入侵检测技术研究概述
入侵检测技术研究概述
郭风
(酒钢(集团)检修工程公司系统所,甘肃嘉峪关735100
摘要:入侵检测是保护信息安全的重要途径,是一种新的动态安全防御技术,它是继防火墙之后的第二道安全防线。介绍入侵检测的相关概念,总结了入侵检测系统的功能、分类及入侵检测的过程,并对入侵检测的方法进行了简要分析,为进一步研究提供参考。关键词:入侵检测;入侵检测系统;检测过程;检测方法中图分类号:TV31
如何建立安全而又健壮的网络系统,保证重要信息的安全性,已经成为研究的焦点。以往采用的方式多是防火墙的策略,它可以防止利用协议漏洞、源路由、地址仿冒等多种攻击手段,并提供安全的数据通道,但是它对于应用层的后门,内部用户的越权操作等导致的攻击或窃取,破坏信息却无能为力。另外,由于防火墙的位置处在网络中的明处,自身的设计缺陷也难免会暴露给众多的攻击者,所以仅仅凭借防火墙是难以抵御多种多样层出不穷的攻击的,这种静态的安全技术自身存在着不可克服的缺点。为了保证网络系统的安全,就需要有一种能够及时发现并报告系统中未授权或异常现象的技术,即入侵检测技术。1入侵检测的基本概念
入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。”入侵检测是检验和响应计算机误用的学科,是通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出相应。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术可以分为两类:
I)滥用检测(MisuseDetection)滥用检测是利用已知的入侵方法和系统的薄弱环节识别非法入侵。该方法的主要缺点为:由于所有已知的入侵模式都被植人系统中,所以,一旦出现任何未知形式的入侵,都无法检测出来。但该方法的检测效率较高。
2)异常检测(AnomalyDetection)异常检测是通过检查当前用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或越权操作。该方法的优点是无需了解系统缺陷,适应性较强。但发生误报的可能性较高。2人侵检测系统入侵检测系统(IDS:IntrusionDetectionSystern)是实现入侵检测功能的一系列的软件、硬件的组合。它是入侵检测的具体实现。作为一种安全管理工具,它从不同的系统资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为作出自动的反应,并报告检测过程的结果。入侵检测系统就其最基本的形式来讲,可以说是一个分类器,它是根据系统的安全策略来对收集到的事件/状态信息进行分类处理,从而判断出人侵和非入侵行为。入侵检测系统的主要功能有:
1)监视、分析用户及系统行为,查找非法用户和合法用户的越权操作;2)系统配置和漏洞的审计检查;
3)评估重要系统和数据文件的完整性;4)识别、反应已知攻击的行为模式并报警;5)异常行为模式的统计分析;
6)操作系统的审计跟踪管理及违反安全策略的用户行为的识别。2.1入侵检测系统分类
入侵检测系统中的用户行为主要表现为数据形式。根据数据的来源不同,入侵检测系统可以分为基于主机的和基于网络的两种。前者的数据来自操作系统的审计数据,后者来自网络中流经的数据包。由于用户的行为都表现为数据,因此,解决问题的核心就是如何正确高效地处理收集到的数据,并从中得出结论。2.1.1按照输入数据来源分类
(1)基于主机的入侵检测系统基于主机的入侵检测系统(HIDS:Host2basedIntrusionDetectionSystem)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(AttackSignature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统就各系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的IDS有着明显的优点:(a)非常适合于加密和交换环境;(b)近实时的检测和响应;(c)不需要额外的硬件。
同时也存在着一些不足:会占用主机的系统资源,增加系统负荷,而且针对不同的操作平台必须开发出不同的程序,另外所需配置的数量众多。但是对系统内在的结构却没有任何约束,同时可以利用操作系统本身提供的功能,并结合异常检测分析,更能准确的报告攻击行为。(2)基于网络的入侵检测系统基于网络的入侵检测系统(NIDS:Network-basedIntrusionDetectionSystem)把原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。它的攻击识别模块进行攻击签名识别的方法有:模式、表达式或字节码匹配;频率或阈值比较;次要事件的相关性处理;统计异常检测。一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。然而它只能监视通过本网段的活动,并且精确度较差,在交换网络环境中难于配置,防欺骗的能力也比较差。但它也有着一定的优势:(a)成本低;(b)攻击者转移证据困难;(C)实时的检测和响应;(d)能够检测到未成功的攻击企图;(e)与操作系统无关,即基于网络的IDS并不依赖主机的操作系统作为检测资源。2.1.2按照采用的检测技术分类(1)异常检测
