畢業(yè)論文-網(wǎng)絡(luò)入侵檢測發(fā)展現(xiàn)狀及應(yīng)用研究

1、<p><b>　　XXXX學(xué)校</b></p><p><b>　　本科畢業(yè)論文</b></p><p>　　論文題目：網(wǎng)絡(luò)入侵檢測發(fā)展現(xiàn)狀及應(yīng)用研究</p><p>　　學(xué)生姓名： </p><p>　　學(xué)號：

2、 </p><p>　　專業(yè)： 計算機(jī)科學(xué)與技術(shù) </p><p>　　指導(dǎo)教師： </p><p>　　學(xué) 院： </p><p><b>　　年 月 日</b

3、></p><p>　　畢業(yè)論文（設(shè)計）內(nèi)容介紹</p><p><b>　　目 錄</b></p><p><b>　　摘要1</b></p><p>　　Abstract1</p><p><b>　　1. 引 言2</b></p

4、><p>　　2. 入侵檢測的定義及系統(tǒng)功能構(gòu)成2</p><p>　　3. 入侵檢測系統(tǒng)分類3</p><p>　　3.1 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)3</p><p>　　3.2 基于主機(jī)的入侵檢測系統(tǒng)3</p><p>　　3.3 異常檢測IDS4</p><p>　　3.4 誤

5、用檢測IDS5</p><p>　　4. 網(wǎng)絡(luò)入侵檢測應(yīng)用</p><p>　　..................................................................................................................................................7</p&g

6、t;<p>　　5. 網(wǎng)絡(luò)入侵檢測發(fā)展方向9</p><p>　　6. 網(wǎng)絡(luò)入侵檢測系統(tǒng)存在的問題9</p><p>　　7. 結(jié)束語........................................................................................................................

7、.......10</p><p>　　8.參考文獻(xiàn)..............................................................11</p><p>　　網(wǎng)絡(luò)入侵檢測發(fā)展現(xiàn)狀及應(yīng)用研究</p><p>　　摘要：網(wǎng)絡(luò)入侵的直接危害就是破壞了系統(tǒng)的機(jī)密性、完整性和可用性。入侵者的企圖不同，對系統(tǒng)安全特性的破壞也就不同，但

8、不管是破壞了哪一個特性，都會對系統(tǒng)和網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。隨著基于雇員的攻擊行為和產(chǎn)品自身問題的增多，所以能夠在防火墻內(nèi)部監(jiān)測非法的活動的入侵檢測系統(tǒng)變得越來越必要。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，如何使信息網(wǎng)絡(luò)系統(tǒng)不受病毒和黑客的入侵，已成為政府機(jī)構(gòu)信息化健康發(fā)展所要考慮的重要事情之一。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)入侵；危害；系統(tǒng)分類；發(fā)展方向；應(yīng)用研究；問題</p>&

9、lt;p>　　Network Intrusion Detection development and applied research</p><p>　　Abstract: Network intrusion harm directly undermine the confidentiality, integrity, and availability of the system. Intrude

10、rs attempt to different, destruction of the system security features are different, but regardless a property is destroyed, will pose a serious threat to system and network security. Based on aggressive behaviors of empl

11、oyees increased and the products of their own problems, so monitoring of illegal activities inside the firewall's intrusion detection system is becoming </p><p><b>　　1. 引 言</b></p><

12、;p>　　隨著計算機(jī)技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出，很多組織正在致力于提出更多的更強(qiáng)大的主動策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性，然而另一個更為有效的解決途徑就是入侵檢測。在入侵檢測之前，大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計的，他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對策。因此，它們對入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時地調(diào)整系統(tǒng)的安全策略。而入侵檢

13、測正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段，及時地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。 網(wǎng)絡(luò)入侵的直接危害就是破壞了系統(tǒng)的機(jī)密性、完整性和可用性。例如，非法用戶在盜取了系統(tǒng)管理員的密碼后，就可以完全控制該主機(jī)，為所欲為。本來無權(quán)訪問的文件或數(shù)據(jù)，現(xiàn)在可以訪問，就破壞了系統(tǒng)的機(jī)密性；入侵者如果還改變了系統(tǒng)原有的配置，改變了文件的內(nèi)容，修改了數(shù)據(jù)，就破壞了

