入侵檢測(cè)技術(shù)研究概述

1、入侵檢測(cè)技術(shù)研究概述入侵檢測(cè)技術(shù)研究概述本文由dontyoulin貢獻(xiàn)doc文檔可能在WAP端瀏覽體驗(yàn)不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機(jī)查看。入侵檢測(cè)技術(shù)研究概述郭風(fēng)(酒鋼(集團(tuán))檢修工程公司系統(tǒng)所，甘肅嘉峪關(guān)735100摘要：入侵檢測(cè)是保護(hù)信息安全的重要途徑，是一種新的動(dòng)態(tài)安全防御技術(shù)，它是繼防火墻之后的第二道安全防線。介紹入侵檢測(cè)的相關(guān)概念，總結(jié)了入侵檢測(cè)系統(tǒng)的功能、分類及入侵檢測(cè)的過程，并對(duì)入侵檢測(cè)的方法進(jìn)行了簡(jiǎn)要分析

2、，為進(jìn)一步研究提供參考。關(guān)鍵詞：入侵檢測(cè)；入侵檢測(cè)系統(tǒng)；檢測(cè)過程；檢測(cè)方法中圖分類號(hào)：TV31如何建立安全而又健壯的網(wǎng)絡(luò)系統(tǒng)，保證重要信息的安全性，已經(jīng)成為研究的焦點(diǎn)。以往采用的方式多是防火墻的策略，它可以防止利用協(xié)議漏洞、源路由、地址仿冒等多種攻擊手段，并提供安全的數(shù)據(jù)通道，但是它對(duì)于應(yīng)用層的后門，內(nèi)部用戶的越權(quán)操作等導(dǎo)致的攻擊或竊取，破壞信息卻無能為力。另外，由于防火墻的位置處在網(wǎng)絡(luò)中的明處，自身的設(shè)計(jì)缺陷也難免會(huì)暴露給眾多的攻擊者

3、，所以僅僅憑借防火墻是難以抵御多種多樣層出不窮的攻擊的，這種靜態(tài)的安全技術(shù)自身存在著不可克服的缺點(diǎn)。為了保證網(wǎng)絡(luò)系統(tǒng)的安全，就需要有一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，即入侵檢測(cè)技術(shù)。1入侵檢測(cè)的基本概念入侵檢測(cè)是指“通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。”入侵檢測(cè)是檢驗(yàn)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，是通過計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從

4、中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時(shí)做出相應(yīng)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)可以分為兩類：I)濫用檢測(cè)(MisuseDetection)濫用檢測(cè)是利用已知的入侵方法和系統(tǒng)的薄弱環(huán)節(jié)識(shí)別非法入侵。該方法的主要缺點(diǎn)為：由于所有已知的入侵模式都被植人系統(tǒng)中，非常適合于加密和交換環(huán)境；

5、(b)近實(shí)時(shí)的檢測(cè)和響應(yīng)；(c)不需要額外的硬件。同時(shí)也存在著一些不足：會(huì)占用主機(jī)的系統(tǒng)資源，增加系統(tǒng)負(fù)荷，而且針對(duì)不同的操作平臺(tái)必須開發(fā)出不同的程序，另外所需配置的數(shù)量眾多。但是對(duì)系統(tǒng)內(nèi)在的結(jié)構(gòu)卻沒有任何約束，同時(shí)可以利用操作系統(tǒng)本身提供的功能，并結(jié)合異常檢測(cè)分析，更能準(zhǔn)確的報(bào)告攻擊行為。(2)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS：wkbasedIntrusionDetectionSystem)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為

6、數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實(shí)時(shí)地監(jiān)視并分析通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。它的攻擊識(shí)別模塊進(jìn)行攻擊簽名識(shí)別的方法有：模式、表達(dá)式或字節(jié)碼匹配；頻率或閾值比較；次要事件的相關(guān)性處理；統(tǒng)計(jì)異常檢測(cè)。一旦檢測(cè)到攻擊，IDS的響應(yīng)模塊通過通知、報(bào)警以及中斷連接等方式來對(duì)攻擊行為作出反應(yīng)。然而它只能監(jiān)視通過本網(wǎng)段的活動(dòng)，并且精確度較差，在交換網(wǎng)絡(luò)環(huán)境中難于配置，防欺騙的能力也比較差。但它也有著一定的優(yōu)勢(shì)：(a)成本低；(b)攻擊者轉(zhuǎn)移證據(jù)困難；

7、(C)實(shí)時(shí)的檢測(cè)和響應(yīng)；(d)能夠檢測(cè)到未成功的攻擊企圖；(e)與操作系統(tǒng)無關(guān)，即基于網(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源。212按照采用的檢測(cè)技術(shù)分類(1)異常檢測(cè)異常檢測(cè)(AnomalyDetection)，也被稱為基于行為的檢測(cè)；其基本前提是：假定所有的入侵行為都是異常的。原理：首先建立系統(tǒng)或用戶的“?！毙袨樘卣鬏喞ㄟ^比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。而不是依賴于具體行為是否出

8、現(xiàn)來進(jìn)行檢測(cè)的，從這個(gè)意義上來講，異常檢測(cè)是一種間接的方法。(2)誤用檢測(cè)誤用檢測(cè)(MisuseDetection)，也被稱為基于知識(shí)的檢測(cè)；其基本前提是：假定所有可能的入侵行為都能被識(shí)別和表示。原理：首先對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是直接判斷攻擊簽名的出現(xiàn)與否來判斷入侵的，從這一點(diǎn)來看，