淺析計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)及其發(fā)展方向

淺析計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)及其發(fā)展方向

　　隨著網(wǎng)絡(luò)的技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)的開(kāi)放性也得到了長(zhǎng)足的發(fā)展，這為網(wǎng)絡(luò)信息的共享和交互使用提供了很大方便，但同時(shí)也對(duì)信息的安全性提出了嚴(yán)峻的挑戰(zhàn)。近年來(lái)，隨著網(wǎng)絡(luò)的普及與應(yīng)用領(lǐng)域的逐漸擴(kuò)展，網(wǎng)絡(luò)安全與信息安全問(wèn)題日漸突出。在網(wǎng)絡(luò)安全的實(shí)踐中，建立一個(gè)完全安全的系統(tǒng)是不現(xiàn)實(shí)的。因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

　　入侵檢測(cè)技術(shù)（IDS）是近年來(lái)出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，它是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動(dòng)的響應(yīng)。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識(shí)別并驅(qū)除入侵者，使系統(tǒng)迅速恢復(fù)正常工作，并且阻止入侵者進(jìn)一步的行動(dòng)，它的應(yīng)用擴(kuò)展了系統(tǒng)管理員的安全管理能力，幫助計(jì)算機(jī)系統(tǒng)抵御攻擊。因而，研究入侵檢測(cè)方法和技術(shù)，根據(jù)這些方法和技術(shù)建立相應(yīng)的入侵檢測(cè)系統(tǒng)對(duì)保證網(wǎng)絡(luò)安全是非常必要的。

　　一、入侵檢測(cè)系統(tǒng)的分類(lèi)

　　1．按照檢測(cè)類(lèi)型劃分

　�。�1）異常檢測(cè)類(lèi)型：檢測(cè)與可接受行為之間的偏差，如果可以定義每項(xiàng)可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具備的特征（用戶(hù)輪廓），當(dāng)用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。這種檢測(cè)模型漏報(bào)率低，誤報(bào)率高。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，所以能有效檢測(cè)未知的入侵。

　�。�2）誤用檢測(cè)類(lèi)型：檢測(cè)與已知的不可接受行為之間的匹配程度，如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會(huì)引起警告。收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶(hù)或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。這種檢測(cè)模型誤報(bào)率、漏報(bào)率高。對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類(lèi)型，但是對(duì)未知攻擊卻效果有限，而且特征庫(kù)必須不斷更新。

　　2．按照檢測(cè)對(duì)象劃分

　�。�1）基于主機(jī)：系統(tǒng)分析的數(shù)據(jù)是計(jì)算機(jī)操作系統(tǒng)的時(shí)間日志、應(yīng)用程序的時(shí)間日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計(jì)記錄。主機(jī)入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的主機(jī)系統(tǒng)。是代理來(lái)實(shí)現(xiàn)的，代理是運(yùn)行在目標(biāo)主機(jī)上的小的可執(zhí)行程序，它們與命令控制臺(tái)通信。

　�。�2）基于網(wǎng)絡(luò)：系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)，基于網(wǎng)絡(luò)的'入侵檢測(cè)系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器組成，傳感器是一臺(tái)將以太網(wǎng)置于混雜模式的計(jì)算機(jī)，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包�？萍颊撐摹�

　�。�3）混合型：基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處，會(huì)造成防御體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機(jī)的混合型入侵檢測(cè)系統(tǒng)，既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

　　3．按照工作方式分類(lèi)

　�。�1）離線檢測(cè)：這是一種非實(shí)時(shí)工作的系統(tǒng)，在時(shí)間發(fā)生后分析審計(jì)時(shí)間，從中檢查入侵事件。這類(lèi)系統(tǒng)的成本低，可以分析大量事件，調(diào)查長(zhǎng)期的情況，有利于其它方法提供及時(shí)的保護(hù)。而且，很多侵入在完成之后都將審計(jì)事件刪除，使其無(wú)法審計(jì)。

　�。�2）在線檢測(cè)：對(duì)網(wǎng)絡(luò)數(shù)據(jù)包或主機(jī)的審計(jì)事件進(jìn)行實(shí)時(shí)分析，可以快速反映，保護(hù)系統(tǒng)的安全；但在系統(tǒng)規(guī)模比較大時(shí)，難以保證實(shí)時(shí)性。

　　二、入侵檢測(cè)系統(tǒng)存在的主要問(wèn)題

　　1．誤報(bào)

