浅析入侵检测系统的产生和发展
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅析入侵检测系统的产生和发展范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】入侵检测技术是网络安全技术的重要方面,而入侵检测则是网络安全的最后一道防线。入侵检测系统作为信息安全领域的一个组成部分,有着自己独特的地方。本文从网络安全模型中主要的防护手段——防火墙的弱点出发,先是介绍了入侵检测的基本概念,然后系统地描述了入侵检测系统的分类、分析了入侵检测的过程并且给出了入侵检测的三个发展方向,从这几个方面阐述了入侵检测技术的产生和发展。最后,再次强调了入侵检测技术在信息安全领域的重要性。
【关键词】网络安全;入侵检测;信息安全引言
在传统的网络安全模型中,防火墙主要作为计算机网络安全的一种防护手段,但随着网络攻击技术的发展,这种单一的防护手段已经不能确保网络的安全。防火墙对于防范黑客产生了明显的局限性,主要表现为:防火墙无法阻止内部人员所做的攻击;对信息流的控制缺乏灵活性;在攻击发生后,利用防火墙保存的信息难以调查和取证,对于那些利用某些合法端口,合法地址的恶意攻击和访问,不能及时发现和制止。为了确保计算机网络安全,不断有新的安全技术提出,入侵检测技术就是这样产生和发展起来的。
1 入侵检测的基本概念
入侵检测:顾名思义,是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。入侵检测在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
2 入侵检测系统分类
既然入侵检测系统能够检测网络中发生的未授权和异常的访问,那我们不禁要问它是通过怎样的方法来完成这些复杂的检测工作的。
2.1按照检测类型划分
2.1.1异常检测模型(Anomaly Detection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
2.1.2误用检测模型(Misuse Detection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
2.2按照检测对象划分
2.2.1基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。
2.2.2基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
2.2.3混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
3 入侵检测过程分析
入侵检测过程分为三部分:信息收集、信息分析和结果处理。
3.1信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
3.2信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
3.3结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
4 入侵检测技术的发展方向
无论是规模还是方法,入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面:
入侵或攻击的综合化与复杂化。
入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。
入侵或攻击的规模扩大。
入侵或攻击技术的分布化。
攻击对象的转移。
以往入侵与攻击常以网络为侵犯的主体。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加以攻击。
今后的入侵检测技术大致可朝下述三个方向发展。
4.1 分布式入侵检测。 第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
4.2 智能化入侵检测。 即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。但是这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
4.3 全面的安全防御方案。 即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
5 结束语
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络信息安全立体纵深、多层次防御的角度出发,入侵检测应当受到人们的高度重视,也必须将入侵检测产品的研究与开发列入信息安全领域的重要课题之内。
参考文献
[1]罗宁,喻莉. 入侵检测技术研究发展.湖北:计算机与数字工程.2005.
[2]吴海民.入侵检测系统的发展与变革.上海:信息网络安全.2005.
[3]郝东白.IDS发展历史与未来发展趋势.上海:信息网络安全.2005.