入侵检测技术的发展方向

目录1简介11.1入侵检测技术的原因11.2入侵检测系统增长22入侵检测定义和分类32.1入侵检测定义32.2入侵检测技术分析42.3入侵检测分类53常见的入侵检测技术方法63.1神经网络异常检测63.2概率统计异常检测73.3专家系统误用检测73.4基于模型的入侵检测74入侵检测技术的发展方向74.1分布式协作引擎，联合阻力84.2智能入侵检测84.3分布式入侵检测技术和通用入侵检测技术体系结构94.4应用层入侵检测技术94.5入侵检测技术评估方法94.6结合网络安全技术104.7全面安全防御方案10结论11参考文献12计算机网络入侵检测技术研究引言11.1入侵检测技术的原因随着计算机网络技术的快速发展和使用以及计算机网络用户数量的增加如何有效地保证网络上信息的安全成为计算机网络的核心技术到目前为止，我们已开发了多种安全机制，如用户身份验证和身份验证、访问控制、数据加密、数据备份等，以保护计算机网络。但是，这些安全机制不再满足当前网络安全的需要。网络入侵和攻击现象仍然屡见不鲜。特别是电子商务的应用，解决网络安全问题迫在眉睫，采取了技术、管理等多方面的综合措施，将信息和网络的安全作为世界各国计算机技术人员的共同目标。为了实现计算机和internet的安全，传统的安全防御手段(如加密、身份验证、访问控制等)暴露了很多缺陷或漏洞。入侵检测责任是信息和网络安全中出现的关键技术之一。入侵是故意试图未经授权地访问信息或篡改信息，不能信任或使用系统，即破坏资源的机密性、完整性和可用性的行为。其特点是，不分时空，攻击手段隐蔽，更加复杂，内部犯罪连接不断。入侵检测是动态保护功能，是网络安全的新解决策略。引入入侵检测技术相当于在计算机系统中引入了闭环安全策略。计算机的多个检测系统对安全策略进行反馈，及时修改，大大提高了系统的安全性。1.2入侵检测系统增长20世纪90年代中期，业务入侵检测产品首次出现，1994年，第一个入侵检测产品ASIM问世。到了1997年，Cisco将网络入侵检测集成到其路由器设备中，同年，ISS发布了Realsecure，入侵检测系统正式进入主流网络安全产品阶段。在这个时期，入侵检测通常被认为是对防火墙的补充，在这个阶段，用户意识到防火墙只能防御4层以下的攻击，对基于数据的攻击或被称为深度攻击的威胁无能为力。供应商常用的示例包括建筑物安全性和闭路电视系统，防火墙对应于安全性，入侵检测对应于绕过入侵检测系统将捕获的防火墙的攻击检测设备(如果您想“作恶”)。然后在20001-2003年间，红色弦、宁达、冲击波、冲击波扩散。此蠕虫大部分使用正常端口，因此防火墙无法控制和检索蠕虫的传播，除非明确需要使用此端口的服务。相反，入侵检测产品可以检测此蠕虫使用的攻击代码(即，上述滥用检测，针对漏洞的攻击代码与病毒特性相结合，使其成为事件特征，如果发现此类事件发生，则可以判断蠕虫的发生)。)、防火墙、防病毒和被称为“网络安全的三大要素”的入侵检测。2入侵检测定义和分类2.1入侵检测定义入侵检测技术是安全审计的关键技术之一，是网络安全保护的重要组成部分。入侵检测技术是为维护计算机系统安全而设计和配置的，能够及时发现和报告系统未经授权或异常现象的技术，是用于检测计算机网络中安全策略违规的技术。收集和分析有关网络行为、安全日志、审计数据、其他网络上可用的信息以及计算机系统上多个关键点的信息，以检测网络或系统上是否存在安全策略违规和攻击迹象。入侵检测是一种主动的安全保护技术，它为内部攻击、外部攻击和故障提供实时保护，在网络系统面临危险之前进行阻止并相应地入侵。违反安全政策是对非法用户的违反。滥用合法用户的违法行为。入侵检测是通过监控、分析用户和系统活动等活动实现的。系统建设和脆弱性审计；掌握应对一直攻击的活动模式，向相关人员发出警报。