　　誤報(bào)是指被入侵檢測(cè)系統(tǒng)測(cè)出但其實(shí)是正常及合法使用受保護(hù)網(wǎng)絡(luò)和計(jì)算機(jī)的警報(bào)。假警報(bào)不但令人討厭，并且降低入侵檢測(cè)系統(tǒng)的效率。攻擊者可以而且往往是利用包結(jié)構(gòu)偽造無(wú)威脅的，“正常”假警報(bào)，以誘使收受人把入侵檢測(cè)系統(tǒng)關(guān)掉。

　　沒(méi)有一個(gè)入侵檢測(cè)無(wú)敵于誤報(bào)，應(yīng)用系統(tǒng)總會(huì)發(fā)生錯(cuò)誤，原因是：缺乏共享信息的標(biāo)準(zhǔn)機(jī)制和集中協(xié)調(diào)的機(jī)制，不同的網(wǎng)絡(luò)及主機(jī)有小同的安全問(wèn)題，不同的入侵檢測(cè)系統(tǒng)有各自的功能；缺乏揣摩數(shù)據(jù)在一段時(shí)間內(nèi)行為的能力；缺乏有效跟蹤分析等。

　　2．精巧及有組織的攻擊

　　攻擊可以來(lái)自四面八方，特別是一群人組織策劃且攻擊者技術(shù)高超的攻擊，攻擊者花費(fèi)很多時(shí)間準(zhǔn)備，并發(fā)動(dòng)全球性攻擊，要找出這樣復(fù)雜的攻擊是一件難事。

　　3。入侵檢測(cè)系統(tǒng)的互動(dòng)性能不高

　　在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測(cè)系統(tǒng)，甚至還有防火墻、漏洞掃描等其他類(lèi)別的安全設(shè)備，這些入侵檢測(cè)系統(tǒng)之間以及IDS和其他安全組件之間如何交換信息，共同協(xié)作來(lái)發(fā)現(xiàn)攻擊、做出相應(yīng)并阻止攻擊是關(guān)系整個(gè)系統(tǒng)安全性的重要因素。

　　三、入侵檢測(cè)系統(tǒng)發(fā)展的主要趨勢(shì)

　　目前除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識(shí)別和完整性檢測(cè)）外，入侵檢測(cè)系統(tǒng)應(yīng)重點(diǎn)加強(qiáng)與統(tǒng)計(jì)分析相關(guān)技術(shù)的研究。許多學(xué)者在研究新的檢測(cè)辦法，如采用自動(dòng)代理的主動(dòng)防御辦法，將免疫學(xué)原理應(yīng)用到入侵檢測(cè)的方法等。其主要發(fā)展方向可以概括為以下幾個(gè)方面：

　　1。入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化

　　就目前而言，入侵檢測(cè)系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)，不同的入侵檢測(cè)系統(tǒng)之間的數(shù)據(jù)交換和信息通信幾乎不可能。目前，DARPA和IETF的入侵檢測(cè)工作組試圖對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化工作，分別制定了CIDF和IDMEF標(biāo)準(zhǔn)，從體系結(jié)構(gòu)、通信機(jī)制、消息格式等各方面對(duì)入侵檢測(cè)系統(tǒng)規(guī)范化，但進(jìn)展非常緩慢，尚沒(méi)有被廣泛接受的標(biāo)準(zhǔn)出臺(tái)。因而，具有標(biāo)準(zhǔn)化接口的入侵檢測(cè)系統(tǒng)將是下一代入侵檢測(cè)系統(tǒng)的特征。

　　2。分布式入侵檢測(cè)

　　分布式入侵檢測(cè)的第一層含義是針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法；第二層含義即使用分布式的方法來(lái)實(shí)現(xiàn)分布式的攻擊，其中的關(guān)鍵技術(shù)為信息的協(xié)同處理與入侵攻擊的全局信息的提取。

　　3。應(yīng)用層入侵檢測(cè)

　　許多入侵的語(yǔ)義只有在應(yīng)用層才能理解，而目前的入侵檢測(cè)系統(tǒng)僅能檢測(cè)Web之類(lèi)的通用協(xié)議，不能處理如Lotus Notes數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶(hù)/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測(cè)保護(hù)。科技論文。

　　4．智能入侵檢測(cè)

　　目前，入侵方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能體系、神經(jīng)網(wǎng)絡(luò)與遺傳算法應(yīng)用在入侵檢測(cè)領(lǐng)域，但這些只是一些嘗試性的研究工作，需要對(duì)智能化的入侵檢測(cè)系統(tǒng)進(jìn)一步研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。