14、系統(tǒng)的完整性；攻擊者使用拒絕服務(wù)攻擊，使得目標(biāo)主機(jī)的資源被耗盡，網(wǎng)絡(luò)帶寬被完全占用，就破壞了系統(tǒng)的可用性。</p><p>　　2. 入侵檢測的定義及系統(tǒng)功能構(gòu)成</p><p>　　入侵檢測是從系統(tǒng)(網(wǎng)絡(luò))的關(guān)鍵點采集信息并分析信息，察看系統(tǒng)(網(wǎng)絡(luò))中是否有違法安全策略的行為，保證系統(tǒng)(網(wǎng)絡(luò))的安全性，完整性和可用性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是

15、否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)?！　∫粋€入侵檢測系統(tǒng)的功能結(jié)構(gòu)至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開，分析出入侵行為并對入侵者進(jìn)行定位。</p><p&

16、gt;　　入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。由于單個入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個檢測單元運(yùn)行于網(wǎng)絡(luò)中的各個網(wǎng)段或系統(tǒng)上，通過遠(yuǎn)程管理功能在一臺管理站點上實現(xiàn)統(tǒng)一的管理和監(jiān)控。</p><p>　　3. 入侵檢測系統(tǒng)分類　　入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類：基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。另外一種就是根據(jù)

17、檢測所基于的原則不同，將入侵檢測系統(tǒng)劃分為異常檢測IDS和誤用檢測IDS。3.1 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)　　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過網(wǎng)絡(luò)監(jiān)視來實現(xiàn)數(shù)據(jù)提取。在Internet中，局域網(wǎng)普遍采用IEEE 802.3協(xié)議。該協(xié)議定義主機(jī)進(jìn)行數(shù)據(jù)傳輸時采用子網(wǎng)廣播的方式，任何一臺主機(jī)發(fā)送的數(shù)據(jù)包，都會在所經(jīng)過的子網(wǎng)中進(jìn)行廣播，也就是說，任何一臺主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機(jī)接收。在正常設(shè)置下，主機(jī)的網(wǎng)卡對每一個到達(dá)的數(shù)

18、據(jù)包進(jìn)行過濾，只將目的地址是本機(jī)的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū)，而將其他數(shù)據(jù)包丟棄，因此，正常情況下網(wǎng)絡(luò)上的主機(jī)表現(xiàn)為只關(guān)心與本機(jī)有關(guān)的數(shù)據(jù)包，但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的這種接收模式被稱為混雜模式，目前絕大部分網(wǎng)卡都提供這種設(shè)置，因此，在需要的時候，對網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從</p&

19、gt;<p>　　異常檢測，也稱為基于行為的入侵檢測，以系統(tǒng)、網(wǎng)絡(luò)、用戶或進(jìn)程的正常行為建立輪廓模型(即正常行為模式)，將與之偏離較大的行為解釋成入侵。該方法基于如下的假設(shè)：入侵會引起用戶或系統(tǒng)行為的異常。異常檢測方法具有檢測系統(tǒng)中未知攻擊的能力，由于新攻擊方法總是不斷出現(xiàn)，因此異常檢測技術(shù)一直較受重視，產(chǎn)生了大量的異常檢測技術(shù)。下面對其中的主要技術(shù)進(jìn)行介紹和分析。</p><p>　　(1)統(tǒng)

20、計分析 統(tǒng)計分析方法是異常檢測的主要方法之一。該方法依據(jù)系統(tǒng)中特征變量的歷史數(shù)據(jù)建立統(tǒng)計模型，并運(yùn)用該模型對特征變量未來的取值進(jìn)行預(yù)測和檢測偏離。系統(tǒng)中的特征變量有用戶登錄失敗次數(shù)、CPU和I/O利用率、文件訪問數(shù)及訪問出錯率、網(wǎng)絡(luò)連接數(shù)、擊鍵頻率、事件間的時間間隔等。 (a)均值與標(biāo)準(zhǔn)偏差模型以單個特征變量為檢測對象，假定特征變量滿足正態(tài)分布，根據(jù)該特征變量的歷史數(shù)據(jù)統(tǒng)計出分布參數(shù)(均值、標(biāo)準(zhǔn)偏差)，并依此設(shè)定信任區(qū)間

