V 1 No4 6— 7 : [ 宋 献 涛 等 . 侵 检 测 系 统 的 分 类 学研 究 【. 算 机 工 程 与 应 3 】 入 『计 ]
用 ,0 243 ()12 3 . 2 0 .,88:3 -15
入 侵检 测 系统概 念 ICA 入侵 检测 系统 论坛 的定 义是 :通 过 从计 算机 网络 或计 IS 算 机系 统 中的若 干关 键 点收集 信 息并对 其 进行 分析 , 以发现 网络 或系统 中是 否有 违 反安全 策 略 的行 为和 遭 到袭 击 的迹象 。入 侵检 测 系统 (D ) 要通 过 以下几 种活 动来 完成 任务 :监 视 、分析 用 IS 主 户 以及 系统 活动 ;对 系统 配置 和弱 点进 行 审计 ;识 别与 已知 的攻 击 模式 匹配 的活 动 ;对 异 常活 动模 式进 行 统计分 析 ;评估 重要 西 和 数据文 件 的完整 性 ;对 操作 系统进 行 审计 跟踪 管理 ,并 识别 用 户 违反 安全策 略 的行为 。 二 、入侵 检测 功能 总地 来讲 ,入侵 检测 系统 主要 有 以下功 能 : ( )监 视并 分析 用户 和系 统 的活动 ,查 找非 法 用户 和合 法 一 用户 的越权 操 作; ( )检 测系 统配 置 的正确 性和 安全 漏洞 ,并 提示 管理 员修 - 补漏洞 : ( )对用 户 的非正 常活 动进 行 统计 分析 ,发现 入侵 行 为 的 三 规律; 个合 格 的入侵 检测 系统 能大 大 简化 管理 员 的工作 ,使 管理 员 能够 更容 易地 监视 、 审计 网络和 计算 机系 统 ,扩展 了管理 员的 安 全管 理能 力 ,保 证 网络和 计算 机系 统安 全 的运 行 。 三 、入侵 检测 分 类 入侵 检测 系统 的 发展 是从 多方面 进行 的,根 据检 测系 统 的特 性 ,可从 不 同 的角 度将 入侵 检 测系 统进 行分类 ,几种 分类 方法 并 非 不相交 的 ,一个 系统 可 以同 时属于 某几类 。 ( )根 据检 测数据 的来源 或所 保护 的范 围 ,可 分为基 于主 一 机 的和基 于 网络的 : ( )根据 采用 的检 测技 术 ,可分 为异 常检 测和 误用 检测 ; 二 ( )根据 数据 收集 和 处理 的方 式 ,可分 为集 中式 的和 分布 三 式 的; ( )根据 检测 的实 时性 ,可 分为实 时检 测和 非实 时检 测 ; 四 ( )根据 对入 侵 的响应方 式 ,可分 为主 动 的和被 动 的; 五 ( )根据 对数 据处 理的粒 度 ,可分 为 分组 的和连 续 的 。 六 四、入侵 检 测模型 ( )C D模 型 体 系结 构 一 IF 随 着 入 侵 检 测 系 统 研 究 的 进 一 步 深 入 D RA (e ec A P D fn e Av ne e erh P oe t gn y提 出 的公共 入侵 检测 框架 da c dR sac r jc sA e c) (om nItu inD t c inFa eo k , 目前 应用 比较 广泛 , Cm o nr so e eto rm wr ) 虽然 它也 是 由Dn gn 模 型演变 而来 ,但 包含 了己知攻 击类 型和 en ig 系统漏 洞方 面 的知识 。 ( )事件 数据 库 (v n a a a e ) 二 E e td tb ss C D将 IS IF D 需要 分析 的数 据统 称 为事件 (v n) E et ,它 可 以是 网 络 中 的数据 包 , 可 以是从主 机系 统 日志等 其他 途径 得到 的信 息 也 事 件产 生器 的 目的是 从整 个计 算环 境 中获得 事件 ,并 以特 定格 式 向系统 其他 部分 提供 此事 件 。事件 分析 器分 析得 到 的数据 ,判 断 是 否为违 规 、反 常或是 入侵 ,把 其判 断 的结果转 变 成警 告信 息 。 五 、入侵 检测 分析 技术