入侵检测系统在网络信息安全中应用.docVIP

入侵检测系统在网络信息安全中应用 　　摘要：入侵检测作为一种积极对抗网络攻击的方式已经成为近年来网络安全研究的热点。本文阐述了网络入侵的常见手段，提出了入侵检测的基本概念和主要分类，结合实例介绍了入侵检测技术的应用，希望对该技术系统的推广与应用提供帮助。 　　关键字：入侵检测系统 网络信息安全 应用 　　伴随着信息时代的高速发展，网络被广泛的应用在国防或是政府管理机构等重要部门，同时也成为了日常生活的重要组成部分。它在便捷了人们的生活之外，也对个人的财产和信息安全造成了威胁。因此，我们对网络安全问题给予极大的重视。从技术层面上来说，入侵检测系统成为了保护网络安全的技术核心，在抵挡黑客入侵等破坏网络安全方面起到了主动防御的作用。 　　一、网络入侵的常见手段 　　当前网络入侵现象在我们的日常生活中时有发生，为了维护国家和个人的信息、财产安全，我们引入了入侵检测系统，入侵检测系统通过分析存在安全隐患的数据包与普通数据包的不同，来准确而高速的分辨入侵行为。对此，我们的研究者们，在此基础上为了提高工作的效率和评估的准确性，将常见的几种网络入侵手段进行了分析和总结。系统或协议漏洞引起的网络入侵最为常见，然而应对方式也相对简单，当系统淘汰时或是漏洞被修补，网络入侵也就失去了效果。但攻击的手段也是不断变化的，并且具有自己鲜明的特点。 　　首先，网络探测或嗅探，网络探测也可称为扫描，扫描可以使攻击者快速的探测到目标主机的端口分配情况和服务器的操作系统，最终的目的是为更下一步的入侵奠定了基础。而嗅探是指一种相对安静的入侵方式，其具有不易被察觉的特点，攻击者使用这项技术通过网络上的数据包进行信息窃听。 　　其次，解码类攻击，也是最常见的账户的用户名及密码的窃取，由于很多人都采用简单的名字或是生日组合式的简单密码，并且很少更换，这就有利于攻击者采取一些口令猜测的程序来破译密码，例如LC5工具就是一个不具备太多技术含量的密码破译器。 　　再次，未授权访问，许多复杂的操作系统却时常存在着隐藏着的漏洞，利用系统的漏洞，普通用户却可以比合法用户享有更多的权限。 　　最后，缓冲区数据的溢出，当缓冲区的数据被程序填充的溢出的时候，溢出的数据将合法的数据覆盖后，攻击者就会利用自己设计的程序进行系统控制。但这种攻击方式会随着安全编程的发展而被逐步淘汰。除上述几种主要的攻击方式外，还有通过网络设备的手段攻击，拒绝服务攻击，恶意代码攻击，协议攻击和欺骗攻击。 　　二、入侵检测系统概述 　　（一）根据检测对象分类 　　首先可以基于网络的 IDS进行分类，IDS是用于数据处理和窃听网络原始流量的，它在识别入侵行为的时候是通过与正常网络中的原型相比较或通过与具有攻击特征相匹配的方式来检测攻击。此类型的IDS通常具有成本低廉，不需在每台机器上安装的较为便捷的特点，并能够及时的监听到网络上的信息，因此在当今能够被广泛使用。其次，还有基于主机的IDS进行分类，它确认潜在入侵威胁的方式是通过对主机上存在的数据进行详细的分析，还可以从跟踪的日志来追踪入侵的一些线索，对入侵者在入侵过程中留下的一些线索进行分析，从而做到检测的作用。此外，还可以通过寻找一些系统配置和系统中文件被改变的痕迹来为检测入侵提供有利的证据。再次，混合式的IDS，这是将前面叙述的两种方式进行综合，既有第一种的从网络中的察觉攻击信息，也有第二种的从日志中追踪到线索。最后还有通过对文件的完整性检查来检测是否被入侵，除了检测文件的完整性，还可以检测文件是否被修改来看网络的入侵问题。 　　（二）根据检测的技术分类 　　（1）误用的 IDS，误用也被称为滥用，这主要是通过预先将入侵系统定义好，并对其进行适当的监督，从中就可以看出符合事先设定好的入侵系统的内容。现在这种检测系统中又包含了几种关于检测的子系统，其中模型匹配系统得到了广泛的应用。 　　（2）异常的 IDS，它将人类的一切正常行为都假设成有一定规律的，并通过将这些规律总结成的日志信息进行分析，从而检测出入侵行为，IDS可以通过定义可接受的行为来使那些不可被接受的行为被区别为入侵行为，因此要及时总结日常操作中的正确行为，并将与这些行为有巨大偏差的看做是入侵行为。 　　三、入侵检测系统的应用案例 　　（一）基于数据挖掘的入侵检测系统 　　数据也被称为是数据库中的知识的发现，在当今社会中高速发展。数据挖掘主要是从一个较为大型的数据库中，从成千上万的数据中找到人们相对感兴趣的那些知识，这些知识可以是隐形的或是潜在的。数据挖掘技术与入侵检测结合的日益密切，其在入侵检测方面也主要向两方面发展，一是与模型匹配的方式相结合，从而找出入侵的模式。第二是通过建立一个客户的日常正常行为库，找出与用户的正常行为不相匹配的异常行为。数据挖掘系统的建立是因为