异常检测(AnomalyDetection),也被称为基于行为的检测;其基本前提是:假定所有的入侵行为都是异常的。原理:首先建立系统或用户的“常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。而不是依赖于具体行为是否出现来进行检测的,从这个意义上来讲,异常检测是一种间接的方法。(2)误用检测
误用检测(MisuseDetection),也被称为基于知识的检测;其基本前提是:假定所有可能的入侵行为都能被识别和表示。原理:首先对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是直接判断攻击签名的出现与否来判断入侵的,从这一点来看,它是一种直接的方法。3人侵检测系统模型
这里介绍的是通用人侵检测框架(CommonIn-trusionDetectionFramework-CIDF)模型。CIDF工作组是由TeresaLunt发起的,专门对入侵检测进行标准化工作的组织。主要对入侵检测进行标准化,开发一些协议和应用程序接口,以便入侵检测研究项目能够共享信息和资源,同样入侵检测系统组件也可以被其他系统应用。CIDF提出了一个入侵检测系统(IDS)的通用模型。它将入侵检测系统分为以下几个单元组件:
(1)事件产生器(Eventgenerators);(2)事件分析器(Eventanalyzers);(3)响应单元(Responseunits);(4)事件数据库(Eventdatabases)。
CIDF将入侵检测系统(IDS)需要分析的数据统称为事件(event),它可以是网络中的数据包,也可以是从系统日志等审计记录途径得到的信息。事件产生器即检测器,它是从整个计算环境中获得事件,并向系统的其他部分提此事件;事件分析器分析得到的数据,并产生分析结果;响应单元则是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击,也可以只是简单的报警;事件数据库是存放各种中间和最终数据的地方的总称,它可以是复杂的数据库,也可以简单的文本文件。4入侵检测过程分析
过程分为三部分:信息收集、信息和结果处理。
1)信息收集:入侵检测的第一步是信息收集,收集的内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络13志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。5入侵检测方法
由于入侵检测的最实质的特征就是一个分类器,即从大量数据中分辨出入侵和非入侵的信息。简言之即为二分类问题。这里将对入侵检测所采用的方法作一个简单介绍。I)统计方法(StatisticalApproaches)
统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先,检测器根据用户对象的动作为每个用户都建立一个用户特征轮廓表,通过比较当前特征与已建立的以前特征,从而判断是否是异常行为。用户特征轮廓表需要根据审计记录情况不断地加以更新。特征轮廓表包含许多衡量特征量,如CPU的使用,I/0的使用,一段时间内网络连接次数,审计记录的分布情况等。
2)专家系统(ExpertSystem)
这是误用检测常用的方法。早期的入侵检测系统多采用专家系统来检测系统中的入侵行为。通常入侵行为编码成专家系统的规则。每个规则具有“IF条件THEN动作”的形式;其中条件为审计记录中某些域的限制条件;动作表示规则被触发时入侵检测系统所采取的处理动作,结果可以是一些新证据的断言或用于提高某个用户行为的可疑度。这些规则既可识别单个审计事件,也可识别表示一个入侵行为的一系列事件。专家系统可以自动地解释系统的审计记录并判断他们是否满足描述人侵行为的规则。由于专家系统必须由安全专家用专家知识来构造,因此系统的能力受限于专家知识,很可能导致漏警率的提高。另外,规则的修改必须考虑规则集中不同规则的依赖性。
3)状态迁移分析(StateTransitionAnalysis)
状态迁移分析即将状态迁移图应用于入侵行为的分析。状态迁移法将入侵过程看作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态迁移的转换条件,即导致系统进人被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件,这些事件被集成于模型中,所以检测时需要一个个地查找审计记录。除了上述的方法外,应用到入侵检测领域的方法还有模式匹配(PatternMatching)、神经网络(NeuralNetwork)、数据挖掘(DataMining)、信息论测度(Information-Theo-reticMeasures)、免疫学(Im2munology)等o6结束语
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应人侵。在不断发展变化的网络环境下,入侵检测仍将面临巨大的挑战。从进攻角度来看,由于技术的进步,攻击者的目的、能力在不断提高,攻击工具也13益复杂化和多样化,攻击场景变得更加多样、复杂、细致、新颖。而恶意信息的加密传送以及13益增长的网络通信流量也是对入侵检测的考验。另外,入侵检测系统的自身的安全及入侵检测系统的评估标准的缺乏也是入侵检测领域所需解决的问题。
参考文献:
[1]PaulE.入侵检测使用手册[M].邓骑皓等译.北京:中国电力出版社,201*.8.
[2][美]RebeccaGurleyBace(著).陈明奇,吴秋新,张振涛,杨晓兵(译).入侵检测[M].北京:人民邮电出社,201*.