21、。在檢測過程中，若特征變量的取值超出信任區(qū)間，則認(rèn)為發(fā)生異常。 (b)多元模型以多個特征變量為檢測對象，分析多個特征變量間的相關(guān)性，是均值與標(biāo)準(zhǔn)偏差模型的擴(kuò)展，不僅能檢測到單個特征變量值的偏離，還能檢測到特征變量間關(guān)系的偏離。 (c) Markov過程模型將每種類型的事件定義為系統(tǒng)的一個狀態(tài)，用狀態(tài)轉(zhuǎn)換矩陣來表示狀態(tài)的變化，若對應(yīng)于所發(fā)生事件的狀態(tài)轉(zhuǎn)移概率較小，則該事件可能為異常事件。 (d) 時間序列模型。將事

22、件計數(shù)與資源消耗根據(jù)時間排列成序列，如果某一新事件在相應(yīng)時間發(fā)生的概率較低，則該事件可能為入侵。 以統(tǒng)計</p><p>　　(2)基于數(shù)據(jù)挖掘的檢測方法</p><p>　　數(shù)據(jù)挖掘是一種利用分析工具在大量數(shù)據(jù)中提取隱含在其中且潛在有用的信息和知識的過程。入侵檢測過程也是利用所采集的大量數(shù)據(jù)信息，如主機(jī)系統(tǒng)日志、審計記錄和網(wǎng)絡(luò)數(shù)據(jù)包等，對其進(jìn)行分析以發(fā)現(xiàn)入侵或異常的過程。因此，可

23、利用數(shù)據(jù)挖掘技術(shù)，從大量數(shù)據(jù)中提取盡可能多的隱藏的安全信息，抽象出有利于比較和判斷的特征模型(如基于異常檢測的正常行為輪廓)。數(shù)據(jù)挖掘算法有多種，運(yùn)用到入侵檢測中的主要有關(guān)聯(lián)分析、序列分析和聚類分析3種，其中關(guān)聯(lián)分析方法主要分析事件記錄中數(shù)據(jù)項間隱含的關(guān)聯(lián)關(guān)系，形成關(guān)聯(lián)規(guī)則；序列分析方法主要分析事件記錄間的相關(guān)性，形成事件記錄的序列模式；聚類分析識別事件記錄的內(nèi)在特性，將事件記錄分組以構(gòu)成相似類，并導(dǎo)出事件記錄的分布規(guī)律。在建立上述的

24、關(guān)聯(lián)規(guī)則、序列模式和相似類后，即可依此檢測入侵或異常。 基于數(shù)據(jù)挖掘的檢測方法建立在對所采集大量信息進(jìn)行分析的基礎(chǔ)之上，只能進(jìn)行事后分析，即僅在入侵事件發(fā)生后才能檢測到入侵的存在。</p><p>　　其他檢測方法 其他的異常檢測方法有基于規(guī)則的方法、人工免疫法、基于機(jī)器學(xué)習(xí)的檢測方法和基于神經(jīng)網(wǎng)絡(luò)的檢測方法等。 異常檢測的優(yōu)點為：不需獲取攻擊特征，能檢測未知攻擊或已知攻擊的變種，且能適應(yīng)

25、用戶或系統(tǒng)等行為的變化。但異常檢測具有如下的缺點：一般根據(jù)經(jīng)驗知識選取或不斷調(diào)整閾值以滿足系統(tǒng)要求，閾值難以設(shè)定；異常不一定由攻擊引起，系統(tǒng)易將用戶或系統(tǒng)的特殊行為(如出錯處理等)判定為入侵，同時系統(tǒng)的檢測準(zhǔn)確性受閾值的影響，在閾值選取不當(dāng)時，會產(chǎn)生較多的檢測錯誤，造成檢測錯誤率高；攻擊者可逐漸修改用戶或系統(tǒng)行為的輪廓模型，因而檢測系統(tǒng)易被攻擊者訓(xùn)練；無法識別攻擊的類型，因而難以采取適當(dāng)?shù)拇胧┳柚构舻睦^續(xù)。</p>&l

