谈构建计算机入侵检测系统.pdfVIP

48 第 卷 第 期 湖北生态工程职业技术学院学报 4 3 年第 期 Vol. 4 No. 3 JOURNAL OF HUBEI ECOLOGY VOCATIONAL COLLEGE 2006 3 谈构建计算机入侵检测系统 王广胜 （湖北生态职业技术学院，湖北武汉430200） [ ] 摘 要 但随着技术的发展，网络日趋复杂，防火墙技术所表现出来的不足引出了人们对入侵检测系统（IDS） 技术的研究和开发。本文就入侵检测系统定义、入侵检测系统分类、入侵检测系统功能模块作了一定的分析，并 对入侵检测系统作了简单的前景预测。 [ ] 关键词 入侵检测系统；网络安全 [ ] [ ] [ ] 中图分类号 TP309 文献标识码 A 文章编号 0000-2 157/SG （2006）03-0048-02 一、定义 安全审计记录，并拿日志文件和常见已知攻击的内部数 入侵检测系统（IDS）是一种分析系统和网络上未 据库进行比较。基于主机的IDS 过滤日志（记录网络和 经授权的进入和（或）有不良企图的活动的积极进程或 内核事件的日志可能会非常详细）、分析日志、使用它自 设备。IDS 检测异常情况的方法可能会大相径庭；但是 己的严重性级别系统来重新给异常消息标签、并把它们 它们的最终目的都是在攻击者还未对你的系统造成损 收集到它自己的特殊日志以供管理员分析使用。 害前当场捕捉他们。通过对行为、安全日志或审计数 主机型入侵检测系统保护的一般是所在的主机系 据或其它网络上可以获得的信息进行操作，检测到对 统。是由代理（agent）来实现的，代理是运行在目标主机 系统的闯入或闯入的企图。入侵检测是检测和响应计 上的小的可执行程序，它们与命令控制台（console）通信。 算机误用的学科，其作用包括威慑、检测、响应、损失情 （二）基于网络 况评估、攻击预测和起诉支持。入侵检测技术是为保 基于网络的入侵检测系统和基于主机的入侵检测 证计算机系统的安全而设计与配置的一种能够及时发 系统的工作方式不同。基于网络的IDS 思想是在路由 现并报告系统中未授权或异常现象的技术，是一种用 器或主机级别扫描网络分组、审查分组信息、并在一个 于检测计算机网络中违反安全策略行为的技术。进行 特殊文件中详细记录可疑分组。根据这些可疑分组，基 入侵检测的软件与硬件的组合便是入侵检测系统 （In- 于网络的IDS 可以扫描它自己的已知网络攻击特征数 trusion Detection System ，简称IDS）。 据库，并为每个分组指定严重级别。如果严重级别够高， 它是一种不同于防火墙的、主动保护网络资源的网 它就会给安全组的成员发送电子邮件或通知传呼机，因 络安全系统，是防火墙合理和必要的补充。它完全改变 此安全组的成员就可以进一步调查这些异常特点。 了传统网络安全防护体系被动防守的局面，使网络安全 网络型入侵检测系统担负着保护整个网段的任务， 防护变得更积极、更主动，特别是IDS 的可视化安全管 基于网络的入侵检测系统由遍及网络的传感器（sensor） 理功能给网络安全防护工作带来了革命性的变化。 组成，传感器是一台