入侵檢測技術現(xiàn)狀發(fā)展

1、淺析入侵檢測技術現(xiàn)狀發(fā)展一、現(xiàn)在網(wǎng)絡安全隱患 隨著計算機技術的發(fā)展在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡連接的安全問題也日益突出，很多組織正在致力于提出更多的更強大的主動策略和方案來增強網(wǎng)絡的安全性，然而另一個更為有效的解決途徑就是入侵檢測。在入侵檢測之前，大量的安全機制都是根據(jù)從主觀的角度設計的，他們沒有根據(jù)網(wǎng)絡攻擊的具體行為來決定安全對策。因此，它們對入侵行為的反應非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡行為的變化來及時地調(diào)整系統(tǒng)的安全策略。而入侵檢測正是根據(jù)網(wǎng)絡攻擊行為而進行設計的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學習和分析入侵手段，及時地

2、調(diào)整系 統(tǒng)策略以加強系統(tǒng)的安全性。 二、入侵檢測的定義 入侵檢測是從系統(tǒng)(網(wǎng)絡)的關鍵點采集信息并分析信息，察看系統(tǒng)(網(wǎng)絡)中是否有違法安全策略的行為，保證系統(tǒng)(網(wǎng)絡)的安全性，完整性和可用性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。 三、入侵檢測的系統(tǒng)功能構成 一個入侵檢測系統(tǒng)的功能至少包含事件提取、入侵分析、入侵響應和遠程管理四部分功能。 入侵分析的任務就是在提取到的運行數(shù)據(jù)中找出入侵的痕

3、跡，將授權的正常訪問行為和非授權的不正常訪問行為區(qū)分開，分析出入侵行為并對入侵者進行定位。 入侵響應功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應。 由于單個入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構，多個檢測單元運行于網(wǎng)絡中的各個網(wǎng)段或系統(tǒng)上，通過遠程管理功能在一臺管理站點上實現(xiàn)統(tǒng)一的管理和監(jiān)控。四、入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)。 1.基于網(wǎng)絡的入侵檢測系統(tǒng) 基于網(wǎng)絡的入侵檢測系統(tǒng)通過網(wǎng)絡監(jiān)視來實現(xiàn)數(shù)據(jù)提取。在internet中，局域網(wǎng)普遍采用ieee 802.3協(xié)議。該協(xié)

4、議定義主機進行數(shù)據(jù)傳輸時采用子網(wǎng)廣播的方式，任何一臺主機發(fā)送的數(shù)據(jù)包，都會在所經(jīng)過的子網(wǎng)中進行廣播，也就是說，任何一臺主機接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機接收。在正常設置下，主機的網(wǎng)卡對每一個到達的數(shù)據(jù)包進行過濾，只將目的地址是本機的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū)，而將其他數(shù)據(jù)包丟棄，因此，正常情況下網(wǎng)絡上的主機表現(xiàn)為只關心與本機有關的數(shù)據(jù)包，但是將網(wǎng)卡的接收模式進行適當?shù)脑O置后就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地是否是該主機。網(wǎng)卡的這種接收模式被稱為混雜模式，目前絕大部分網(wǎng)卡都提供這種設置，因此，在需要的時候，對網(wǎng)卡進行合理的設

5、置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從而實現(xiàn)網(wǎng)絡監(jiān)視的功能。在其他網(wǎng)絡環(huán)境下，雖然可能不采用廣播的方式傳送報文，但目前很多路由設備或交換機都提供數(shù)據(jù)報文監(jiān)視功能。 2.基于網(wǎng)絡的入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng)將檢測模塊駐留在被保護系統(tǒng)上，通過提取被保護系統(tǒng)的運行數(shù)據(jù)并進行入侵分析來實現(xiàn)入侵檢測的功能。 基于主機的入侵檢測系統(tǒng)可以有若干種實現(xiàn)方法： 檢測系統(tǒng)設置以發(fā)現(xiàn)不正當?shù)南到y(tǒng)設置和系統(tǒng)設置的不正當更改對系統(tǒng)安全狀態(tài)進行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。 基于主機日志的安全審計，通過分析主機日志來發(fā)現(xiàn)入侵行為?；谥鳈C的入侵檢測系統(tǒng)具有檢測效率高，分析代價小，分析速度快的特點，能夠迅速并準

6、確地定位入侵者，并可以結(jié)合操作系統(tǒng)和應用程序的行為特征對入侵進行進一步分析。目前很多是基于主機日志分析的入侵檢測系統(tǒng)?；谥鳈C的入侵檢測系統(tǒng)存在的問題是：首先它在一定程度上依賴于系統(tǒng)的可靠性，它要求系統(tǒng)本身應該具備基本的安全功能并具有合理的設置，然后才能提取入侵信息；即使進行了正確的設置，對操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時地將系統(tǒng)日志抹去，從而不被發(fā)覺；并且主機的日志能夠提供的信息有限，有的入侵手段和途徑不會在日志中有所反映，日志系統(tǒng)對有的入侵行為不能做出正確的響應，例如利用網(wǎng)絡協(xié)議棧的漏洞進行的攻擊，通過ping命令發(fā)送大數(shù)據(jù)包，造成系統(tǒng)協(xié)議棧溢出而死機，或是利用arp欺騙

7、來偽裝成其他主機進行通信，這些手段都不會被高層的日志記錄下來。在數(shù)據(jù)提取的實時性、充分性、可靠性方面基于主機日志的入侵檢測系統(tǒng)不如基于網(wǎng)絡的入侵檢測系統(tǒng)。 五、入侵檢測技術的發(fā)展方向 近年對入侵檢測技術有幾個主要發(fā)展方向: (1)分布式入侵檢測與通用入侵檢測架構 傳統(tǒng)的ids一般局限于單一的主機或網(wǎng)絡架構，對異構系統(tǒng)及大規(guī)模的網(wǎng)絡的監(jiān)測明顯不足。同時不同的ids系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要分布式入侵檢測技術與通用入侵檢測架構。 (2)應用層入侵檢測 許多入侵的語義只有在應用層才能理解，而目前的ids僅能檢測如web之類的通用協(xié)議，而不能處理如lotus notes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。許多基于客戶、服務器結(jié)構與中間件技術及對象技術的大型應用，需要應用層的入侵檢測保護。 (3)智能的入侵檢測 入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡與遺傳算法在入侵檢測領域應用研究，但是這只是一些