异常行为模式的统计分析；评估重要系统和数据文件的完整性。识别作业系统的稽核历程档管理，以及使用者违反安全原则的行为。入侵检测的原理如图1所示。图1入侵检测原理入侵检测技术允许在对系统的入侵攻击发生之前检测到它，并使用警报和保护系统驱逐入侵攻击。在入侵攻击过程中，可以减少入侵攻击造成的损失。收集入侵攻击后入侵攻击的信息，并作为防止系统的知识输入知识库内，提高系统的预防能力。2.2入侵检测技术分析入侵分析的任务是在提取的庞大数据中寻找入侵的痕迹。入侵分析过程需要将提取的事件与入侵检测技术规则进行比较，以发现入侵行为。另一方面，入侵检测技术系统为了获得足够的入侵证据，需要提取尽可能多的数据，而由于入侵行为的急剧变化，判断入侵的规则变得越来越复杂，为了保证入侵检测技术的有效性和满足实时要求，入侵分析必须经过系统性能和检测技术能力之间的折衷，合理设计分析策略，牺牲部分检测技术能力，系统可能稳定可靠，保持快速响应速度。分析策略是入侵分析的核心，系统检测技术能力在很大程度上取决于分析策略。在实现中，分析策略通常定义为几个完全独立的检测技术规则。基于网络的入侵检测技术系统通常使用消息的模式匹配或模式匹配序列定义规则，并将检测技术时接收的消息与模式匹配序列进行比较，以根据比较的结果确定是否存在异常网络行为。这样能否检测到入侵主要取决于该入侵的过程或主要功能是否能映射到基于网络消息的匹配模式序列。有些入侵行为可以轻松映射，如ARP欺骗，但有些入侵行为很难映射，如从网络下载病毒。对于某些入侵行为，即使理论上可以映射，也是不可行的。例如，有一种网络行为，需要经过非常复杂的阶段或长的过程才能表示入侵特性，这实际上是不可能的，因为模式匹配顺序很大，需要在匹配中集成很多数据消息。有些入侵需要多层协议分析，或者因为上下文关系强，检测技术需要很多处理能力，所以实现也有困难。2.3入侵检测分类通过对传统入侵检测技术方法的研究，可以从以下多种角度对入侵检测技术进行分类：(1)遵循测试数据源。基于主机的入侵检测技术有三类。基于网络的入侵检测技术基于主机和网络的入侵检测技术。这三种入侵检测技术各有优缺点，可以互补，一种后一代入侵检测系统必须是同时包含基于主机和基于网络的方法的分布式系统。(2)根据考试技术。分为异常检测技术和误用检测技术。例外检测技术也称为基于行为的入侵检测技术，假设所有入侵动作都有例外特性。技术的误用，也称为基于知识的入侵检测技术，通过攻击模式、攻击签名的形式表示入侵行为。(3)根据工作方式。可以分为离线测试和在线测试。离线侦测：非即时作业系统，可对稽核事件进行后续分析，以侦测入侵活动。在线监控：包含实时网络数据包分析和实时主机审核分析的实时在线检测系统。(4)根据系统网络体系结构。几种类型是检测技术、分布式检测技术和分层检测技术。将分析结果传递到接近的上层，上层监控系统只分析下一层的分析结果。分层检测系统通过分析分层数据提高了系统升级的可能性。3常见的入侵检测技术方法目前常用的入侵检测技术方法比较多，下面有一些说明。3.1神经网络异常检测这种方法具有对用户行为的自我学习和适应性，并具有根据实际监控的信息有效处理和判断入侵可能性的能力。通过对以下事件错误率的预测，在一定程度上反映了用户行为的例外程度：目前这种方法使用比较普遍，但这种方法还不成熟。还没有出更精致的产品。3.2概率统计异常检测该方法对用户过去的行为建模，并基于初始证据或模型。审计系统实时检测用户的系统使用情况，基于存储在系统内部的用户行为概率统计模型进行检测，如果发现可疑的用户行为，则跟踪和监视该用户的行为，并记录该用户的行为。3.3专家系统误用检测应对特定人员的入侵。多使用专家系统进行测试。在专家测试系统实施中，安全专家的知识通过If-Then结构(也可以是复合结构)的规则来表示。