入侵检测系统模型设计与实现.docVIP

入侵检测系统模型设计与实现 　　摘要:入侵检测系统是一种对网络进行动态监测，在发现入侵行为时发布预警的主动网络安全技术，该文首先介绍了通用入侵检测系统的组成架构，然后介绍了两种常用的入侵检测分析技术，最后设计并实现一个具有实际应用价值的入侵检测系统模型。 　　关键词:入侵检测系统；IDS 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)22-5318-03 　　The Design and Implementation of Intrusion Detection System Model 　　YANG Li-yang 　　（Motorola Mobility Nanjing Software Center, Najing 211102,China） 　　Abstract：As a proactive network security technology, Intrusion Detection System dynamically monitor network state and send out alert once find intrusion behavior. This paper first introduce common architecture of Intrusion Detection System, then introduce two major intrusion detection analysis technology, finally design and implement a full Intrusion Detection System mode which can be actually applied. 　　Key words: intrusion detection system; IDS 　　网络安全日益成为人们关注的焦点，而构建一个安全的网络系统却十分困难，首先，操作系统和网络系统软件越来越复杂，导致软件设计者无法预测程序实际运行中的全部状态，系统漏洞是难以完全避免的；其次，目前网络上的主要安全控制方法是身份认证和访问控制等，然而，木马程序可以轻易地窃取用户的身份认证信息，黑客可以利用系统漏洞提升权限而绕过访问控制，这些攻击都会使得精心构建的网路安全防御体系失效，所以一个完善的网络安全体系，仅仅防御是不够的，入侵检测系统（IDS）因此被提出。 　　作为一种主动的网络安全防护技术，入侵检测系统可以用来发现外部攻击和合法用户滥用特权，它智能地对数据进行采集，分析和预警，可以有效地发现可疑的入侵行为，并警示系统管理员及时发现和处理。 　　1入侵检测系统的组成架构 　　通用的入侵检测系统主要包括数据采集模块，入侵分析引擎和用户界面三大模块，有的系统可能还有安全知识库和数据存储等功能模块，从而可以提供更加完善的安全检测和数据分析功能。 　　1）数据采集模块：数据采集模块在入侵检测系统中处于基础地位，负责从网络和系统中采集可能包含入侵行为线索的数据，如IP包，系统日志和资源使用状态等。同时数据采集模块还会对采集来的数据进行过滤和预处理，然后将这些原始的审计数据发送到入侵分析引擎做进一步的分析处理。 　　2）入侵分析引擎：入侵分析引擎从数据采集模块接收数据，调用预先设定的算法对数据进行分析并确定是否发生了非法的入侵行为以及入侵行为的类别，如果有入侵行为，则生成一个预警信号并发送到用户界面模块，警示网络管理员，预警信号中包含采集的入侵行为证据和判断依据，这样可以允许网络管理员做进一步的判断，排除误警报。 　　3）用户界面模块：用户界面主要将入侵分析引擎检测到的入侵行为以可视化的方式通知网络管理员，帮助网络管理员对入侵行为作出主动或者被动的响应。 　　2入侵检测系统的分析技术 　　入侵分析引擎在整个入侵检测系统中居于核心位置，其决定了整个系统的智能化程度，目前入侵分析引擎中广泛应用的技术主要是误用检测与异常检测两种。 　　2.1误用检测 　　误用检测属于基于标志的检测，它将已知攻击方法的特征进行提取，然后定义生成入侵模式库，入侵检测系统通过监测网络中是否出现与库中所存储的入侵模式相匹配的行为来判断是否发生入侵行为。误用检测依据入侵行为的特征库来进行判断，所以准确度高，但缺点是有些具体的入侵行为很难抽象成入侵模式，而且其检测的范围也仅仅限于已有模式库中的入侵行为。 　　2.2异常检测 　　异常检测属于基于行为的检测，它不依赖于具体的入侵模式是否出现，而只是根据用户行为和资源使用状况是否正常来判断是否发生入侵。异常检测具有较强的通用性，甚至可以检测出从未出现过的攻击方法，其缺点是误检率比较高，因为对于一个用户众多的网络系