26、t;p>　　3.4 誤用檢測IDS</p><p>　　誤用檢測，也稱為基于知識或基于簽名的入侵檢測。誤用檢測IDS根據(jù)已知攻擊的知識建立攻擊特征庫，通過用戶或系統(tǒng)行為與特征庫中各種攻擊模式的比較確定是否發(fā)生入侵。常用的誤用檢測技術(shù)主要有：</p><p>　　(1)基于專家系統(tǒng)的檢測方法 專家系統(tǒng)是入侵檢測中常用的一種檢測方法，通過將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)

27、的規(guī)則，前者為構(gòu)成入侵的條件，后者為發(fā)現(xiàn)入侵后采取的響應(yīng)措施。專家系統(tǒng)的優(yōu)點為把系統(tǒng)的推理控制過程和問題的最終解答相分離，即用戶不需要理解或干預(yù)專家系統(tǒng)內(nèi)部的推理過程，只需把專家系統(tǒng)看作一個黑盒子。在將專家系統(tǒng)應(yīng)用于入侵檢測時，存在下列問題：缺乏處理序列數(shù)據(jù)的能力，即不能處理數(shù)據(jù)的前后相關(guān)性；性能取決于設(shè)計者的知識；只能檢測已知的攻擊模式；無法處理判斷不確定性；規(guī)則庫難以維護(hù)，更改規(guī)則時要考慮對規(guī)則庫中其他規(guī)則的影響。</p&g

28、t;<p>　　(2)基于狀態(tài)轉(zhuǎn)移分析的檢測方法 狀態(tài)轉(zhuǎn)移分析方法運(yùn)用狀態(tài)轉(zhuǎn)換圖來表示和檢測已知的攻擊模式，即運(yùn)用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)移表達(dá)式來描述已知的攻擊模式，以有限狀態(tài)機(jī)模型來表示入侵過程。入侵過程由一系列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到入侵狀態(tài)的行為組成，其中初始狀態(tài)為入侵發(fā)生前的系統(tǒng)狀態(tài)，入侵狀態(tài)表示入侵完成后系統(tǒng)所處的狀態(tài)。 用于誤用檢測的狀態(tài)轉(zhuǎn)移分析引擎包括一組狀態(tài)轉(zhuǎn)移圖，各自代表一種入侵或滲透模式。每當(dāng)

29、有新行為發(fā)生時，分析引擎檢查所有的狀態(tài)轉(zhuǎn)移圖，查看是否會導(dǎo)致系統(tǒng)的狀態(tài)轉(zhuǎn)移。如果新行為否定了當(dāng)前狀態(tài)的斷言，分析引擎將狀態(tài)轉(zhuǎn)移圖回溯到斷言仍然成立的狀態(tài)；如果新行為使系統(tǒng)狀態(tài)轉(zhuǎn)移到了入侵狀態(tài)，狀態(tài)轉(zhuǎn)移信息就被發(fā)送到?jīng)Q策引擎，由決策引擎根據(jù)預(yù)定義的策略采取相應(yīng)措施。 以狀態(tài)轉(zhuǎn)移分析方法表示的攻擊檢測過程只與系統(tǒng)狀態(tài)的變化有關(guān)，而與攻擊的過程無關(guān)。狀態(tài)轉(zhuǎn)移分析方法能檢測到協(xié)同攻擊和慢攻擊；能在攻擊行為尚未到達(dá)入侵狀態(tài)時檢測到該攻擊行

30、為，從而及時采取相應(yīng)措施阻止攻擊行為。狀態(tài)轉(zhuǎn)換圖給出了保證攻擊成功的特征行為的最小子集，能檢測到具有相同入侵模式的不同表現(xiàn)形式。狀態(tài)轉(zhuǎn)移分析方法中狀態(tài)</p><p>　　(3)其他檢測方法 其他的誤用檢測方法有基于有色Petri(CP)-Net的誤用檢測及基于鍵盤監(jiān)控的誤用檢測等。誤用檢測的優(yōu)點為：攻擊檢測的準(zhǔn)確率高；能夠識別攻擊的類型。誤用檢測的缺點為：只能檢測已知攻擊；滯后于新出現(xiàn)的攻擊，對于新的

