入侵检测技术现状分析与研究

学年论文

题目：入侵检测技术现状分析与研究

学院专业级班

学生姓名学号

指导教师职称

完成日期

入侵检测技术现状分析与研究

【摘要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念

【关键词】IDS、协议、分析、网络安全

目录

第一章绪论 (1)

1.1入侵检测技术的背景 (1)

1.2入侵检测技术的应用与发展现状 (1)

第二章入侵检测技术 (1)

2.1入侵检测系统的分类 (1)

2.1.1基于主机的入侵检测系统 (2)

2.1.2基于网络的入侵检测系统 (2)

2.2入侵检测技术 (3)

2.2.1异常入侵检测技术 (3)

2.2.2误用入侵检测技术 (3)

第三章校园网中的分布式入侵检测分析 (4)

3.1 分布式入侵检测的设计思想 (4)

3.2 校园分布式入侵检测模式的分析 (4)

3.3 采用的入侵检测技术 (5)

第四章入侵检测系统的发展趋势 (7)

第五章总结 (8)

第一章绪论

1.1入侵检测技术的背景

随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来.

美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴；静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息；然后进行安全性分析,从而及时发现各种入侵并产生响应.、

1.2入侵检测技术的应用与发展现状

在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要；但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品；但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行；若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的A TM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地"解释"协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算.所以说研究基于协议分析的入侵检测技术具有很强的现实意义.

第二章入侵检测技术

2.1入侵检测系统的分类

入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主

机的入侵检测系统和基于网络入侵检测系统.按系统的工作方式分为:离线检测系统和在线检测系统.按系统对入侵的反应分为:主动入侵检测系统和被动入侵检测系统.框架图如图所示。

入侵检测系统

主机型网络型

异常检测误用检测

图2-1 入侵检测系统框架图

2.1.1基于主机的入侵检测系统

基于主机的入侵检测系统监视主机的文件系统或者操作系统及各种服务生成的日志文件,以便发现入侵踪迹.它的优点有:不受加密传输的影响,它能够了解被监视主机应用层的活动细节,有效检测发生在应用层的入侵活动,可以检测多种网络环境下的网络包,而不用像网络IDS系统一样需安装多台传感器,这样就使整个系统的成本大大降低；由于使用包含实际发生事件的日志文件,所以比基于网络的系统就更能了解某一入侵行为是否最终成功从而减少错误.它的缺点有:由于作为用户进程运行,这种入侵检测系统依赖于操作系统底层的支持,与系统的体系结构有关,所以它无法了解发生在下层协议的入侵活动；老练的入侵者往往可以进入系统修改、删除有关的日志记录,从而隐藏入侵迹象；由于它位于所监视的每一个主机中,故所占用的资源不能太多,从而大大限制了所采用的检测方法及处理性能.

2.1.2基于网络的入侵检测系统

基于网络的入侵检测系统直接从网络数据流中截获原始的网络包作为信息源,并从中搜索可疑行为.它的优点有:由于该系统直接搜集网络数据包,而网络协议是标准的,因此,与目标系统的体系结构无关,可监视结构不同的各类系统；该系统使用原始网络数据包进行检测,因此它所收集的审计数据被篡改的可能性很小,而且它不影响被保护系统的性能；利用工作在混合模式下的网卡实时监控和分析所有通过共享式网络的传输,能够实时得到目标系统与外界交互的所有信息,包括一些很隐藏的端口扫描和没有成功入侵的尝试.它的缺点有:缺乏终端系统对待定数据报的处理方法等信息,使得从原始的数据包中重构应用层信息很困难,故难以检测发生在应用层的攻击,而对于检测以加密传输方式进行的入侵无能为力.

从入侵检测技术和入侵检测系统可以看出,单独一种方法并不能检测所有类型的入侵,异常检测能检测出已知和未知的攻击,其主要问题是如何正确定义一个正常用户行为.在动态环境中,用建立用户统计来确定正常用户行为几乎是不可能的事情,这时关注一个过程的行为更加有效.误用检测具有较高的正确性,但是不能对未知攻击进行检测.单个主机上安装的IDS在大规模网络中检测入侵时可能会出现困难,而多个主机上安装的IDS同样问题.误用检测比异常检测能更好地适应扩展或向其他计算机系统的移植.目前这些方法除了基于模式的检测方法和状态转换分析,都必须检测大量的数据来判断入侵的行为,这直接影响了检测入侵的时间.异常检测能够适应改变；而误用检测中,知识库需要定期地进行更新.所以要让入侵检测系统更加有效地检测而不错误报警,减少人工干预,入侵检测技术还需要进行大量的研究和开发.