入侵检测论文xxx20090 xx.doc

入侵检测技术论文课程名称： 入侵检测技术 论文题目： 入侵检测技术论文 X X： XXX系XX班（你话尼？） 专 业： 系统工程 年 级： 2009级 学 号： xxx20090xx 学生姓名： lei sh 入侵检测论文随着Internet高速发展，个人、企业以及政府部门越来越多地依靠网络传递信息, 然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。这学期我们开设的这门入侵检测技术课程无疑为我们了解这一热点问题提供了很好的认识途径和初步了解这一技术。在课程学习即将结束时，结合课堂学到的知识从以下几方面谈谈对入侵检测技术的认识：一、入侵检测系统的背景随着计算机网络的飞速发展，网络通信已经渗透到社会经济、文化和科学的各个领域；对人类社会的进步和发展起着举足轻重的作用，它正影响和改变着人们工作、学习和生活的方式。然而，网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。因此，研究各种切实有效的安全技术来保障计算机系统和网络系统的安全，已经成为刻不容缓的课题。但很多这些安全技术存在不少缺陷，而入侵检测技术是一种动态安全技术，它主动地收集包括系统审计数据，网络数据包以及用户活动状态等多方面的信息；然后进行安全性分析，从而及时发现各种入侵并产生响应。所以，入侵检测技术就此迅速发展起来了。二、入侵检测系统的概念、工作模式和组成构件（一）基本概念 入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。（二）工作模式入侵检测可分为实时入侵检测和事后入侵检测两种。 实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。（三）组成构件通用的入侵检测系统模型主要由以下几大部分组成：1.数据收集器（探测器）：主要负责收集数据。探测器的输入数据包括可能包含入侵行为线索的系统数据。比如说网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起来，然后发送到检测器进行处理。2.检测器（分析器或者引擎）：负责分析和检测入侵的任务，并发出警报信号。3.知识库：提供必须的数据信息支持。例如用户历史活动档案，或者是检测规则集合等。4.控制器：根据警报信号，人工或自动做出反应动作。另外，绝大多数的入侵检测系统都会包含一个用户接口组件，用于观察系统的运行状况和输出信号，并对系统进行控制。三、入侵检测系统弥补了防火墙的哪些不足 防火墙是要保护的网络或系统与外界之间的一道安全屏障。它通过加强网络间的访问控制，防止外部用户非法使用内部网的资源，从而达到保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取的目的。它规定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务，以及哪些外部服务可以被内部人员访问。但防火墙只是一种被动的防御技术，它无法识别和防御来自内部网络的滥用和攻击，比如内部员工恶意破坏、删除数据，越权使用设备，也不能有效防止绕过防火墙的攻击，比如公司的员工将机密数据用便携式存储设备随身带出去造成泄密，员工自己拨号上网造成攻击进入等。入侵检测技术作为一种主动防护技术，可以在攻击发生时记录攻击者的行为，发出报警，必要时还可以追踪攻击者。它既可以独立运行，也可以与防火墙等安全技术协同工作，更好地保护网络。四、入侵检测系统的分类以及各自的优缺点（一）按照信息源的分类从数据来源看，入侵检测通常可以分为两类：基于主机的入侵检测和基于网络的入侵检测。1基于主机的入侵检测系统优点：能确定攻击是否成功；监控更加细致；配置灵活；适应与加密和交换的环境；对网络不敏感。缺点：无法了解发生在下层协议的入侵活动；只能为单机提供安全防护；占用一定的主机资源，使服务器产生额外的开销；缺乏对平台的支持，可移植性差。2基于网络的入侵检测系统优点：检测速度快；能够监测到HIDS无法监测的入侵；入侵对象不容易销毁证据，被截取的数据包括入侵方法和定位入侵对象的信息；监测和响应性强，一旦发生入侵行为就立即终止攻击；与操作系统无关性。缺点：无法采集高速网络中的所有数据包；难以检测发生在应用层的攻击；对已加密传输方式进行的入侵无能为力；只检查它直接连接的网络通信，精度差，在交换式网络环境下难以配置，防止入侵欺骗的能力较差。 （二）按照检测方法的分类从数据分析手段看，入侵检测通常可以分为两类：滥用入侵检测和异常入侵检测。1滥用入侵检测优点：采用特征匹配，滥用模式能明显降低错报率缺点：漏报率增加；攻击特征的细微变化，会使得滥用检测无能为力。2异常入侵检测优点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率；因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；同时系统能针对用户行为的改变进行自我调整和优化。缺点：随着检测模型的逐步精确，异常检测会消耗更多的系统资源。（三）其他的分类1根据时效性： 脱机分析：行为发生后，对产生的数据进行分析。 联机分析：在数据产生的同时或者发生改变时进行分析。2按系统各模块的运行方式1）集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。 优点： 不会降低目标机的性能；统计行为信息；多主机标志、用于支持起诉的原始数据。 缺点：不能进行实时检测；不能实时响应；影响网络通信量。2）分布式：系统的各个模块分布在不同的计算机和设备上。优点：实时告警；实时响应 缺点：降低目标机的性能；没有统计行为信息；没有多主机标志；没有用于支持起诉的原始数据；降低了数据的辨析能力；系统离线时不能分析数据五、具体的入侵检测系统及入侵检测具体应用（一）具体的入侵检测系统Cisco公司的Cisco Secure IDSCisco的Secure IDS（前身为Net Ranger）是传统的网络入侵检测系统，通常与硬件平台绑捆销售。Secure IDS系统分为3个基本组件：传感器、控制台和入侵检测系统模块。其中，最后的IDSM组件主要是指嵌入到各种Cisco网络硬件中的检测模块。一般的IDS组件是控制台和传感器，其中传感器又可分为主机和网络两种类型，控制台负责汇集各个传感器的报告，并对各个传感器进行配置和管理工作等。（二）入侵检测具体应用数据挖掘技术在入侵检测方面的应用数据挖掘是数据库中的一项技术，它的作用就是从大型数据集中抽取知识。对于入侵检测系统来说，也需要从大量的数据中提取出入侵的特征。因此就有学者将数据挖掘技术引入到入侵检测系统中，通过数据挖掘程序处理搜集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，这是一个自动的过程。数据挖掘方法的关键点在于算法的选取和建立一个正确的体系结构。六、入侵检测系统未来的发展趋势（一）IDS 现状误报漏报率太高: 各种检测方法都存在缺陷；没有主动防御能力:IDS技术是一种预设置式的工作方式，特征分析式工作原理。检测规则的更新总是落后于攻击手段的更新，所以这永远是亡羊补牢，被动防守；基于主机和基于网络的入侵检测系统采集、分析的数据不全面；入侵检测由各个检测引擎独立完成，中心管理控制平台并不具备检测入侵的功能，缺乏综合分析；（二）入侵检测系统发展方向在入侵检测技术发展的同时，入侵技术也在更新，攻击者将试图绕过入侵检测系统（IDS）或攻击IDS系统。交换技术的发展以及通过加密信道的数据通信使通过共享网段侦听的网络数据采集方法显得不足，而大通信量对数据分析也提出了新的要求。入侵技术的发展与演化主要反映在下列几个方面：（1）入侵的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。（2）入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。（3）入侵的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。（4）入侵技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDOS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。（5）攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。七、学习体会通过入侵检测技术课程的学习，我对入侵检测的概念、工作模式、组成构件和入侵检测系统的分类以及各自的优缺点等有了更加深入的了解和掌握，受益匪浅