专家系统的部署取决于知识库的完整性，知识库的完整性取决于审计记录的完整性和实时性。3.4基于模型的入侵检测入侵者经常在攻击一个系统时采用特定的行为程序，这构成了具有特定行为特性的模型，可以根据该模型所表示的攻击意图的行为特征实时检测恶意攻击尝试。4入侵检测技术的发展方向随着入侵检测技术的发展，您可以看到一些地下组织致力于研究如何绕过IDS或攻击IDS系统。高速网络，特别是交换技术的发展和通过加密通道的数据通信，使通过共享网段接收的网络数据收集方法显得不足，大量流量对数据分析提出了新的要求。随着信息系统对一个国家社会生产和国民经济的影响越来越重要，信息战争已经受到很多国家的关注。信息战的主要攻击“武器”之一是网络的入侵技术。信息战的防御主要包括“保护”、“检测技术”和“响应”，入侵检测技术是“检测技术”和“响应”的必要要素。近年来入侵检测技术的主要发展方向是：4.1分布式协作引擎，联合入侵预防特别是随着分布式、协作、复杂模式攻击的出现和发展，缺乏协作的传统单入侵检测技术已不能满足需要，需要适当的协作机制。入侵检测信息的合作和联合处理是必要的。4.2智能入侵检测智能化的方法是利用智能化的方法和手段进行入侵检测。现阶段常用的方法有神经网络、遗传算法、模糊技术、免疫原理等，这些方法经常用于识别和一般化入侵特征。更一致的解决方案需要高效、通常意义上的入侵检测系统与具有智能检测功能的检测软件或模块结合使用。另外，还需要通过对智能入侵检测技术的进一步研究，提高自学和适应性。4.3分布式入侵检测技术和通用入侵检测技术体系结构传统的IDS通常仅限于单个主机或网络体系结构，对异构系统和大型网络的监视明显不足。同时，由于不同IDS系统之间没有协作功能，因此解决此问题需要分布式入侵检测技术和通用入侵检测技术体系结构。CIDF、GrIDS跟踪和分析部署系统入侵，旨在构建通用IDS体系结构和通信系统；EMER-ALD在大型网络和复杂环境中实施入侵检测技术。4.4应用层入侵检测技术许多入侵的含义只能在应用层理解，但当前IDS只能检测一般协议，如web，而不能检测其他应用程序系统(如LotusNotes、数据库系统等)。许多基于客户、服务器结构和中间件技术和对象技术的大型应用程序需要应用层入侵检测技术保护。斯蒂尔曼等人开始了CORBA的IDS研究。4.5入侵检测技术评估方法必须评估各种IDS系统，包括IDS检测技术范围、系统资源占用情况、IDS系统本身的可靠性和健壮性。设计典型的入侵检测技术测试和评估方法和平台，使对各种IDS系统的检测技术成为当前IDS的另一个重要研究和开发领域。4.6结合网络安全技术将防火墙、PKIX和安全电子交易设置等新的网络安全与电子商务技术相结合，提供完整的网络安全。4.7全面安全防御方案使用安全工程风险管理的思路和多种方法处理网络安全问题，将网络安全作为整体工程处理。全方位评估网络(包括管理系统、网络体系结构、数据加密、防火墙、病毒保护和入侵检测)，然后设计和实施可行的解决方案。结束语随着网络的进一步发展和黑客手段的多样化，网络安全问题日益突出，入侵检测技术作为保护计算机系统安全的重要组成部分，受到越来越多人的关注和关注，在各种网络环境中已经发挥了关键作用。本文总结了入侵检测技术的定义、工作原理和分类、入侵检测技术的方法等入侵方法。并提出了今后的发展趋势。目的是为了进一步研究，启发和参考。预计入侵检测技术的发展对网络应用具有重要的意义和深远的影响，而入侵检测技术未来的发展方向将主要是智能分布式入侵检测系统、独立知识产权的研究和开发入侵检测系统，这将成为我国信息安全领域的重要课题。参考文献1王艳华、马志强、网络安全中隐藏的暴露入侵检测技术的应用与研究。信息技术. 2009，6: 41 _ 44。2回顾了夏雨、朗荣