31、攻擊，僅在其包含進(jìn)攻擊特征庫后才能檢測到；攻擊特征庫維護(hù)困難，新攻擊出現(xiàn)后需由專家根據(jù)專業(yè)知識抽取攻擊特征，不斷更新攻擊特征庫；攻擊者可通過修改攻擊行為，使其與攻擊特征庫中的特征不相符，從而繞過檢測。誤用檢測和異常檢測各有優(yōu)缺點，具有一定的互補(bǔ)性。通常檢測系統(tǒng)為提高入侵檢測性能，將這兩種技術(shù)結(jié)合以實現(xiàn)入侵檢測。</p><p>　　4.網(wǎng)絡(luò)入侵檢測應(yīng)用</p><p>　　隨著網(wǎng)絡(luò)連接的

32、迅速擴(kuò)展，特別是Internet大范圍的開放以及金融領(lǐng)域網(wǎng)絡(luò)的接入，越來越多的系統(tǒng)遭到入侵攻擊的威脅，這些威脅大多是通過挖掘操作系統(tǒng)和應(yīng)用服務(wù)程序的弱點或者缺陷來實現(xiàn)的。</p><p>　　目前，對付破壞系統(tǒng)企圖的理想方法是建立一個完全安全系統(tǒng)。但這一點卻很難做到。原因有以下幾點：</p><p>　　第一，要將所有已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)是不現(xiàn)實的，即使真正付諸于實踐，也

33、需要相當(dāng)長的時間。</p><p>　　第二，加密技術(shù)方法本身存在一定的問題，如密鑰的生成、傳輸、分配和保存，加密算法的安全性。</p><p>　　第三，訪問控制和保護(hù)模型本身存在一定的問題。</p><p>　　第四，靜態(tài)的安全控制措施不足以保護(hù)安全對象屬性。</p><p>　　第五，安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊。</p&g

34、t;<p>　　第六，在實踐當(dāng)中，建立完全安全系統(tǒng)根本是不可能的。</p><p>　　基于上述幾類問題的解決難度，一個實用的方法是建立比較容易實現(xiàn)的安全系統(tǒng)，而入侵檢測系統(tǒng)就是這樣一類系統(tǒng)。如果系統(tǒng)遭到攻擊，只要盡可能地檢測到，甚至是實時地檢測到，然后采取適當(dāng)?shù)奶幚泶胧?，就可以避免造成更大的損失。</p><p>　　過去，很多人認(rèn)為只要安裝一個防火墻就可保障網(wǎng)絡(luò)的安全，實

35、際上這是一個誤解，原因主要有以下幾點：</p><p>　　第一、防火墻本身會有各種漏洞和后門，有可能被外部黑客攻破。</p><p>　　第二、防火墻不能阻止內(nèi)部攻擊，對內(nèi)部入侵者來說毫無作用。</p><p>　　第三、由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。</p><p>　　第四、有些外部訪問可以繞開防火墻。</

36、p><p>　　例如，內(nèi)部用戶通過調(diào)制解調(diào)器撥號上網(wǎng)就把內(nèi)部網(wǎng)絡(luò)連到了外部網(wǎng)絡(luò)，而這一連接并沒有通過防火墻，防火墻對此沒有任何監(jiān)控能力。而入侵檢測系統(tǒng)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)提供實時的入侵檢測并采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤入侵者和災(zāi)難恢復(fù)、發(fā)出警報，甚至終止進(jìn)程、斷開網(wǎng)絡(luò)連接等等。</p><p>　　因此，隨著基于雇員的攻擊行為和產(chǎn)品自身問題的增多，所以能夠在防火墻內(nèi)部監(jiān)測非法

