淺析計算機網(wǎng)絡(luò )的入侵檢測技術(shù)及其發(fā)展方向

　　隨著(zhù)網(wǎng)絡(luò )的技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)的開(kāi)放性也得到了長(cháng)足的發(fā)展，這為網(wǎng)絡(luò )信息的共享和交互使用提供了很大方便，但同時(shí)也對信息的安全性提出了嚴峻的挑戰。近年來(lái)，隨著(zhù)網(wǎng)絡(luò )的普及與應用領(lǐng)域的逐漸擴展，網(wǎng)絡(luò )安全與信息安全問(wèn)題日漸突出。在網(wǎng)絡(luò )安全的實(shí)踐中，建立一個(gè)完全安全的系統是不現實(shí)的。因此，保證計算機系統、網(wǎng)絡(luò )系統以及整個(gè)信息基礎設施的安全已經(jīng)成為刻不容緩的重要課題。

　　入侵檢測技術(shù)（IDS）是近年來(lái)出現的新型網(wǎng)絡(luò )安全技術(shù)，它是通過(guò)從計算機網(wǎng)絡(luò )系統中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現違反安全策略的行為和遭到攻擊的跡象，并做出自動(dòng)的響應。入侵檢測通過(guò)迅速地檢測入侵，在可能造成系統損壞或數據丟失之前，識別并驅除入侵者，使系統迅速恢復正常工作，并且阻止入侵者進(jìn)一步的行動(dòng)，它的應用擴展了系統管理員的安全管理能力，幫助計算機系統抵御攻擊。因而，研究入侵檢測方法和技術(shù)，根據這些方法和技術(shù)建立相應的入侵檢測系統對保證網(wǎng)絡(luò )安全是非常必要的。

　　一、入侵檢測系統的分類(lèi)

　　1．按照檢測類(lèi)型劃分

　�。�1）異常檢測類(lèi)型：檢測與可接受行為之間的偏差，如果可以定義每項可接受的行為就應該是入侵。首先總結正常操作應該具備的特征（用戶(hù)輪廓），當用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認為是入侵。這種檢測模型漏報率低，誤報率高。因為不需要對每種入侵行為進(jìn)行定義，所以能有效檢測未知的入侵。

　�。�2）誤用檢測類(lèi)型：檢測與已知的不可接受行為之間的匹配程度，如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會(huì )引起警告。收集非正常操作的行為特征，建立相關(guān)的特征庫，當監測的用戶(hù)或系統行為與庫中的記錄相匹配時(shí)，系統就認為這種行為是入侵。這種檢測模型誤報率、漏報率高。對于已知的攻擊，它可以詳細、準確地報告出攻擊類(lèi)型，但是對未知攻擊卻效果有限，而且特征庫必須不斷更新。

　　2．按照檢測對象劃分

　�。�1）基于主機：系統分析的數據是計算機操作系統的時(shí)間日志、應用程序的時(shí)間日志、系統調用、端口調用和安全審計記錄。主機入侵檢測系統保護的一般是所在的主機系統。是代理來(lái)實(shí)現的，代理是運行在目標主機上的小的可執行程序，它們與命令控制臺通信。

　�。�2）基于網(wǎng)絡(luò )：系統分析的數據是網(wǎng)絡(luò )上的數據包。網(wǎng)絡(luò )型入侵檢測系統擔負著(zhù)保護整個(gè)網(wǎng)段的任務(wù)，基于網(wǎng)絡(luò )的入侵檢測系統由遍及網(wǎng)絡(luò )的傳感器組成，傳感器是一臺將以太網(wǎng)置于混雜模式的計算機，用于嗅探網(wǎng)絡(luò )上的數據包�？萍颊撐�。

　�。�3）混合型：基于網(wǎng)絡(luò )和基于主機的入侵檢測系統都有不足之處，會(huì )造成防御體系的不全面，綜合了基于網(wǎng)絡(luò )和基于主機的混合型入侵檢測系統，既可以發(fā)現網(wǎng)絡(luò )中的攻擊信息，也可以從系統日志中發(fā)現異常情況。

　　3．按照工作方式分類(lèi)

