計算機網絡入侵檢測技術分析

1、信息安全技術概 論論文題目：計算機網絡入侵檢測技術分析班 級：09通信1班姓 名：陳進源學 號：0902201002指導老師：羅紅葉2012年 11 月 17 日計算機網絡入侵檢測技術分析09通信一班2號 陳進源【摘 要】：計算機網絡發(fā)展至今，改變了以往以單機為主的計算模式，進入網絡互連的開放模式。技術是一把雙刃劍，網絡技術的發(fā)展在給我們帶來便利的同時也帶來了巨大的安全隱患，尤其是Internet和企業(yè)Intranet的飛速發(fā)展對網絡安全提出了前所未有的挑戰(zhàn)，網絡安全問題變得尤為重要。當前網絡安全領域的一個十分重要而迫切的問題是要設計安全措施來防范對系統(tǒng)資源和數據未經授權的訪問。然而，目前要完

2、全避免網絡安全事件的發(fā)生是不太現實的，這就要求網絡管理員能隨時監(jiān)測網絡，盡力發(fā)現和覺察入侵企圖，以便采取有效的措施來堵塞漏洞、修復系統(tǒng)以及追蹤入侵，即入侵檢測系統(tǒng)（IDS，Intrusion DetectionSystem）。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。【關鍵詞】：入侵檢測、計算機網絡、發(fā)展方向當前計算機以及網絡的大范圍使用給我們的生活帶來了極大的方便，但是隨著網絡的發(fā)展，網上黑客以每年10倍的增長速度加大網絡攻擊活動。因此，計算機網絡和其他一切信息設施的安全保護在如今已

3、經成為了我們急需解決的重要問題。防火墻是目前我國的一種非常重要的安全保護方式，它是對于一些網絡的非法訪問產生控制作用，能夠很好的限制通過的數據流，從而使得內部網的拓撲結構更好的屏蔽掉，其二也要對外部的危險站點進行屏蔽，防止外部的非法訪問現象。可是因為性能受到了非常大的限制，因此在很大程度上防火墻不能夠很好的提供檢測，為了能夠有效補救防火墻在此方面的不足，當前我國已經適應了入侵檢測IDS技術。入侵檢測對防火墻功能進行了合理補充，是在通過防火墻之后的第二道對安全進行檢測的關卡。1、入侵檢測定義入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網絡行為、安全日志、

4、審計 入侵檢測圖片(1)數據、其它網絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，檢查網絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測。入侵檢測通過執(zhí)行以下任務來實現：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數據文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。2、入侵檢測必

5、要性在網絡連接高速發(fā)展的當今社會，尤其是處于Internet的大范圍開放并且金融領域進行網絡接入，系統(tǒng)遭到入侵攻擊的可能系數越來越高，這些危險都是對操作系統(tǒng)進行挖掘并且針對服務程序的缺陷以及弱點進行攻擊存在的，安全的系統(tǒng)要滿足用戶對系統(tǒng)可用性、完整性以及保密性等最基本的要求。所以入侵檢測技術的存在是非常必要的，它不但對已知的入侵行為具有較高的發(fā)現能力，還對未知的入侵行為同樣有非常高的發(fā)現力，在對入侵手段進行了大量研究之后，我們可以更加及時的對系統(tǒng)相應策略進行有效調整，極大地增加了系統(tǒng)安全性。3、入侵檢測步驟分析我們可以說，入侵檢測為網絡安全很好的提供了實時監(jiān)測，并且能夠依據檢測結果提出相關的防

6、護手段。而針對攻擊性的行為檢測則非常容易被發(fā)現，可以對于已經完成安檢的嫌疑者，更需要對信息系統(tǒng)安全進行檢測。步驟主要可以分為以下幾個方面：3.1 收集狀態(tài)、行為信息入侵檢測常常使用分布式結構，在網絡系統(tǒng)的不同關鍵點進行信息的收集工作，不但擴大了檢測的范圍，同時還能夠對各種采集點信息有效的分析，從而對是否存在入侵行為進行很好的判斷。入侵檢測使用的信息常常取自下面的4方面：物理形式入侵信息；在程序執(zhí)行過程中出現的不期望的行為；存在于目錄或者文件中的不希望出現的改動；來自系統(tǒng)或者網絡的日志。3.2 分析采集的信息一般來講，我們平時應用的分析方法主要有三種，分別為：完整性分析、統(tǒng)計分析、模式匹配。完整

7、性分析一般是對于被關注的對象和文件是否被改動進行檢測，這些包括了目錄和文件屬性。應用這種方法能夠很好的防范特洛伊木馬的攻擊作用。統(tǒng)計分析的方法是為系統(tǒng)的對象建立統(tǒng)計描述，對使用的測量屬性統(tǒng)計。這些測量的平均值會與網絡行為比較，假如發(fā)現了觀察值超過正常值，那么就可能會存在入侵行為。在閾值的選擇上，此種方法是沒有太大優(yōu)點的，閾值太大可能對部分入侵事件進行漏報，太小的話則可能有錯誤的入侵報告產生。模式匹配是將收集到的信息及其系統(tǒng)誤用模式進行對比，從而更好及時的發(fā)現安全問題。4、入侵檢測分類及其所存在的問題由于檢測方法存在著區(qū)別，所以入侵檢測被分成了異常檢測、誤用檢測與特征檢測兩種。4.1 異常檢測異

8、常檢測(Anomaly detection) 的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正?；顒拥摹盎顒雍啓n”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統(tǒng)計規(guī)律時，認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。4.2 誤用檢測我們又將這種方法叫做知識檢測。它的檢測前提為：設置所有具備嫌疑的入侵行為全部能夠被識別出來，且能夠很好的表現。首先，將已經知道的攻擊方式簽名，再依據提前設置好的簽名判斷是否真正出現了攻擊簽名，從而判斷出是否發(fā)生攻擊入侵行為。此類常用法有：根據鍵盤

