网络安全入侵检测系统设计思路.pdfVIP

网络安全入侵检测系统设计思路--第1页

网络安全入侵检测系统设计思路

提纲：

1.网络安全入侵检测系统的概述；

2.系统设计框架和实现原理；

3.有效性验证实验和结果分析；

4.安全防护措施和风险评估；

5.特定领域应用案例分析。

1.网络安全入侵检测系统的概述(2000字)

网络安全入侵检测系统（IntrusionDetectionSystem,IDS）是

指对计算机系统、网络及其软件进行安全监测，以便及时发现、

追踪、记录、警告并阻止非授权的活动或攻击。IDS分为入侵

检测（IntrusionDetection,ID）和入侵防御（Intrusion

Prevention,IP）两种形式。

入侵检测系统主要分为两种：基于主机的IDS（Host-based

IDS,HIDS）和基于网络的IDS（Network-basedIDS,NIDS）。

HIDS在每台主机上安装一台IDS，通过在主机上监测运行在

主机上的进程、文件、用户等信息，侦测主机内的入侵行为。

NIDS在网络中设置IDS，通过监测网络流量、协议、来源与

目的地址等信息，侦测主机与主机之间的入侵行为。

在设计IDS时，需要根据系统的实际情况进行选择与优化。

主机一般作为目标、工具或者控制中心，安装HIDS可以对主

机安全起到重要的作用。网络拓扑结构复杂时，应使用使用

网络安全入侵检测系统设计思路--第1页

网络安全入侵检测系统设计思路--第2页

NIDS对网络监控。IDS的设计需要考虑到恶意攻击的各种类

型、攻击的环节、侦测信息的来自、避免误判以及系统响应的

快慢。

2.系统设计框架和实现原理(2000字)

网络安全入侵检测系统可以分为三个层次：传感器、管理中心

和响应。传感器是IDS的核心部分，它负责采集网络流量和

主机信息，并分析入侵行为。管理中心接收传感器传送过来的

消息，并将它们加工成供管理员决策的信息；响应是指IDS

针对侦测到的入侵行为采取的措施，可以是实时告警或阻止攻

击。

一般的入侵检测方法由侵入特征表示技术、特征选取技术与分

类器构造技术三部分构成。其中，侵入特征表示技术是入侵检

测中最为关键的技术之一，根据CIDF标准，可以分为分类可

用属性和非分类可用属性。特征选取技术能够从所有特征中选

出最优的一部分特征构造训练数据集，可以大大提高分类器的

分类准确度。通用的分类器包括人工神经网络分类器、决策树

分类器、K邻近分类器以及支持向量机等。

3.有效性验证实验和结果分析(2000字)

有效性验证实验是指通过测试样本对IDS的分类效果及其它

性能指标进行评定的过程。测试样本由正样本和负样本两部分

构成，根据不同的入侵类型可分为单类测试和多类测试。评估

的指标包括识别率、精确度、召回率和综合评价度。

网络安全入侵检测系统设计思路--第2页

网络安全入侵检测系统设计思路--第3页

在实际应用中，IDS的误判和漏报是不可避免的。误判率高，

即分类器将正常流量误判为恶意攻击，将导致侦测系统信息的

不精确、用户疑虑、系统处于警戒状态等不良影响；漏报率高，

即分类器将恶意攻击错误地归为正常流量，将导致系统的对抗

能力降低、攻击者继续入侵等后果。

4.安全防护措施和风险评估(2000字)

IDS不仅能够预防和检测网络入侵行为，还能通过设定阈值、

日志记录等功能对非法入侵行为进行记录和追踪。在使用IDS

时，还应注意进行安全防护措施，例如基础安全防御和补丁更