关于入侵检测系统和技术及其应用探讨.docVIP

关于入侵检测系统和技术及其应用探讨 　　摘要：本文阐述了入侵检测系统（IDS）的基本概念、功能与模型，分析了入侵检测技术的基本方法。在此基础上提出了一种入侵检测系统在某部分计算机网络中应用的基本方案，该系统是一种混合型的入侵检测系统，它在对计算机本身的性能几乎没有影响的情况下很大的提高了入侵检测的准确性，从而大大增强了计算机网络的安全性。 　　关键词：入侵检测；网络安全；监测策略 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)16-31006-02 　　 　　1 引言 　　 　　随着人类对计算机和互联网需求的日益增长，网络安全逐渐成为需要解决的关键问题。对于网络来说，入侵的来源和技术是多种多样的，例如：攻击者可能窃听网络上的信息，窃取用户的口令、数据库的信息，还可能篡改数据库的内容，伪造用户的身份，否认自己的签名等，这就使得网络安全问题变得极其严峻。单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。在这种环境下，入侵检测系统开始在各种不同的环境中发挥关键作用。IDS入侵检测系统能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力包括安全审计、监视、进攻识别和响应，提高了信息安全基础结构的完整性。 　　 　　2 入侵检测系统介绍 　　 　　入侵检测（Intrusion Detection,ID）,顾名思义，是对入侵行为的发觉。它通过对计算机系统或计算机网络中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件的组合便是入侵检测系统（Intrusion Detection System，IDS）。在本质上，入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段，无须转发任何流量，而只需在网络上被动的、无声息的收集它所关心的报文即可。 　　2.1IDS功能与模型 　　一个合格的入侵检测系统能大大简化安全管理员的工作，保证网络安全地运行。具体讲，入侵检测的功能有如下几点： 　　(1)监视、分析用户及系统活动； 　　(2)审计系统构造和弱点； 　　(3)识别、反映已知进攻的活动模式，向相关人士报警； 　　(4)统计分析异常行为模式；评估重要系统和数据文件的完整性； 　　(5)审计、跟踪管理操作系统，识别用户违反安全策略的行为。 　　入侵检测一般分为三个步骤：信息收集、数据分析、响应。 　　入侵检测的目的： 　　(1)识别入侵者； 　　(2)识别入侵行为； 　　(3)检测和监视以实施的入侵行为； 　　(4)为对抗入侵提供信息，阻止入侵的发生和事态的扩大。 　　最早的入侵检测模型有Dorothy denning在1987年提出。该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展，后来人们又提出了基于规则的检测方法。结合这两种方法的优点，人们设计出很多入侵检测的模型。通用入侵检测构架（Common Intrusion Detection Framework简称CIDF）组织，试图将现有的入侵检测系统标准化，CIDF阐述了一个入侵检测系统的通用模型。如下图。 　　它将一个入侵检测系统分为以下四个组件： 　　(1)事件产生器(Event Generators) 　　(2)事件分析器(Event analyzers) 　　(3)响应单元(Response units) 　　(4)事件数据库(Event databases) 　　它将需要分析的数据通称为事件，事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称，它可以是复杂的数据库也可以是简单的文本文件。 　　2.2IDS的基本原理 　　监测策略 　　入侵检测的第一要素是数据源，数据源可分为四类：来自主机的数据、来自网络的数据、来自应用程序和来自目标机的数据。根据以上四类数据源，就有四种不同的监测策略。 　　(1)基于主机的监测：收集通常在操作系统层、来自计算机内部的数据。 　　(2)基于网络的监测：收集网络数据包。 　　(3)基于应用程序的监测：收集来自运行程序的数据。 　　(4)基于目标机的监测：产生自己的数据。 　　IDS类型 　　2.2.1基于网络的IDS 　　基于网络的入侵