37、的活動的入侵檢測系統(tǒng)變得越來越必要。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，新的技術(shù)給防火墻帶來了嚴(yán)重的威脅。例如，VPN可以穿透防火墻，因此就需要入侵檢測系統(tǒng)在防火墻后提供安全保障。雖然VPN本身很安全，但有可能通過VPN進(jìn)行通信的其中一方被root kit或NetBus所控制，而這種破壞行為是防火墻無法抵御的。所以，基于上述原因，入侵檢測系統(tǒng)已經(jīng)成為安全策略的重要組成部分。</p><p>　　就目前入侵檢測系統(tǒng)的使用情況來看，

38、入侵檢測系統(tǒng)主要存在以下三點好處：</p><p>　　一、入侵檢測可以發(fā)現(xiàn)防火墻和虛擬專用網(wǎng)沒有檢測到的攻擊。</p><p>　　二、入侵檢測可以實時監(jiān)控互聯(lián)網(wǎng)和外聯(lián)網(wǎng)連接，保護(hù)關(guān)鍵性的資產(chǎn)、系統(tǒng)和資源—相當(dāng)于現(xiàn)實生活中的監(jiān)視攝像機(jī)。</p><p>　　三、入侵檢測系統(tǒng)可以提供警報，智能化地阻止惡意攻擊，甚至動態(tài)地重新配置網(wǎng)絡(luò)，以避免以后再發(fā)生類似的攻擊。&l

39、t;/p><p>　　入侵檢測作為一項安全技術(shù)，其主要目的在于：</p><p><b>　　第一，識別入侵者。</b></p><p>　　第二，識別入侵行為。</p><p>　　第三，檢測和監(jiān)視已成功的安全突破。</p><p>　　第四，為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。

40、</p><p>　　從這個角度來看安全問題，入侵檢測對于建立一個安全系統(tǒng)來說是非常必要而且是非常重要的，它可以彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。</p><p>　　伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受病毒和黑客的入侵，已成為政府機(jī)構(gòu)信息化健康發(fā)展所要考慮的重要

41、事情之一。 </p><p>　　政府單位所涉及的信息可以說都帶有機(jī)密性，所以，其信息安全問題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計算機(jī)病毒等，都將對政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計。 </p><p>　　例如，假如內(nèi)部網(wǎng)絡(luò)的一臺機(jī)器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，

42、還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的其他網(wǎng)絡(luò)；影響所及甚至還可能涉及法律、金融等安全敏感領(lǐng)域。</p><p>　　5. 網(wǎng)絡(luò)入侵檢測發(fā)展方向</p><p>　　近年對入侵檢測技術(shù)有幾個主要發(fā)展方向:　　(1)分布式入侵檢測與通用入侵檢測架構(gòu)　　傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足。同時不同的IDS系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要

43、分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)?！　?2)應(yīng)用層入侵檢測　　許多入侵的語義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測如WEB之類的通用協(xié)議，而不能處理如Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測保護(hù)。　　(3)智能的入侵檢測　　入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但是這只是一些嘗試

44、性的研究工作，需要對智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力?！　∪肭謾z測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，應(yīng)重點加強(qiáng)統(tǒng)計分析的相關(guān)技術(shù)研究。</p><p>　　網(wǎng)絡(luò)入侵系統(tǒng)存在的問題</p><p><b>　?。?）誤/漏報率高</b></p><p&g

45、t;　　IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統(tǒng)計方法來進(jìn)行檢測，而統(tǒng)計方法中的閾值難以有效確定，太小的值會產(chǎn)生大量的誤報，太大的值又會產(chǎn)生大量的漏報。而在協(xié)議分析的檢測方式中，一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等，其余大量的協(xié)議報文完全可能造成IDS漏報，如果考慮支持盡量多的協(xié)議類型分析，網(wǎng)絡(luò)的成本將無法承受。</p>&l

46、t;p>　?。?）沒有主動防御能力</p><p>　　IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理，所以檢測規(guī)則的更新總是落后于攻擊手段的更新。</p><p>　　（3）缺乏準(zhǔn)確定位和處理機(jī)制</p><p>　　IDS僅能識別IP地址，無法定位IP地址，不能識別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉同