　　5．建立入侵檢測(cè)系統(tǒng)評(píng)價(jià)體系

　　設(shè)計(jì)通用的入侵檢測(cè)測(cè)試、評(píng)估辦法和平臺(tái)，實(shí)現(xiàn)對(duì)多種入侵檢測(cè)系統(tǒng)的檢測(cè)，已成為當(dāng)前入侵檢測(cè)系統(tǒng)的另一重要研究與發(fā)展領(lǐng)域。評(píng)價(jià)入侵檢測(cè)系統(tǒng)可從檢測(cè)范圍、系統(tǒng)資源占用、自身的可靠性等方面進(jìn)行，評(píng)價(jià)指標(biāo)有：能否保證自身的安全、運(yùn)行與維護(hù)系統(tǒng)的開(kāi)銷(xiāo)、報(bào)警準(zhǔn)確率、負(fù)載能力以及可支持的網(wǎng)絡(luò)類(lèi)型、支持的入侵特征數(shù)、是否支持IP碎片重組、是否支持TCP流重組等。

　　6．綜合性檢測(cè)系統(tǒng)

　　單一的技術(shù)很難構(gòu)筑一道強(qiáng)有力的安全防線，這就需要和其他安全技術(shù)共同組成更完備的安全的保障系統(tǒng)，如結(jié)合防火墻、PKIX、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障體系�？萍颊撐摹�

　　四、結(jié)語(yǔ)

　　入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。但是目前，入侵檢測(cè)技術(shù)主要停留在異常檢測(cè)和誤用檢測(cè)上，這兩種方法都還不完善，存在著這樣那樣的缺陷。網(wǎng)絡(luò)入侵技術(shù)不斷發(fā)展，入侵行為表現(xiàn)出不確定性、復(fù)雜性、多樣性等特點(diǎn)；網(wǎng)絡(luò)應(yīng)用的發(fā)展帶來(lái)了新的問(wèn)題，如高速網(wǎng)絡(luò)其流量大，基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)如何適應(yīng)這種情況？基于主機(jī)審計(jì)數(shù)據(jù)這怎樣做到既減小數(shù)據(jù)量，又能有效地檢測(cè)到入侵行為？入侵檢測(cè)技術(shù)己經(jīng)成為當(dāng)前網(wǎng)絡(luò)技術(shù)領(lǐng)域內(nèi)的一個(gè)研究熱點(diǎn)，在未來(lái)的發(fā)展過(guò)程中，將越來(lái)越多地與其他科學(xué)和技術(shù)進(jìn)行交融匯合，如數(shù)據(jù)融合、人工智能以及網(wǎng)絡(luò)管理等等。隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，入侵檢測(cè)技術(shù)也在不斷地發(fā)展，已經(jīng)出現(xiàn)了很多新的方向，如寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)、大規(guī)模分布式入侵檢測(cè)技術(shù)等。

　　參考文獻(xiàn)：

　　[1]戴英俠，連一峰，王航。系統(tǒng)安全與入侵檢測(cè)[M]。北京：清華大學(xué)出版社。2002。

　　[2]孫知信，徐紅霞。模糊技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用研究綜述[J]。南京郵電大學(xué)學(xué)報(bào)。2006，（2）。

　　[3]裴慶祺。模糊入侵檢測(cè)技術(shù)研究[M]。西安：西安電子科技大學(xué)。2004。

　　[4]唐正軍。入侵檢測(cè)技術(shù)導(dǎo)輪[M]。北京：機(jī)械工業(yè)出版社，2004。

【淺析計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)及其發(fā)展方向】相關(guān)文章：

企業(yè)虛擬桌面技術(shù)及其優(yōu)勢(shì)探究02-25

淺析財(cái)會(huì)體系的建立02-25

菠菜的種植技術(shù)02-25

藍(lán)莓的種植技術(shù)02-25

淺析中國(guó)紀(jì)錄片的現(xiàn)狀和發(fā)展作文02-25

淺析風(fēng)險(xiǎn)基礎(chǔ)審計(jì)模式和在我國(guó)應(yīng)用的前景02-25

珠算技術(shù)的培訓(xùn)協(xié)議02-25

海鮮菇的栽培技術(shù)02-25

龍膽草的種植技術(shù)02-25

兒童溺水的干預(yù)技術(shù)指南02-25