入侵检测技术论文电子版本.doc

《入侵检测技术论文电子版本.doc》由会员分享，可在线阅读，更多相关《入侵检测技术论文电子版本.doc（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Good is good, but better carries it.精益求精，善益求善。入侵检测技术论文-入侵检测技术论文-入侵检测系统的分析与研究摘要:本文主要针对计算机网络安全风险系数不断的提高,传统的计算机网络安全解决方案已难解决,曾经作为主要的计算机网络安全防范手段的防火墙技术,已经不能满足人们对日益增长的网络需求,作为对防火墙技术的有益补充,从而引入一种全新的计算机网络安全技术入侵检测系统(IntrusionDetectionSystem,IDS),并对其分类、技术特征及其发展进行了深入的分析与研究。关键字:网络安全防火墙技术入侵检测系统1、引言随着Internet网络技术的发展

2、,以资源的共享以及传递信息的计算机网络系统,日益遭到恶意潜在的破坏与攻击,使得计算机网络安全系统日益成为人们关注的热点,为了弥补传统的计算机网络安全技术的缺陷与不足,入侵检测系统已经成为计算机网络安全系统保护的一道保障,Dorothy.E.Denning在1986年首次提出了入侵检测系统的抽象模型,并提出将入侵检测系统纳入计算机网络安全系统,从而形成了全新的计算机网络安全的概念。2、入侵检测系统定义入侵检测系统作为一种积极主动的网络安全防护技术,提供对内部网络攻击、外部网络攻击与误操作实时保护,在网络系统体系受到危害之前作出响应入侵,入侵检测系统能很好的弥补防火墙技术的不足,至今为止,软件技术

3、还不可能百分之百的保证系统中不存在安全漏洞,针对日益严重的网络安全问题和安全需求,适应网络安全模型与动态安全模型应运而生,入侵检测系统在网络安全技术中占有重要的地位。3、入侵检测系统分类入侵检测系统由控制台(Console)与传感器(Sensor)两部分组成,控制台起到中央管理作用,传感器则负责采集数据与分析数据并生成安全事件的作用,入侵检测系统根据检测的对象可分为基于主机入侵检测系统与基于网络入侵检测系统。3.1主机入侵检测系统HIDS基于主机入侵检测通过全面监测主机的状态与用户操作进行检测分析,可以检测到主机、进程或用户异常行为,在受保护主机上有专门的检测代理系统,通过对系统日志和审计记录

4、不间断监视与分析来发现系统的攻击,及时发送警告信息和采取相应的措施来阻止攻击作用,其主要目的是在事件发生之后,能够提供足够分析来阻止进一步的攻击的用途。3.2网络入侵检测系统NIDS基于网络入侵检测系统放置在网络中比较重要的位置,可以不间断的监测网段中各种数据包,并且可以对每一个数据包或者可疑数据包进行特征分析与研究,网络入侵检测系统是可以使用原始网络数据包作为数据源,进行保护网络正常运行,如果这些数据包与产品内置某些规则相吻合,则入侵检测系统就会发出警报甚至于直接切断网络连接来进行防御,目前入侵检测系统大部分产品是基于网络的。4、入侵检测技术类型入侵检测技术通常分为两种类型:误用检测与异常检

5、测。4.1误用检测误用检测是基于知识性检测系统,它是运用已知攻击方法定义好入侵模式,通过对这些入侵模式来判断是否发生是入侵行为,其主要包括状态转换分析、模型推理与特征检测技术等方法,因此很大一部分入侵是利用系统的脆弱性,通过对这些数据包进行分析,对入侵过程的条件、排列、特征与事件间之间的关系进行具体描述,并且对已知入侵行为与手段进行分析与提取,进行特征检测,通过系统对当前状态和攻击模式或者攻击签名匹配来进行判断入侵的行为,但这种方法依据具体特征进行判断,因此检测准确率很高,且检测结果有明确参照,因此总是滞后于新出现的攻击类型,所以需要不断的更新攻击特征库,系统依赖性很强,系统移植性不太好,且维

6、护工作量很大。4.2异常检测异常检测是基于行为检测系统,基于行为检测是指根据使用者行为或者资源的使用状况来判断是否发生入侵行为。它可以使用户模型进行自动更新,其主要缺陷是误检率很高,阈值很难设定,尤其在用户数目众多的时候,工作目的又经常改变的环境下,其次是由于统计要不断进行更新,如果入侵者知道某系统是在检测器的监视之中,入侵者可以慢慢的训练检测系统,因此在最初认为是异常的入侵行为,经过一段时间训练之后也认为是正常的数据了。5、数据包分析与研究如图5.1所示,图中可以看到入侵者发送大量的TCP数据包进行攻击:攻击的目的地址为:192.168.0.1,其端口号为:8730,其时间都集中在很短的几秒

7、钟之内,当前的网络流量迅速倍增,因为攻击者的源地址为测试机的源IP地址:219.216.12.1,其端口号为:2016,它与扫描攻击特征相吻合,因此可以判断发生异常攻击的入侵,且系统将自动产生报警信息通知系统管理员加以管理与防范6、入侵检测技术的发展趋势在过去20多年的时间里,入侵检测技术的研究一直很活跃,入侵检测技术的发展趋势向着实时响应、智能化、分布式入侵、入侵响应以及全面的安全防御方案发展,入侵检测技术作已经成为当前网络安全研究热点之一,因此入侵检测技术只有在全面基础理论研究与工程项目开发多个层面之上同时发展,才能全面整体提高入侵检测系统的效率。参考文献:1陈健,张亚平,李艳.基于流量分析的入侵检测系统研究.天津理工学院学报,2008。2陈鹏,吕卫锋,单征.基于网络的入侵检测方法研究.计算机工程与应用,2007。3钟湘东.基于网络异常数据包/数据流量的入侵检测系统的设计与实现.东北大学,2007。-