[3][美]TerryEscamilla(著).吴焱,等(译).入侵者检测[M].北京:电子工业出版社,1999.
扩展阅读:入侵检测技术研究综述
文章编号:1009-8119(201*)07-0038-03
入侵检测技术研究综述
宋普选应锦鑫
(北京理工大学计算机系,北京100081)
摘要对入侵监测技术和入侵监测系统进行了研究和阐述。入侵监测技术和入侵监测系统的概念,对入侵监测系统按获得数据的方法和监测方法进行了详细的分类,描述了一种入侵监测系统的系统模型,叙述了入侵监测的技术途径,介绍了对入侵监测系统面临的问题和发展趋势。
关键词入侵监测,特征监测,异常监测
ASummaryofIntrusionDetectionTechnology
SongPuxuanYingJinxin
(Dept.ofComputerScience,BeijingInstituteofTechnology,Beijing10081,China)
AbstractThispaperdescribestheresearchofIntrusionDetectiontechnologyandIntrusionDetectionSystem.TheconceptandhistoryofIntrusionDetectionisfirstintroduced,thenaclassificationofIDSispresentedbasedontwomethods.NextthesystemmoduleofIDSisexplained,andthetechnicalapproachesaredetailedanalyzed.FinallythechallengeandfuturetrendofIDSisdiscussed.
KeywordsIntrusiondetection,Signature-baseddetection,Anomalydetection
随着网络技术快速发展和网络应用环境不断普及的同时,安全问题也越来越突出,引起各界关注。由于TCP/IP协议族本身缺乏相应的安全机制,加上各种操作系和应用软件存在各种漏洞,使得整个网络的安全问题不可避免。
现有的安全机制通过访问控制,例如口令和防火墙技术,来保护计算机和网络不受非法和未经授权用户的使用。然而,如果这些访问措施被泄露或者被绕过,则可能导致巨大的损失和系统运行的崩溃。在传统的加密和防火墙技术已不能完全满足安全需求的同时,入侵检测技术作为一种新的安全手段,正越来越受到重视。
1.入侵检测(IntrusionDetection)的概念
1980年,Anderson首次提出了入侵检测的概念。他将入侵行为划分为外部闯入、内部授权、用户的越权使用和滥用等三种类型,并提出用审计追踪监视入侵威胁。1987年,Denning首次提出异常检测抽象模型,将入侵检测作为一种计算机系统的安全防御措施。美国国际计算机安全协会(ICSA)对入侵检测的定义是:入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
入侵检测具有监视分析用户和系统的行为、审计系统配置及漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集与系统相关的补丁、审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员比较有效地监视、审计、评估自己的系统。
进行入侵检测的软件和硬件的组合就是入侵检测系统。入侵检测系统(IntrusionDetectionSystem)是在一个计算机系统和网络上实时的入侵检测、报警、响应和防范系统。IDS用来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部用户的越权非法行动。
2.入侵检测系统的分类
2.1按获得原始数据的方法分类
此种分类方法可以将入侵检测系统分为基于网络的入侵检测系统、基于主机的入侵检测系统、分布式入侵检测系统和基于应用的入侵检测系统。
(1)基于主机的入侵检测系统
基于主机的入侵检测出现在80年代初期,入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。
现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监测系统、事件和WindowNT下的安全记录以及UNIX环境下的系统记录。当有文
件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。
基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件入侵检测的一个常用方法,是通过定期检查校验进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。
(2)基于网络的入侵检测系统
基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监测并分析通过网络的所有通信业务。它的攻击辨识模块通常使用四种技术来识别攻击标志。四种技术分别是模式、表达式或字节匹配,频率或穿越阀值,次要事件的相关性和统计学意义上的非常规现象检测。一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。基于网络的IDS有许多仅靠基于主机的入侵检测法无法提供的功能。
(3)分布式入侵检测系统
基于网络的入侵检测系统和基于主机的入侵检测系统都有不足之处,单纯使用一类产品会造成主动防御体系不全面。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系。综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。这就是分布式入侵检测系统,它能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构,由多个部件组成。
(4)基于应用的入侵检测系统
基于应用的监控技术的主要特征是使用监控传感器在应用层收集信息。由于这种技术可以更准确地监控用户某一应用的行为,所以这种技术在日益流行的电子商务中也越来越受到注意,其缺点在于有可能降低技术本身的安全。
根据检测方法可以将入侵检测系统分为特征检测和异常检测两种。
特征检测(Signature-baseddetection)又称Misusedetection,这种检测方法假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。首先要定义违背安全策略的事件特征,如网络数据包的某些头信息。检测主要判别所搜集到的数据特征是否在所收集到的入侵模式库中出现。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象,又不会将正常的活动包含进来。