47、時會影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。</p><p><b>　　（4）性能普遍不足</b></p><p>　　現(xiàn)在市場上的IDS產(chǎn)品大多采用的是特征檢測技術(shù)，這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成Dos攻擊。</p><p>　　入侵檢測系

48、統(tǒng)作為網(wǎng)絡(luò)安全的關(guān)鍵性防范系統(tǒng)已經(jīng)起得了一定發(fā)展，但仍然存在很多 問題 ，還有待于進(jìn)一步完善 ，以便為今后的網(wǎng)絡(luò)發(fā)展提供有效的安全手段。從性能上講入侵檢測系統(tǒng)面臨的一個矛盾就是系統(tǒng)性能與功能的折衷，即對數(shù)據(jù)進(jìn)行全面復(fù) 雜的檢驗構(gòu)成了對系統(tǒng)實時性要求很大的挑戰(zhàn)。一旦系統(tǒng)中的入侵檢測部分被入侵者 控制，整個系統(tǒng)的安全防線將面臨崩潰的危險。如何防止入侵者對系統(tǒng)功能的破壞的 研究將在是未來的一個發(fā)展方向，同時對網(wǎng)絡(luò)入侵檢測系統(tǒng)易用性的研究也將日

49、益增強(qiáng)。高速網(wǎng)絡(luò)中的入侵檢測以及入侵檢測系統(tǒng)與其它系統(tǒng)的協(xié)同工作的研究將持續(xù)下 去 。要解決當(dāng)前的實際網(wǎng)絡(luò)安全需求入侵檢測系統(tǒng)將與防火墻系統(tǒng)以及應(yīng)急響應(yīng)系 統(tǒng)等逐漸融合構(gòu)成一個全方位的安全保障系統(tǒng)。</p><p><b>　　7. 結(jié)束語</b></p><p>　　入侵檢測隨著信息安全問題的日益突出越來越多地受到人們的關(guān)注，目前，已有多個原型系統(tǒng)和商用的IDS

50、出現(xiàn)。盡管目前在入侵檢測領(lǐng)域還有很多問題需要深入研究，但可以展望，入侵檢測技術(shù)的發(fā)展將對信息的安全保護(hù)產(chǎn)生深遠(yuǎn)的影響</p><p><b>　　參考文獻(xiàn)：</b></p><p>　　1. 王曉程，劉恩德，謝小權(quán), 網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究. 計算機(jī)工程與科學(xué)，2000(4):30～33</p><p>　　2. 羅守山，陳亞娟，宋傳恒，王自亮

51、，鈕心忻，楊義先.一個基于擊鍵韻律的入侵檢測模型.北京郵電大學(xué)學(xué)報，2000(4)</p><p>　　3.陳科，李之棠.網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻集成的框架模型.計算機(jī)工程與科學(xué)，2001(2):26～28</p><p>　　4. Denning D. Requirements and Model for IDES: A Real-time Intrusion Detection Exp

52、ert System [C]. Technical Report, CSL, SRI Int, 1985. 5. Porras P, Kemmerer R. Penetration State Transition Analysis: A Rule-Based Intrusion Detection Approach [C]. In: Proceedings of the 8th Annual Computer Security

53、 Applications Conference, San Antonio, Texas, 1992.</p><p>　　6.[美]Rebecca Gurley Bace.入侵檢測[M].人民郵電出版社，1991.　　7.paul E. Proctor.入侵檢測使用手冊[M].中國電力出版社，1998.</p><p>　　8.E.Al-Shaer and H.Hamed.Firewa

54、ll Policy Advisor for Anomaly Detection andRule Editing[J].Proceedings of IEEE/IFIP Integrated Management Conference(IM’2003),2003:17-30.</p><p>　　9.A.A.Hassan.Algorithms for Verifying Firewall and Router Ac

55、cess Lists[J].Proc.of the 46th IEEE International Midwest Symposium on Circuits and Systems,2003,vol.1:512-515.</p><p>　　10.馮登國.網(wǎng)絡(luò)安全原理與技術(shù)[M].北京:科學(xué)出版社,2003,15.</p><p>　　11.F.Cuppens,A.Mi`ege.Aler