浅谈入侵检测技术.docxVIP

?

?

浅谈入侵检测技术

?

?

论文导读：入侵检测系统（IntrusionDetectionSystem）是一种自动进行入侵检测和分析的软件或硬件系统，它能够帮助系统识别入侵、攻击以及异常数据流量，从而避免病毒、黑客的攻击。基于网络的入侵检测方法有：统计方法、神经网络、数据挖掘、免疫学方法等，以及一些新提出的基于网络的分析入侵检测方法。这也要求入侵检测技术不断改进更新，近年来，入侵检测技术有新的发展趋势：网络检测点由个别点向面发展，即一个主要的发展趋势是采用分布式系统，在网络上放置多个检测器，共享信息，并通过信息的分发交流，协同工作，提高系统响应的实时性。

关键词：入侵检测，方法，趋势

?

1引言

入侵检测系统（IntrusionDetectionSystem）是一种自动进行入侵检测和分析的软件或硬件系统，它能够帮助系统识别入侵、攻击以及异常数据流量，从而避免病毒、黑客的攻击。随着网络安全问题的日益突出，传统的防火墙技术暴露出明显的不足和缺点，比如，不能提供实时入侵检测能力；不能阻止网络内部攻击；无法解决安全后门问题等，入侵检测系统作为一种重要的动态安全技术，就成为防火墙的有益补充，扩展了系统管理员的安全管理、监视、防攻击的能力，从而提高了信息安全性。

2入侵检测系统概述

入侵检测是对入侵行为的发觉，即对未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不可用的行为的检测、确认。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统需要很强的智能化，必须能将得到的数据进行分析，并得出有用的结果，一个合格的入侵检测系统能够大大的简化管理员的工作，保证网络安全的运行。

3入侵检测系统的分类

根据检测系统的特性，可以从不同的角度，对入侵检测系统进行分类。比如，按照检测技术分类可以分为异常检测和滥用检测；根据检测数据的来源分类可以分为基于主机的入侵检测系统和基于网络的入侵检测系统；按照响应方式分类可以分为主动响应入侵检测和被动响应入侵检测；按照控制策略分类可以分为集中式入侵检测和部分分布式入侵检测以及全部分布式入侵检测等。基于网络流量的入侵检测是预防入侵的一个新的研究方向，特别针对网络扫描、DDos攻击以及蠕虫等较为有效，本文将做重点讨论。

4基于网络的入侵检测系统

基于网络的入侵检测系统是通过连接在网络上的站点对报文进行捕获，根据网络的流量大小及其它有用数据的分析来判断入侵是否发生。基于网络的入侵检测的优点主要有两个：实时性和操作代价低。通过实时的观测网络流量，基于网络的入侵检测能够在入侵者实施入侵前做出反应，提供实时保护。由于基于网络的入侵检测实体安置在网络部门，而不是在用户桌面，所以安装快捷，对用户的要求不高，实现起来简单。

网络的流量行为具有长期特征和短期特征。网络流量长期特征表现为具有一定的规律性和稳定性。能够对局域网的流量或者某些关键主机的流量情况进行实时检测，并进行预测分析，有助于判断异常网络流量，及早发现和识别潜在的入侵攻击的发生。据研究，造成网络流量的异常，原因可能有：网络扫面、DDos攻击、蠕虫、恶意下载、用户对网络资源的不当使用以及物理链路或者设备不能正常运转等。

基于网络的入侵检测方法有：统计方法、神经网络、数据挖掘、免疫学方法等，以及一些新提出的基于网络的分析入侵检测方法。

统计方法通过分析大量的系统参数并生成系统的正常行为轮廓库，自适应地学习系统的正常行为模式。每个行为轮廓代表一个主体的正常行为，由一组入侵检测度量值来描述。统计方法的最大优点是它可以“学习”用户的行为习惯，具有较高的检测率和可用性。通过对一段时间网络安全状况下的数据包流量进行统计，从而从宏观上建立起网络在安全状况下的周期数据包流量轮廓，用于检测以拒绝服务攻击为主的入侵和网络扫描等异常行为。

神经网络是一个有简单处理单元构成的规模宏大的并行分布式处理器。具有存储经验知识和使之可用的特性。由于神经网络适合于学习比较复杂的非线性关系，而且它是数据驱动学习的，通过学习掌握数据间的依从关系，不需要对网络流量进行大量的数学建模工作。

数据挖掘是一种特定应用的数据分析过程，可以从包含大量冗余信息的数据中提取尽可能多的安全信息，抽象出有利于进行判断和比较的特征模型。这些特征模型可以是基于异常检测的特征量模型，也可以是基于异常检测的行为描述模型。数据分类的方法、关联分析的方法以及序列分析的方法等数据挖掘方法对入侵检测是非常有用的。

另外，借鉴免疫系统中蕴含的丰富且有效的信息处理机制，即通过产生抗体来消灭入侵，通过针对计算机系统和网络抵抗入侵的安全问题，可以发展为人工免疫模型和算法。基于网络的入侵检测系统正处于研究的初级阶段，还有其他一些方法如模式预测、遗传算