探析计算机入侵检测系统发展活动模式研究

1、探析计算机入侵检测系统发展活动模式研究摘要：近年来对电子商务教学的热切需求，更加激化了这 种入侵事件的增长趋向。由于防火墙只防外不防内，并且很 轻易被绕过，所以仅仅依靠防火墙的计算机系统已经不能对 付日益猖獗的入侵行为，对付入侵行为的第二道防线一一入 侵检测系统就被启用了。关键词；计算机入侵检测技术研究活动模式1、入侵检测系统(ids)概念1980年，james p. anderson第一次系统阐述了入侵检 测的概念，并将入侵行为分为外部渗透、内部渗透和不法行 为三种，还提出了利用审计数据监视入侵活动的思想1。即 其之后,1986年dorothy e. denning提出实时异常检测的概 念2

2、并建立了第一个实时入侵检测模型，命名为入侵检测专 家系统(ides), 1990年，l. t. heberlein等设计出监视网 络数据流的入侵检测系统，nsm ( network security monitor)o自此之后，入侵检测系统才真正发展起来。anderson将入侵尝试或威胁定义为摘要：潜在的、有预 谋的、未经授权的访问信息、操作信息、致使系统不可靠或 无法使用的企图。而入侵检测的定义为4摘要：发现非授权 使用计算机的个体(如“黑客”)或计算机系统的合法用户 滥用其访问系统的权利以及企图实施上述行为的个体。执行 入侵检测任务的程序即是入侵检测系统。入侵检测系统也可 以定义为摘要：检

3、测企图破坏计算机资源的完整性，真实性 和可用性的行为的软件。入侵检测系统执行的主要任务包括3摘要：监视、分析 用户及系统活动；审计系统构造和弱点；识别、反映已知进 攻的活动模式，向相关人士报警；统计分析异常行为模式； 评估重要系统和数据文件的完整性；审计、跟踪管理操作系 统，识别用户违反平安策略的行为。入侵检测一般分为三个 步骤摘要：信息收集、数据分析、响应。入侵检测的目的摘要：(1)识别入侵者；(2)识别入侵 行为；(3)检测和监视以实施的入侵行为；(4)为对抗入侵 提供信息，阻止入侵的发生和事态的扩大；2、入侵检测系统模型美国斯坦福国际探究所(sri)的d. e. denning于1986

4、 年首次提出一种入侵检测模型2,该模型的检测方法就是建 立用户正常行为的描述模型，并以此同当前用户活动的审计 记录进行比较，假如有较大偏差，则表示有异常活动发生。 这是一种基于统计的检测方法。随着技术的发展，后来人们 又提出了基于规则的检测方法。结合这两种方法的优点，人 们设计出很多入侵检测的模型。通用入侵检测构架(common intrusion detection framework 简称 cidf)组织,试图将 现有的入侵检测系统标准化，cidf阐述了一个入侵检测系统 的通用模型(一般称为cidf模型)。它将一个入侵检测系统 分为以下四个组件摘要：事件产生器(event generato

5、rs)事件分析器(event analyzers)响应单元(response units)事件数据库(event databases)它将需要分析的数据通称为事件，事件可以是基于网络 的数据包也可以是基于主机的系统日志中的信息。事件产生 器的目的是从整个计算机环境中获得事件，并向系统其它部 分提供此事件。事件分析器分析得到的事件并产生分析结 果。响应单元则是对分析结果做出反应的功能单元，它可以 做出切断连接、修改文件属性等强烈反应。事件数据库是存 放各种中间和最终数据的地方的通称，它可以是复杂的数据 库也可以是简单的文本文件。3、入侵检测系统的分类摘要现有的ids的分类，大都基于信息源和分析方

6、法。为了 体现对ids从布局、采集、分析、响应等各个层次及系统性 探究方面的新问题，在这里采用五类标准摘要：控制策略、 同步技术、信息源、分析方法、响应方式。按照控制策略分类控制策略描述了 ids的各元素是如何控制的，以及ids 的输入和输出是如何管理的。按照控制策略ids可以划分为, 集中式ids、部分分布式ids和全部分布式idso在集中式 ids中，一个中心节点控制系统中所有的监视、检测和报告。 在部分分布式ids中，监控和探测是由本地的一个控制点控 制，层次似的将报告发向一个或多个中心站。在全分布式ids 中，监控和探测是使用一种叫“代理”的方法，代理进行分 析并做出响应决策。按照同步

7、技术分类同步技术是指被监控的事件以及对这些事件的分析在 同一时间进行。按照同步技术划分，ids划分为间隔批任务 处理型ids和实时连续性idso在间隔批任务处理型ids中, 信息源是以文件的形式传给分析器，一次只处理特定时间段 内产生的信息，并在入侵发生时将结果反馈给用户。很多早 期的基于主机的ids都采用这种方案。在实时连续型ids中, 事件一发生，信息源就传给分析引擎，并且马上得到处理和 反映。实时ids是基于网络ids首选的方案。按照信息源分类按照信息源分类是目前最通用的划分方法，它分为基于 主机的ids、基于网络的ids和分布式idso基于主机的ids 通过分析来自单个的计算机系统的系

8、统审计踪迹和系统日 志来检测攻击。基于主机的ids是在关键的网段或交换部位 通过捕捉并分析网络数据包来检测攻击。分布式ids,能够 同时分析来自主机系统日志和网络数据流，系统由多个部件 组成，采用分布式结构。按照分析方法分类按照分析方法ids划分为滥用检测型ids和异常检测型 idso滥用检测型的ids中，首先建立一个对过去各种入侵 方法和系统缺陷知识的数据库，当收集到的信息和库中的原 型相符合时则报警。任何不符合特定条件的活动将会被认为 合法，因此这样的系统虚警率很低。异常检测型ids是建立 在如下假设的基础之上的，即任何一种入侵行为都能由于其 偏离正常或者所期望的系统和用户活动规律而被检测

9、出来。 所以它需要一个记录合法活动的数据库，由于库的有限性使 得虚警率比较高。按照响应方式分类按照响应方式ids划分为主动响应ids和被动响应idso 当特定的入侵被检测到时，主动ids会采用以下三种响应摘 要：收集辅助信息；改变环境以堵住导致入侵发生的漏洞； 对攻击者采取行动（这是一种不被推荐的做法，因为行为有 点过激）。被动响应ids则是将信息提供给系统用户，依靠 管理员在这一信息的基础上采取进一步的行动。4、ids的评价标准目前的入侵检测技术发展迅速，应用的技术也很广泛， 如何来评价ids的优缺点就显得非常重要。评价ids的优劣 主要有这样几个方面5摘要：(1)准确性。准确性是指ids

10、不会标记环境中的一个合法行为为异常或入侵。(2)性能。ids的性能是指处理审计事件的速度。对一个实时ids来说, 必须要求性能良好。(3)完整性。完整性是指ids能检测出 所有的攻击。(4)故障容错(fault tolerance)0当被保护 系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功 能。5、ids的发展趋随着入侵检测技术的发展，成型的产品已陆续应用到实 践中。入侵检测系统的典型代表是iss (国际互联网平安系 统公司)公司的realsecureo目前较为闻名的商用入侵检测 产品还有摘要：nai公司的cybercop monitoraxent公司 的 netprowler、cisco 公司的 netranger、ca 公司的 sessionwall-3等。国内的该类产品较少，但发展很快，已 有总参北方所、中科网威、启明星辰等公司推出产品。6、结束语在目前