入侵检测系统技术综述.doc

本文由♀皓月♂贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 入侵检测系统技术综述 自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果 摘 要： 大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和 演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天 的发展历程.文章以历史和实践的观点$透视入侵和入侵检测技术相互制约,相互促进的演进 过程. 关键词： 关键词：计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1 、引 言 自从计算机问世以来， 安全问题就一直存在。 特别是随着Internet的迅速扩张和电子商 务的兴起， 人们发现保护资源和数据的安全， 让他免受来自恶意入侵者的威胁是件相当困难 的事。提到网络安全，很多人首先想到的是防火墙，防火墙作为一种静态的访问控制类安全 产品通常使用包过滤的技术来实现网络的隔离。 适当配置的防火墙虽然可以将非预期的访问 请求屏蔽在外， 但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。 在这种需求 背景下，入侵检测系统（IDS）应运而生。 2、 概述 计算机网络技术的飞速发展极大地改变了人们的学习、 工作以及生活方式。 随着计算机 及网络系统中存储的重要信息越来越多， 系统的安全问题也显得E1益突出， 我们需要尽可能 找到更好的措施以保护系统免受入侵者的攻击，尽管已有许多防御技术，如防火墙，但它只 是一种静态的被动的防护技术。 要求事先设置规则。 对于实时攻击或异常行为不能实时反应。 无法自动调整策略设置以阻断正在进行的攻击。 因而出现了入侵检测系统， 它是一种动态的 网络安全策略，能够有效地发现入侵行为和合法用户滥用特权的行为，它是P2DR(动态安全 模型)的核心部分。 3、 入侵检测系统产生及其发展 绝大多数入侵检测系统的处理效率低下，不能满足大规模和高带宽网络的安全防护要 求。 这就决定了当前的入侵检测系统在未来信息战中的作用是有限的。 因为信息战中双方使 用的网络进攻手段肯定是储备的、从未出现的新手段。即使检测到攻击，现有的入侵检测系 统的响应能力和实时性也很有限， 不能预防快速脚本攻击， 对于此类恶意攻击只能发现和纪 录，而不能实时阻止。国内只有少数的网络入侵检测软件，相关领域的系统研究也是刚刚起 步，与外国尚有很大差距。 目前，在入侵检测的技术发展上还是存在着以下主要缺陷：(1)网络安全设备的处理速 度慢。(2)入侵检测系统的漏报率和误报率高。(3)入侵检测系统的互动性能差，整个系统的 安全性能低。 4、 入侵检测系统的概论 4.1 入侵检测系统的概念 入侵检测系统(Intrusion Detection System，简称IDS)是从多种计算机系统及网络系统 中收集信息，再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第 二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护 系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后， 收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力， 避免系统再次受到同类型的入侵。 4.2 入侵检测系统的分类 入侵检测技术主要可以分成两类：异常入侵检测(Anomaly Detection)技术和误用人侵 检测(Misuse Detec—tion)技术。 4．2．1 基于统计模型的异常入侵检测 1)基于阈值测量(Threshold Measures)的检测。这种方法也称为操作模型(Operational Model)， 是对某个时间段内时间的发生次数设置一个阈值， 若超过该值就有可能出现异常情 况。 定义异常的阈值设置偏高就会导致误否定错误， 误否定错误的后果不仅是检测不到入侵， 而且还会给安全管理人员以安全的错觉。 定义异常的阈值设置偏低就会导致难以忍受的误肯 定判断，误肯定过多就会降低入侵检测方法的效率而且会增添安全管理员的负担。 2)基于平均值和标准偏差模型的检测。这种模型将观察到的前n个事件用变量x1,……，xn。 来表示，这些变量的平均值mean和标准偏差stdev分别为：mean=( x1 + …… + x n )／n stdev=sqrt(( x 21 + …… + x 2 n )／(n+1)一mean 2 ) 对于一个新监测到的事件用 x n ?1 表示，如果它落到置信区间mean±d*stdev之外就认为是异 常的，d是标准偏移均值参数。这种方