　�。�1）離線(xiàn)檢測：這是一種非實(shí)時(shí)工作的系統，在時(shí)間發(fā)生后分析審計時(shí)間，從中檢查入侵事件。這類(lèi)系統的成本低，可以分析大量事件，調查長(cháng)期的情況，有利于其它方法提供及時(shí)的保護。而且，很多侵入在完成之后都將審計事件刪除，使其無(wú)法審計。

　�。�2）在線(xiàn)檢測：對網(wǎng)絡(luò )數據包或主機的審計事件進(jìn)行實(shí)時(shí)分析，可以快速反映，保護系統的安全；但在系統規模比較大時(shí)，難以保證實(shí)時(shí)性。

　　二、入侵檢測系統存在的主要問(wèn)題

　　1．誤報

　　誤報是指被入侵檢測系統測出但其實(shí)是正常及合法使用受保護網(wǎng)絡(luò )和計算機的警報。假警報不但令人討厭，并且降低入侵檢測系統的效率。攻擊者可以而且往往是利用包結構偽造無(wú)威脅的，“正�！奔倬瘓�，以誘使收受人把入侵檢測系統關(guān)掉。

　　沒(méi)有一個(gè)入侵檢測無(wú)敵于誤報，應用系統總會(huì )發(fā)生錯誤，原因是：缺乏共享信息的標準機制和集中協(xié)調的機制，不同的網(wǎng)絡(luò )及主機有小同的安全問(wèn)題，不同的入侵檢測系統有各自的功能；缺乏揣摩數據在一段時(shí)間內行為的能力；缺乏有效跟蹤分析等。

　　2．精巧及有組織的攻擊

　　攻擊可以來(lái)自四面八方，特別是一群人組織策劃且攻擊者技術(shù)高超的攻擊，攻擊者花費很多時(shí)間準備，并發(fā)動(dòng)全球性攻擊，要找出這樣復雜的攻擊是一件難事。

　　3。入侵檢測系統的互動(dòng)性能不高

　　在大型網(wǎng)絡(luò )中，網(wǎng)絡(luò )的不同部分可能使用了多種入侵檢測系統，甚至還有防火墻、漏洞掃描等其他類(lèi)別的安全設備，這些入侵檢測系統之間以及IDS和其他安全組件之間如何交換信息，共同協(xié)作來(lái)發(fā)現攻擊、做出相應并阻止攻擊是關(guān)系整個(gè)系統安全性的重要因素。

　　三、入侵檢測系統發(fā)展的主要趨勢

　　目前除了完善常規的、傳統的技術(shù)（模式識別和完整性檢測）外，入侵檢測系統應重點(diǎn)加強與統計分析相關(guān)技術(shù)的研究。許多學(xué)者在研究新的檢測辦法，如采用自動(dòng)代理的主動(dòng)防御辦法，將免疫學(xué)原理應用到入侵檢測的方法等。其主要發(fā)展方向可以概括為以下幾個(gè)方面：

　　1。入侵檢測系統的標準化

　　就目前而言，入侵檢測系統還缺乏相應的標準，不同的入侵檢測系統之間的數據交換和信息通信幾乎不可能。目前，DARPA和IETF的入侵檢測工作組試圖對入侵檢測系統進(jìn)行標準化工作，分別制定了CIDF和IDMEF標準，從體系結構、通信機制、消息格式等各方面對入侵檢測系統規范化，但進(jìn)展非常緩慢，尚沒(méi)有被廣泛接受的標準出臺。因而，具有標準化接口的入侵檢測系統將是下一代入侵檢測系統的特征。

　　2。分布式入侵檢測

　　分布式入侵檢測的第一層含義是針對分布式網(wǎng)絡(luò )攻擊的檢測方法；第二層含義即使用分布式的方法來(lái)實(shí)現分布式的攻擊，其中的關(guān)鍵技術(shù)為信息的協(xié)同處理與入侵攻擊的全局信息的提取。

　　3。應用層入侵檢測

　　許多入侵的語(yǔ)義只有在應用層才能理解，而目前的入侵檢測系統僅能檢測Web之類(lèi)的通用協(xié)議，不能處理如Lotus Notes數據庫系統等其他的應用系統。許多基于客戶(hù)/服務(wù)器結構、中間件技術(shù)及對象技術(shù)的大型應用，需要應用層的入侵檢測保護�？萍颊撐�。

