用入侵检测系统保护计算机系统安全.docVIP

用入侵检测系统保护计算机系统安全 　　摘要：我们生在了一个计算机技术飞速发展的社会，它无时无刻的不在为我们服务，可以说我们的生活中到处充斥着它的影子，它给我们的日常生活带来了越来越多的便利，可以说在这个时代如果没有计算机我们的世界已经无法正常的运转，足见计算机在当今社会的地位，但是计算机系统也遭受着越来越多的攻击，保护计算机系统的安全已经成为了当今社会的重要话题，该文首先解释入侵检测技术概念，然后分析入侵检测的原理和方法，最后以模式匹配和统计分析两种具体方法来来阐述入侵检测工作的具体流程。 　　关键词：入侵检测系统；系统安全；误用检测的方法；统计分析的方法 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）05-1029-02 　　1 入侵检测系统的简介 　　我们知道传统的安全防护机制在系统中有一个储存病毒数据的病毒库，当计算机遭到外来攻击的时候当攻击的代码和病毒库中已经储存的病毒代码相匹配就认定是攻击，这种防护机制有一定的局限性，就是它只能防护在它的病毒库中有记录的病毒，对于新型病毒则无法防御，而入侵检测系统则恰恰补充了这种不足，可以说它与传统的计算机安全防护机制是成互补关系的，入侵检测是主动防御技术，是保证我们计算机系统安全的重要组成部分，它主要通过对计算机系统、网络流量的使用情况进行监控，来判断是否存在黑客通过系统漏洞从系统外部对系统进行攻击和普通权限的用户是否存在着越权使用的行为。我们这个时代计算机系统发展的飞速的以及人们对计算机了解更加深入，黑客的攻击也手段越来越高，所以每天都有很多的新型计算机病毒出现，所以传统的安全防护机制的局限性越来越明显，而靠监控系统行为的主动防御系统则几乎适用于所有的计算机系统，这使得计算机系统的安全性有了很大的提高，这是由于入侵检测的这种优势使得它越来越受到人们的重视，很多从事计算机系统安全维护的公司开始着手开发基于入侵检测原理的杀毒软件，可以预见，在未来几年入侵检测系统会成为计算机系统安全防护的主流。 　　2 入侵检测的原理和方法 　　2.1 入侵检测的??理 　　要想了解入侵检测的原理就必须先了解它的工作流程，第一步要对数据进行采集，获取有效的数据是进行检测的一个重要的前提，数据主要有两种，一种是本地的系统日志，主要包括操作系统的工作日志，计算机上的应用软件的工作日志；另一种是网络数据；获取本地系统日志主要通过一些日志查看软件 ，对看到的日志信息进行筛查；获取网络数据主要通过抓包的方式，就是把网络传输的数据截获并加以分析筛选。还有一种获取数据的方法就是把其他入侵系统或采集器上的数据进行截取，其实我们无论通过什么途径，获取什么数据，目的只有一个就是对获取的信息进行分析处理，主要有以下几个步骤：先将一些明显没用的信息去除掉以节省分析时间；再将余下的信息按照种类进行分类，将同种类型的放在一起；再要进行的就是合并，在这个过程中我们要把重复的信息删除掉；最后，要进行的是数据的格式转换，如果数据的格式符合我们的要求就不用转换了，转换的目的是能够对这些数据进行分析处理。 　　从入侵检测的工作流程我们可以知道，数据处理的核心是进行数据分析，因为各个工作步骤是按照层进行分工的，数据分析层的地位显而易见。目前比较普及的进行入侵检测的方法有两种，即误用检测技术和异常检测技术。 　　2.2 入侵检测的方法 　　从上文中我们已经了解到入侵检测中两种主要的分析方法有两大类，它们是靠建模方式的不同进行区分的，采用系统的正常行为建模的是异常检测技术，采用系统的不正常行为建模的是无用检测技术。下面我们对两种方法加以分析。 　　2.2.1 误用检测技术 　　误用检测是为了找出已经记录了的入侵模式，误用检测的建模对象是不正常行为，也就是说这些攻击都是有记录的，因为和攻击相对应的模式是特征，因此我们也把误用检测叫做基于特征的检测，目前我们判断攻击与否的方法是把一个攻击事件视为一个独立特征，然后对特征进行匹配有哪些信誉好的足球投注网站，如果和记录的入侵特征匹配则视为攻击，反之，不视为攻击。 　　2.2.2 异常检测技术 　　异常检测的建模对象是正常行为，它工作的目的是为了检测出系统中的异常行为，工作过程是先对系统正常工作的一段时期内正常数据进行记录，把这个记录当成标准，对收集来的事件数据进行分析，如果和记录的数据标准偏差超出正常范畴则视为攻击。 　　2.3 入侵检测的方法的实际应用 　　在上文中我们已经了解了入侵检测系统的两种技术误用检测技术和异常检测技术，下面我们分别用两种技术中的代表方法模式匹配的方法和统计分析的方法来举实例对入侵检测系统进行更深入的解释。 　　2.3.1 模式匹配的方法 　　模式匹配的方法属于误用检测，它工作是先建立一个攻击特征库，并检查发送过来的数据是