淺析計算機網(wǎng)絡(luò)的入侵檢測技術(shù)及其發(fā)展方向

淺析計算機網(wǎng)絡(luò)的入侵檢測技術(shù)及其發(fā)展方向

　　隨著網(wǎng)絡(luò)的技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)的開放性也得到了長足的發(fā)展，這為網(wǎng)絡(luò)信息的共享和交互使用提供了很大方便，但同時也對信息的安全性提出了嚴峻的挑戰(zhàn)。近年來，隨著網(wǎng)絡(luò)的普及與應(yīng)用領(lǐng)域的逐漸擴展，網(wǎng)絡(luò)安全與信息安全問題日漸突出。在網(wǎng)絡(luò)安全的實踐中，建立一個完全安全的系統(tǒng)是不現(xiàn)實的。因此，保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

　　入侵檢測技術(shù)（IDS）是近年來出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，它是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應(yīng)。入侵檢測通過迅速地檢測入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識別并驅(qū)除入侵者，使系統(tǒng)迅速恢復(fù)正常工作，并且阻止入侵者進一步的行動，它的應(yīng)用擴展了系統(tǒng)管理員的安全管理能力，幫助計算機系統(tǒng)抵御攻擊。因而，研究入侵檢測方法和技術(shù)，根據(jù)這些方法和技術(shù)建立相應(yīng)的入侵檢測系統(tǒng)對保證網(wǎng)絡(luò)安全是非常必要的。

　　一、入侵檢測系統(tǒng)的分類

　　1．按照檢測類型劃分

　　（1）異常檢測類型：檢測與可接受行為之間的偏差，如果可以定義每項可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具備的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。這種檢測模型漏報率低，誤報率高。因為不需要對每種入侵行為進行定義，所以能有效檢測未知的入侵。

　　（2）誤用檢測類型：檢測與已知的不可接受行為之間的匹配程度，如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會引起警告。收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。這種檢測模型誤報率、漏報率高。對于已知的攻擊，它可以詳細、準確地報告出攻擊類型，但是對未知攻擊卻效果有限，而且特征庫必須不斷更新。

　　2．按照檢測對象劃分

　　（1）基于主機：系統(tǒng)分析的數(shù)據(jù)是計算機操作系統(tǒng)的時間日志、應(yīng)用程序的時間日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計記錄。主機入侵檢測系統(tǒng)保護的一般是所在的主機系統(tǒng)。是代理來實現(xiàn)的，代理是運行在目標主機上的小的可執(zhí)行程序，它們與命令控制臺通信。

　　（2）基于網(wǎng)絡(luò)：系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務(wù)，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器組成，傳感器是一臺將以太網(wǎng)置于混雜模式的計算機，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包。科技論文。

　　（3）混合型：基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)都有不足之處，會造成防御體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機的混合型入侵檢測系統(tǒng)，既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

　　3．按照工作方式分類

　　（1）離線檢測：這是一種非實時工作的系統(tǒng)，在時間發(fā)生后分析審計時間，從中檢查入侵事件。這類系統(tǒng)的成本低，可以分析大量事件，調(diào)查長期的情況，有利于其它方法提供及時的保護。而且，很多侵入在完成之后都將審計事件刪除，使其無法審計。

　　（2）在線檢測：對網(wǎng)絡(luò)數(shù)據(jù)包或主機的審計事件進行實時分析，可以快速反映，保護系統(tǒng)的安全；但在系統(tǒng)規(guī)模比較大時，難以保證實時性。

　　二、入侵檢測系統(tǒng)存在的主要問題

　　1．誤報

　　誤報是指被入侵檢測系統(tǒng)測出但其實是正常及合法使用受保護網(wǎng)絡(luò)和計算機的警報。假警報不但令人討厭，并且降低入侵檢測系統(tǒng)的效率。攻擊者可以而且往往是利用包結(jié)構(gòu)偽造無威脅的，“正常”假警報，以誘使收受人把入侵檢測系統(tǒng)關(guān)掉。

　　沒有一個入侵檢測無敵于誤報，應(yīng)用系統(tǒng)總會發(fā)生錯誤，原因是：缺乏共享信息的標準機制和集中協(xié)調(diào)的機制，不同的網(wǎng)絡(luò)及主機有小同的安全問題，不同的入侵檢測系統(tǒng)有各自的功能；缺乏揣摩數(shù)據(jù)在一段時間內(nèi)行為的能力；缺乏有效跟蹤分析等。

　　2．精巧及有組織的攻擊

　　攻擊可以來自四面八方，特別是一群人組織策劃且攻擊者技術(shù)高超的攻擊，攻擊者花費很多時間準備，并發(fā)動全球性攻擊，要找出這樣復(fù)雜的攻擊是一件難事。

　　3。入侵檢測系統(tǒng)的互動性能不高

　　在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測系統(tǒng)，甚至還有防火墻、漏洞掃描等其他類別的安全設(shè)備，這些入侵檢測系統(tǒng)之間以及IDS和其他安全組件之間如何交換信息，共同協(xié)作來發(fā)現(xiàn)攻擊、做出相應(yīng)并阻止攻擊是關(guān)系整個系統(tǒng)安全性的重要因素。

　　三、入侵檢測系統(tǒng)發(fā)展的主要趨勢

　　目前除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，入侵檢測系統(tǒng)應(yīng)重點加強與統(tǒng)計分析相關(guān)技術(shù)的研究。許多學者在研究新的檢測辦法，如采用自動代理的主動防御辦法，將免疫學原理應(yīng)用到入侵檢測的方法等。其主要發(fā)展方向可以概括為以下幾個方面：

