1、浅谈入侵检测技术摘要:Internet 蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由 Internet 来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、入侵的危害性、并且分析了入侵检测系统技术及其分类和不足之处,最后说描述了它的发展趋势。 下载 关键词:入侵检测 入侵检测系统 一、入侵检测的概念 入侵检测(Intrusion Detection,ID), 顾名思义,是对
2、入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测是指监视或者在可能的情况下,阻止入侵或者试图控制你的系统或者网络资源的那种努力。入侵检测一般分为 3 个步骤,依次为信息收集、数据分析、响应(被动响应和主动响应)。 二、入侵的方式及其危害性 1.入侵者如何进入系统 物理入侵:入侵者以物理方式访问一个机器进行破坏活动,例如趁人不备进入机房试图闯入操作系统、拿着钳子改锥卸掉硬盘装在另一台机器上进行研究。 系统入侵:入侵者在拥有系统的一个低级账号权限下进行的破坏活动。通常,如果系统没有及时打补丁,那么拥有低级权
3、限的用户就可能利用系统漏洞获取更高的管理特权。 远程入侵:入侵者通过网络渗透到一个系统中。这种情况下,入侵者通常不具备任何特殊权限,他们要通过漏洞扫描或端口扫描等技术发现攻击目标,再利用相关技术执行破坏活动。 2.入侵的危害性 在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,黑客攻击日益猖獗,防范问题日趋严峻。
4、 三、入侵检测系统 入侵检测系统(Intrusion-detection system,下称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,是一种软件与硬件的组合。它与其他网络安全设备的不同之处便在于,IDS 是一种积极主动的安全防护技术。入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。 1.基于网络的 IDS 基于网络的入侵检测系统(NIDS)放置在比较重要的
5、网段内,不停地监视网段中的各种数据包。对每一个数据包进行特征分析。如果数据包与系统内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前,大部分入侵检测系统的基于网络的。 2.基于主机的 IDS 基于主机的入侵检测系统(HIDS)通常是安装在被重点监测的主机之上,只要是对该主机的网络实时连接以及系统审计日志进行只能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律),入侵检测系统就会采取相应措施。 四、入侵检测系统面临的主要问题及发展趋势 1.入侵检测系统面临的主要问题 (1)误报 误报是指被入侵检测系统测出但其实是正常及合法使用受保护网络和计算机的警报。假警报不但令人讨
6、厌,并且降低入侵检测系统的效率。攻击者可以而且往往是利用包结构伪造无威胁“正常”假警报,以诱使收受人把入侵检测系统关掉。没有一个入侵检测无敌于误报,应用系统总会发生错误,原因是:缺乏共享信息的标准机制和集中协调的机制,不同的网络及主机有不同的安全问题,不同的入侵检测系统有各自的功能;缺乏揣摩数据在一 段时间内行为的能力;缺乏有效跟踪分析等。 (2)精巧及有组织的攻击 攻击可以来自四方八面,特别是一群人组织策划且攻击者技术高超的攻击,攻击者花费很长时间准备并发动全球性攻击,要找出这样复杂的攻击是一件难事。 2.入侵检测的发展方向 随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网
7、络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。 (3)智能的入侵检测 入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的 IDS 加以进一步的研究,以解决其自学习与自适应能力。 (4)入侵检测的评测方法 用户需对众多的 IDS 系统进行评价,评价指标包括 IDS 检测范围、系统资源占用、IDS 自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种 IDS 的检测。 参考文献: 曹天杰,张永平,苏成计算机系统安全入侵检测,2003;18(9):265270 蒋建春,冯登国网络入侵检测原理与技术北京:国防工业出版社,2001 (责任编辑:张彬)
