入侵检测系统研究

迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS，能够同时分析来自主机系统日志和网络数据流，系统由多个部件组成，采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中，首先建立一个对过去各种入侵方法和系统缺陷知识的数据库，当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法，因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的，即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库，由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时，主动IDS会采用以下三种响应：收集辅助信息；改变环境以堵住导致入侵发生的漏洞；对攻击者采取行动（这是一种不被推荐的做法，因为行为有点过激）。被动响应IDS则是将信息提供给系统用户，依靠管理员在这一信息的基础上采取进一步的行动。
4      IDS的评价标准
目前的入侵检测技术发展迅速，应用的技术也很广泛，如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5]：（1）准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。（2）性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说，必须要求性能良好。（3）完整性。完整性是指IDS能检测出所有的攻击。（4）故障容错（fault tolerance）。当被保护系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功能。（5）自身抵抗攻击能力。这一点很重要，尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS，再实施对系统的攻击。（6）及时性（Timeliness）。一个IDS必须尽快地执行和传送它的分析结果，以便在系统造成严重危害之前能及时做出反应，阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面，还应该考虑以下几个方面：（1）IDS运行时，额外的计算机资源的开销；（2）误警报率／漏警报率的程度；（3）适应性和扩展性；（4）灵活性；（5）管理的开销；（6）是否便于使用和配置。
5      IDS的发展趋
随着入侵检测技术的发展，成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS（国际互联网安全系统公司）公司的RealSecure。目前较为著名的商用入侵检测产品还有：NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall－3等。国内的该类产品较少，但发展很快，已有总参北方所、中科网威、启明星辰等公司推出产品。
   人们在完善原有技术的基础上，又在研究新的检测方法，如数据融合技术，主动的自主代理方法，智能技术以及免疫学原理的应用等。其主要的发展方向可概括为：
（1）大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。
（2）宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。
（3）入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付训练有素的黑客的复杂的攻击。其次，系统的虚警率太高。最后，系统对大量的数据处理，非但无助于解决问题，还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
（4）与网络安全技术相结合。结合防火墙，病毒防护以及电子商务技术，提供完整的网络安全保障。
6      结束语
在目前的计算机安全状态下，基于防火墙、加密技术的安全防护固然重要，但是，要根本改善系统的安全现状，必须要发展入侵检测技术，它已经成为计算机安全策略中的核心技术之一。IDS作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术安全性的要求越来越高，入侵检测技术必将受到人们的高度重视。

 
参考文献：
[1] Anderson J P. Computer security threat monitoring and surveillance [P] . PA 19034,USA, 1980.4
[2]Denning D E .An Intrusion-Detection Model [A] . IEEE Symp on Security & Privacy[C] ,1986.118-131
[3] 张杰，戴英侠，入侵检测系统技术现状及其发展趋势[J]，计算机与通信，2002.6：28-32
[4] 曾昭苏，王锋波，基于数据开采技术的入侵检测系统[J]，自动化博览，2002,8:29-31
[5] 唐洪英，付国瑜，入侵检测的原理与方法[J]，重庆工学院学报，2002.4：71－73

上一页  [1] [2]