　　1。入侵檢測系統(tǒng)的標準化

　　就目前而言，入侵檢測系統(tǒng)還缺乏相應(yīng)的標準，不同的入侵檢測系統(tǒng)之間的數(shù)據(jù)交換和信息通信幾乎不可能。目前，DARPA和IETF的入侵檢測工作組試圖對入侵檢測系統(tǒng)進行標準化工作，分別制定了CIDF和IDMEF標準，從體系結(jié)構(gòu)、通信機制、消息格式等各方面對入侵檢測系統(tǒng)規(guī)范化，但進展非常緩慢，尚沒有被廣泛接受的標準出臺。因而，具有標準化接口的入侵檢測系統(tǒng)將是下一代入侵檢測系統(tǒng)的特征。

　　2。分布式入侵檢測

　　分布式入侵檢測的第一層含義是針對分布式網(wǎng)絡(luò)攻擊的檢測方法；第二層含義即使用分布式的方法來實現(xiàn)分布式的攻擊，其中的關(guān)鍵技術(shù)為信息的協(xié)同處理與入侵攻擊的全局信息的提取。

　　3。應(yīng)用層入侵檢測

　　許多入侵的語義只有在應(yīng)用層才能理解，而目前的入侵檢測系統(tǒng)僅能檢測Web之類的通用協(xié)議，不能處理如Lotus Notes數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測保護。科技論文。

　　4．智能入侵檢測

　　目前，入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體系、神經(jīng)網(wǎng)絡(luò)與遺傳算法應(yīng)用在入侵檢測領(lǐng)域，但這些只是一些嘗試性的研究工作，需要對智能化的入侵檢測系統(tǒng)進一步研究，以解決其自學習與自適應(yīng)能力。

　　5．建立入侵檢測系統(tǒng)評價體系

　　設(shè)計通用的入侵檢測測試、評估辦法和平臺，實現(xiàn)對多種入侵檢測系統(tǒng)的檢測，已成為當前入侵檢測系統(tǒng)的另一重要研究與發(fā)展領(lǐng)域。評價入侵檢測系統(tǒng)可從檢測范圍、系統(tǒng)資源占用、自身的可靠性等方面進行，評價指標有：能否保證自身的安全、運行與維護系統(tǒng)的開銷、報警準確率、負載能力以及可支持的網(wǎng)絡(luò)類型、支持的入侵特征數(shù)、是否支持IP碎片重組、是否支持TCP流重組等。

　　6．綜合性檢測系統(tǒng)

　　單一的技術(shù)很難構(gòu)筑一道強有力的安全防線，這就需要和其他安全技術(shù)共同組成更完備的安全的保障系統(tǒng)，如結(jié)合防火墻、PKIX、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障體系。科技論文。

　　四、結(jié)語

　　入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。但是目前，入侵檢測技術(shù)主要停留在異常檢測和誤用檢測上，這兩種方法都還不完善，存在著這樣那樣的缺陷。網(wǎng)絡(luò)入侵技術(shù)不斷發(fā)展，入侵行為表現(xiàn)出不確定性、復(fù)雜性、多樣性等特點；網(wǎng)絡(luò)應(yīng)用的發(fā)展帶來了新的問題，如高速網(wǎng)絡(luò)其流量大，基于網(wǎng)絡(luò)的檢測系統(tǒng)如何適應(yīng)這種情況？基于主機審計數(shù)據(jù)這怎樣做到既減小數(shù)據(jù)量，又能有效地檢測到入侵行為？入侵檢測技術(shù)己經(jīng)成為當前網(wǎng)絡(luò)技術(shù)領(lǐng)域內(nèi)的一個研究熱點，在未來的發(fā)展過程中，將越來越多地與其他科學和技術(shù)進行交融匯合，如數(shù)據(jù)融合、人工智能以及網(wǎng)絡(luò)管理等等。隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，入侵檢測技術(shù)也在不斷地發(fā)展，已經(jīng)出現(xiàn)了很多新的方向，如寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)、大規(guī)模分布式入侵檢測技術(shù)等。

　　參考文獻：

　　[1]戴英俠，連一峰，王航。系統(tǒng)安全與入侵檢測[M]。北京：清華大學出版社。2002。

　　[2]孫知信，徐紅霞。模糊技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用研究綜述[J]。南京郵電大學學報。2006，（2）。

　　[3]裴慶祺。模糊入侵檢測技術(shù)研究[M]。西安：西安電子科技大學。2004。

　　[4]唐正軍。入侵檢測技術(shù)導(dǎo)輪[M]。北京：機械工業(yè)出版社，2004。

【淺析計算機網(wǎng)絡(luò)的入侵檢測技術(shù)及其發(fā)展方向】相關(guān)文章：

質(zhì)量技術(shù)監(jiān)督工作信息化建設(shè)淺析02-27

寒氣容易入侵的7個部位01-18

淺析互聯(lián)網(wǎng)之利弊02-26

淺析流行文化作文12-15

緊張的學科能力檢測作文07-29

abcc式的詞語及其解釋03-04

描寫春天的詞語及其解釋03-05

aabc式的詞語及其解釋03-04

描寫風的詞語大全及其解釋03-04

檢測年度工作03-16