异常检测(Anomalydetection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。先定义一组系统“正常”情况的阀值,如CPU利用率、内存利用率、文件校验和等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何分析系统运行情况。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
两种检测技术的方法及所得出的结论有非常大的差异。基于特征的检测技术的核心是维护一个知识库。对于已知得攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以判别更广泛、甚至未发觉的攻击。如果条件允许,两者结合的检测会达到更好的效果。
另外,入侵检测系统还有其他一些分类方法。如根据布控位置可分为基于网络边界(防火墙、路由器)的监控系统、基于网络的流量监控系统以及基于主机的审计追踪监控系统;根据建模方法可分为基于异常检测的系统、基于行为检测的系统、基于分布式免疫的系统等。
2.2按检测方法的分类
3.入侵检测系统模型
目前,通用入侵检测架构(CIDF)组织和IETF都试图对入侵检测系统进行标准化。CIDF阐述了一个入侵检测系统的通用模型,将入侵检测系统分为4个组件:事件产生器、事件分析器、响应单元及事件数据库。CIDF将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强
烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
在其他文章中,经常用数据采集部分(探测器)、分析部分(分析器)和控制台部分(用户接口)来分别代替
事件产生器、事件分析器和响应单元这些术语。
此模型综合应用基于主机和基于网络的两方面技术,对来自外部的网络攻击和内部的滥用行为同时进行检测。模型中主要包括四个模块:网络数据截获模块、主机检测模块、网络检测模块和RS模块。网络数据截获模块抓取进入PC的网络数据,主要有数据包的链路头信息、TCP/IP的报头信息以及网络会话的状态信息等。主机检测模块则通过对本地主机相关文件的扫描或网络使用状况的统计,加上对审计记录的分析来检测PC上是否发生了入侵活动。网络检测模块的主要功能是通过分析网络数据包的相关信息来判定是否有入侵行为要发生。RS模块则根据检测模块的检测结果采取相应的措施,如发出警报消息、断开网络连接等。
4.入侵检测的技术途径
4.1信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点收集信息。入侵检测利用的信息一般来自以下四个方面。
系统日志:黑客经常在系统日志中留下踪迹,充分利用系统日志是检测入侵的必要条件。日志文件中记录了各种行为类型,每种类型又包含不同的信息,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
目录及文件中的异常改变:网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。
程序执行中的异常行为:每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望的行为可能表明黑客正在入侵该系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。
物理形式的入侵信息:这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。4.2数据分析
一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
(1)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该方法的优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟,检测准确率和效率都相当高。该方法存在的弱点是需要不断的升级以对付不断出现的攻击手法,不能检测到从未出现过的攻击手段。
(2)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法。
(3)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻
击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。
5.入侵检测系统的挑战及发展趋势
5.1入侵检测技术面临的挑战
首先是攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法。入侵检测系统必须不断跟踪最新的安全技术,才能不致被攻击者超越。
恶意信息采用加密的方法传输。网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过入侵检测系统的检测。
不能知道安全策略的内容。必须协调、适应多样性的环境中的不同安全策略。网络及其设备越来越多样化,入侵检测系统要能有所定制以更适应多样的环境要求。
对入侵检测系统自身的攻击。入侵检测系统本身也往往存在安全漏洞。大量的误报和漏报使得发现问题的真正所在非常困难。
高速网络技术,尤其是交换技术以及加密信道技术的发展,使得通过共享网段侦听的网络数据采集方法显得不足,而巨大的通信量对数据分析也提出了新的要求。
5.2入侵检测系统的发展趋势
当前入侵检测系统主要发展方向可以概括为三个方向。
大规模分布式入侵检测:第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
智能化入侵检测:即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统来构建入侵检测系统也是常用的方法,应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。
全面的安全防御方案:使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
参考文献
1唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,201*
2吕慧勤,杨义先.一种基于CORBA技术的分布式入侵检测系统[J].计算机工程与应用,201*3寇芸,宋鹏鹏,王育民.入侵检测系统与PC安全的研究[J].计算机工程,201*4张杰,戴英侠.入侵检测系统技术现状及其发展趋势[EB/OL].c144.net
友情提示:本文中关于《入侵检测技术研究概述》给出的范例仅供您参考拓展思维使用,入侵检测技术研究概述:该篇文章建议您自主创作。
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
公文素材库友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.bsmz.net Corporation, All Rights Reserved 共享时代 共享你我他 版权所有