入侵检测技术综述.pdfVIP

维普资讯 四综 述 入侵检测技术综述 陈漫红 (广州大学) 摘要：入侵检测技术是对网络入侵进行主动识别的新兴网络安全技术，具有强大的生命力。本文介绍了入 侵检测技术的功能结构、分类、工作原理，分析了在信息系统中布置入侵检测技术的必要性，对未来入侵检测技 术的发展做出了展望。 关键词：入侵检测；信息系统：网络安全 1引言 它至少包含事件提取、入侵分析、入侵响应和远程管 理4个部分的功能。 入侵检测是网络安全领域中的一个新兴课题，它 通过对运行系统的状态和活动的检测，分析出非授权 3入侵检测技术的分类 的网络访问和恶意的网络行为，迅速发现入侵行为和 入侵检测系统根据其检测数据来源分为两类：基 企图，为入侵防范提供有效的手段，这为系统网络信 于主机的入侵检测系统 (HIDS)和基于网络的入侵 息安全增添了新的防范措施 1【]。在上个世纪9o年代初 检测系统 (NIDS)2【】。HIDS从单个主机上提取数据 就有一些针对具体入侵行为或过程进行的入侵检测 (如审计记录等)作为入侵分析的数据源，而 NIDS 研究。1994年以后逐渐出现了一些基于入侵检测的产 从网络上提取数据 (如网络链路层的数据帧)作为入 品，如ISS公司的RealSecure，NAI公司的Cybercop 侵分析的数据源。通常来说HIDS只能检测单个主机 和Cisco公司的NetRanger等。尽管入侵检测技术问 系统，而NIDS可对本网段的多个主机系统进行检测， 世不长，但是其发展潜力和应用前景非常乐观。 多个分布于不同网段上的NIDS可协同工作以提供更 2入侵检测技术的结构 强的入侵检测能力。两种系统之间的关系，是一种互 补的关系，而非一种简单的替换关系。在系统网络中， 入侵检测系统 (I)【s)即是从计算机网络中的若 可以同时部署HIDS和NIDS两种入侵检测系统。 干关键节点收集在网络中传送的信息，并用预定的策 (1)基于主机的入侵检测系统 略分析这些信息，检测网络中是否有违反安全策略的 HIDS将检测模块驻留在被保护系统上，通过提 行为和遭到袭击的迹象 1【】。入侵检测的一个重要假设 取被保护系统的运行数据并进行入侵分析来实现入 是入侵行为和合法访问是可区分的，通过提取网络行 侵检测的功能。HIDS可以有若干种实现方法，主要 为的数字特征来分析判断该行为的合法性。一个基本 有：检测系统设置以发现不正当的系统设置和更改； 的入侵检测系统需要解决两个问题。一是充分并可靠 对系统安全状态进行定期检查以发现不正常的安全 地提取包含关键行为特征地数据；二是高效并准确地 状态；通过替换服务器程序，在服务器程序与远程用 判断行为的合法性。 户之间增加一个中间层，在该中间层中实现跟踪和记 在此基础上进一步实