　　4．智能入侵檢測

　　目前，入侵方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能體系、神經(jīng)網(wǎng)絡(luò )與遺傳算法應用在入侵檢測領(lǐng)域，但這些只是一些嘗試性的研究工作，需要對智能化的入侵檢測系統進(jìn)一步研究，以解決其自學(xué)習與自適應能力。

　　5．建立入侵檢測系統評價(jià)體系

　　設計通用的入侵檢測測試、評估辦法和平臺，實(shí)現對多種入侵檢測系統的檢測，已成為當前入侵檢測系統的另一重要研究與發(fā)展領(lǐng)域。評價(jià)入侵檢測系統可從檢測范圍、系統資源占用、自身的可靠性等方面進(jìn)行，評價(jià)指標有：能否保證自身的安全、運行與維護系統的開(kāi)銷(xiāo)、報警準確率、負載能力以及可支持的網(wǎng)絡(luò )類(lèi)型、支持的入侵特征數、是否支持IP碎片重組、是否支持TCP流重組等。

　　6．綜合性檢測系統

　　單一的技術(shù)很難構筑一道強有力的安全防線(xiàn)，這就需要和其他安全技術(shù)共同組成更完備的安全的保障系統，如結合防火墻、PKIX、安全電子交易SET等新的網(wǎng)絡(luò )安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò )安全保障體系�？萍颊撐�。

　　四、結語(yǔ)

　　入侵檢測作為一種積極主動(dòng)地安全防護技術(shù)，提供了對內部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護，在網(wǎng)絡(luò )系統受到危害之前攔截和響應入侵。但是目前，入侵檢測技術(shù)主要停留在異常檢測和誤用檢測上，這兩種方法都還不完善，存在著(zhù)這樣那樣的缺陷。網(wǎng)絡(luò )入侵技術(shù)不斷發(fā)展，入侵行為表現出不確定性、復雜性、多樣性等特點(diǎn)；網(wǎng)絡(luò )應用的發(fā)展帶來(lái)了新的問(wèn)題，如高速網(wǎng)絡(luò )其流量大，基于網(wǎng)絡(luò )的檢測系統如何適應這種情況？基于主機審計數據這怎樣做到既減小數據量，又能有效地檢測到入侵行為？入侵檢測技術(shù)己經(jīng)成為當前網(wǎng)絡(luò )技術(shù)領(lǐng)域內的一個(gè)研究熱點(diǎn)，在未來(lái)的發(fā)展過(guò)程中，將越來(lái)越多地與其他科學(xué)和技術(shù)進(jìn)行交融匯合，如數據融合、人工智能以及網(wǎng)絡(luò )管理等等。隨著(zhù)網(wǎng)絡(luò )信息技術(shù)的發(fā)展，入侵檢測技術(shù)也在不斷地發(fā)展，已經(jīng)出現了很多新的方向，如寬帶高速網(wǎng)絡(luò )的實(shí)時(shí)入侵檢測技術(shù)、大規模分布式入侵檢測技術(shù)等。

　　參考文獻：

　　[1]戴英俠，連一峰，王航。系統安全與入侵檢測[M]。北京：清華大學(xué)出版社。2002。

　　[2]孫知信，徐紅霞。模糊技術(shù)在入侵檢測系統中的應用研究綜述[J]。南京郵電大學(xué)學(xué)報。2006，（2）。

　　[3]裴慶祺。模糊入侵檢測技術(shù)研究[M]。西安：西安電子科技大學(xué)。2004。

　　[4]唐正軍。入侵檢測技術(shù)導輪[M]。北京：機械工業(yè)出版社，2004。

【淺析計算機網(wǎng)絡(luò )的入侵檢測技術(shù)及其發(fā)展方向】相關(guān)文章：

質(zhì)量技術(shù)監督工作信息化建設淺析02-27

寒氣容易入侵的7個(gè)部位01-18

淺析互聯(lián)網(wǎng)之利弊02-26

淺析流行文化作文12-15

緊張的學(xué)科能力檢測作文07-29

abcc式的詞語(yǔ)及其解釋03-04

描寫(xiě)春天的詞語(yǔ)及其解釋03-05

aabc式的詞語(yǔ)及其解釋03-04

描寫(xiě)風(fēng)的詞語(yǔ)大全及其解釋03-04

檢測年度工作03-16