9、監(jiān)控誤用檢測法、條件概率檢測法、狀態(tài)遷移檢測法等。攻擊簽名是否正確是誤用檢測能否成功的關鍵問題。利用此種方式可以很好將信息與已知攻擊簽名對比，將對安全產生威脅的行為很好的檢測出來。因為只是單純的對于數據收集，因此系統(tǒng)負擔很小，且此種方法與病毒檢測系統(tǒng)較為相似，因此它的準確率非常高。但是這種方法也存在著很大的問題，例如對先前不知的入侵行為不可以檢測，因為對于不同的操作系統(tǒng)有著不同的攻擊方式，所以很難將模式庫統(tǒng)一起來。4.3特征檢測特征檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體

10、活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。5、入侵檢測出現的諸多問題及其發(fā)展趨勢分析5.1 問題分析1）從目前的形勢來看，入侵檢測系統(tǒng)的檢測速度要明顯小于網絡的傳輸速度，這樣就使得漏報率非常高，甚至出現了誤報率。2）其他網絡安全產品與入侵檢測產品很多都結合在了一起，在工作的過程中能夠很好的做到信息交換，在協(xié)作過程中能夠及時發(fā)現攻擊行為并將其很好的阻止。3）因為屬于網絡性質的入侵檢測系統(tǒng)對于加密保護及其交換網絡無法檢測，且它自身的構建也經常受到攻擊。4）存在于檢測系統(tǒng)內的體系結構問題。5

11、.2 發(fā)展方向一般來講，因為信息系統(tǒng)對國民經濟以及社會生產的影響作用越來越大，而且目前攻擊者的手段和工具也正在向著復雜化發(fā)展，各個國家之間的戰(zhàn)爭也逐步向信息方面戰(zhàn)爭的趨勢發(fā)展。主要有如下幾點入侵檢測方式：5.2.1 通用和分布式入侵檢測架構因為入侵檢測系統(tǒng)一直都單純的限制在了主機架構上，也有一些是在網絡上，使得大規(guī)模監(jiān)測存在著非常大的缺陷，且對于不同的網絡入侵檢測系統(tǒng)無法有效的協(xié)同工作，基于出現的這些問題，有關部門使用了通用和分布式入侵檢測架構。5.2.2 應用層入侵檢測一些入侵語義在應用層面上非常容易被人們理解，可是目前的IDS只能對Web之類的協(xié)議有很好的檢測，對Lotus Notes等系

12、統(tǒng)無法進行有效處理。一些基于客服結構、中間技術和對象技術的應用一定要在應用層面上才能夠得到入侵檢測保護的。5.2.3 職能入侵檢測目前網絡入侵的方式變得逐步趨向多樣化，雖然目前出現了一些諸如遺傳算法、智能體等技術的使用，但是這些都是嘗試性工作，我們要對IDS的智能化做更深層次的分析，從而真正解決問題。5.2.4 入侵檢測評測法全部用戶都應該對于IDS系統(tǒng)評價，一般的評價指標為系統(tǒng)的監(jiān)測范圍、資源占用、系統(tǒng)自身可靠性等，之后設計出滿足廣大用戶的入侵檢測平臺，完成對于各種IDS的檢測工作。5.2.5 建立健全安全防范措施根據安全風險管理方式對網絡進行安全處理，我們將網絡安全的各項工作看成一個統(tǒng)一的

13、整體，通過病毒防護、網絡結構、加密通道、入侵檢測等進行系統(tǒng)、全面的評估，從而真正做到安全性。5.3 技術的進步從20世紀90年代到現在，入侵檢測系統(tǒng)的研發(fā)呈現出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。目前，SRI/CSL、普渡大學、加州戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面代表了當前的最高水平。我國也有多家企業(yè)通過最初的技術引進，逐漸發(fā)展成自主研發(fā)。6、小結隨著網絡應用的普及，網絡安全問題日益突出。由于傳統(tǒng)的基于防火墻、身份認證以及加密技術的網絡安全防御體系本身存在的缺陷和不足，使得入侵檢測技術成為當前網絡安全方面研究的熱點和重要

14、方向。但是，目前的入侵檢測技術還面臨著許多問題，主要問題是不斷增大的網絡流量對入侵檢測的實時性和數據處理性能提出的挑戰(zhàn)。因此，如何提高入侵檢測系統(tǒng)的檢測效率，降低檢測的誤報率和漏報率，是對入侵檢測技術研究的關鍵內容。本文從目前網絡安全的現狀入手，分析了當前所存在的一些網絡安全問題，并著重介紹了入侵檢測系統(tǒng)在動態(tài)的計算機系統(tǒng)安全理論模型中的重要性。通過對目前入侵檢測系統(tǒng)研究現狀及存在問題的分析,針對所存在問題的解決方法進行深入的研究。首先，介紹了入侵檢測系統(tǒng)的基本概念、檢測技術分類、檢測方法和系統(tǒng)檢測原理，并對各種檢測方法進行比較，分析其優(yōu)、缺點。接著，重點研究了模式匹配算法，對現有經典的各種算法進行了分析和比較，并給出了改進的算法，通過對改進的算法的性能分析和實驗測試的數據結果驗證了改進算法的優(yōu)化效果。最后，對系統(tǒng)規(guī)則庫進行了研究，針對目前系統(tǒng)規(guī)則庫所存在的問題，提出了對規(guī)則庫的改進方法，大大降低了檢測的誤報率和漏報率。并設計了一種基于調整規(guī)則庫和改進