信息系统入侵检测技术与常用检测方法.pdf

《信息系统入侵检测技术与常用检测方法.pdf》由会员分享，可在线阅读，更多相关《信息系统入侵检测技术与常用检测方法.pdf（2页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 信息系统入侵检测技术与常用检测方法 随着信息技术不断的发展与完善，信息系统为经济和社会发展的各个领域提供管理与服务，提高了各个领域管理的方法、手段，使管理的内容、质量和效率更为适应经济和社会的发展。但是信息技术也能够通过破坏信息系统的完整性、保密性和可用性等入侵方式，将信息系统破坏。本文对入侵信息系统的检测技术与常用的检测方法进行分析，在此基础上提出对策建议。标签：入侵检测；检测技术；检测方法 一、信息系统入侵检测概述 随着信息技术不断的发展与完善，信息系统为经济和社会发展的各个领域提供管理与服务，提高了各个领域管理的方法、手段，使管理的内容、质量和效率更为适应经济和社会的发展。但是信息技术

2、也能够通过破坏信息系统的完整性、保密性和可用性等入侵方式，将信息系统破坏。所谓入侵就是企图破坏信息系统的完整性、保密性和可用性的行为。只要与互联网相连接，入侵的危险就存在。入侵的内容包括试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户信息泄露、独占资源以及恶意使用等多种形式。入侵检测系统是通过入侵检测的软件与硬件的组合，及时发现和阻止入侵行为的系统。入侵检测系统通过计算机使用痕迹、使用网络情况以及对计算机系统的关键节点收集信息并进行分析，发现网络或者系统中违反保密法规、安全法规、安全策略的行为以及存在被攻击的可能性，及时报告和采取相应的防范和阻击措施。入侵检测系统通常是采取自动的防范与

3、阻击措施进行安全防范，例如，通知网络安全管理员，终止入侵进程，关闭系统，断开网络连接，设定特定唯一用户，执行安全命令等方式。入侵检测技术是信息系统动态安全技术的核心技术之一，与传统静态系统加固技术、防火墙隔离技术相比较入侵检测技术则是根据入侵行为特征与行为过程进行研究，使安全系统对入侵事件和入侵过程做出及时的反应。入侵检测的主要任务是检测、分析用户及系统活动，查找非法用户和超越权限的合法用户操作，系统构造和弱点的检测，及时修补漏洞，识别反映已知进攻的活动模式并预警、报警，异常行为模式的统计分析，总结入侵行为的规律，评估重要系统和数据文件的完整性，操作系统的审计跟踪管理，并识别用户违反安全策略的

4、行为。二、信息系统入侵检测技术 随着信息技术不断的发展与完善，信息系统为经济和社会发展的各个领域提供管理与服务，提高了各个领域管理的方法、手段，使管理的内容、质量和效率更为适应经济和社会的发展。但是信息技术也能够通过破坏信息系统的完整性、保密性和可用性等入侵方式，将信息系统破坏。信息系统入侵检测技术通过对入侵行为的过程和特征的收集、整理和分析，使安全系统对入侵过程和入侵行为能够实现动态跟踪响应。目前，较为常用的入侵检测技术主要有特征检测、异常检测和协议分析三类。一是基于专业认知的特征检测技术，特征检测技术是利用专业认知对使用的信息系统和管理软件中存在的弱点攻击行为、攻击模式、攻击特 征进行的检

5、测技术。特征检测技术存在的逃避模式主要是将 URL 进行编码，通过更改斜线逃避 IDS 检测，将 GET 更改为 HEAD，增加目录，采用不规则方式，虚假的请求结束，加长 URL，改变大小写等方式逃避，随着信息技术不断的发展，对于入侵检测技术应针对出现的新入侵行为、入侵过程进行分析加以防范。二是基于行为的异常检测技术，通过将过去观察到的正常行为与受攻击时行为进行比较研究，根据使用者的异常行为或信息系统异常使用情况来进行比较分析，进行预测、预报、预警是否发生入侵行为的活动即为异常检测技术。异常检测技术的原则是任何与认知行为模式存在差异的行为都被认为是入侵行为。异常检测技术的优点在于可以发现未知入

6、侵行为，存在的难点是建立活动简档及统计算法，将不正常的误操作行为过滤，检测真正的入侵行为。三是协议分析技术，协议分析技术是通过网络入侵检测系统的传感器检测 TCP 和 UDP 的有效荷载，且可以将其完全解码。协议分析技术提供了一种高级的网络入侵解决方案，可以检测更广发的攻擊，包括已知和未知的入侵行为和入侵事件。三、信息系统入侵检测常用方法 随着信息技术不断的发展与完善，信息系统为经济和社会发展的各个领域提供管理与服务，提高了各个领域管理的方法、手段，使管理的内容、质量和效率更为适应经济和社会的发展。但是信息技术也能够通过破坏信息系统的完整性、保密性和可用性等入侵方式，将信息系统破坏。在信息系统

7、入侵检查的方法上通常采用特征检测、统计检测和专家系统。目前，入侵检测系统中绝大多数属于使用入侵模板进行模式匹配的特征检测系统，也有采用概率统计的统计检测系统和基于日志的专家知识库系统。一是特征检测，特征检测是对认知的攻击和入侵的方式作出确定性的描述，形成相应的实践模式。二是统计检测，统计模式常用异常检测，在统计模型中常用的测量参数包括了审计事件的数量、时间间隔、资源消耗情况等，三是专家系统，用专家系统可以对入侵进行基于规则的检测，适用于有特征的入侵行为。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。四、结束语 随着信息技术不断的发展和完善针对信息系统入侵检测工作，一是要不断更新技术，及时发现出现的新入侵事件和入侵行为，二是要加强信息系统管理，在系统的安全性与人为的管理两个方面入手，强化管理，使信息系统真正安全。