基于网络入侵检测系统的探讨

维普资讯 http://www.cqvip.com 信　息　科　学　科　—技信息　—黑龙江——　基于网络入侵检测系统的探讨　韦国贞　（平顶山教育学院，河南平顶山４６７０００）　摘要：入侵检测系统是一种基于主动策略的网络安全系统，从入侵检测系统的定义出发，对入侵检测系统进行了分类讨论，最后分析了入侵　检测系统面临的主要问题以及如何选择一个理想的入侵检测系统。　关键词：入侵检测系统；网络安全；检测技术　引言　２．３检测办法　冒者的声纹，除了拒绝服务，还可以发出警报。　计算机网络技术的飞速发展，极大地改变　当收集到证据后，系统就要判断它是否就　系统只允许单进程访问，确保不被跟踪。　了人们的学习、工作以及生活方式。随之计算机　是入侵。一般来说，ＩＤＳ有一个知识库，知识库　密钥文件属性为不可读，无法获得密钥。密钥算　及网络系统中存储的重要信息越来越多，系统　记录了特定的安全策略，ＩＤＳ获得信息后，与知　法可以采用比较流行的ＭＤ５算法，也可以使用　的安全问题也显得日益突出。我们希望找到更　识库中的安全策略进行比较，进而发现违反规　相对来说更加安全的ＳＨＡ一１和ＲＩＰＥＭＤ一１６０。　好的措施来保护系统免受入侵者的攻击。尽管　定的安全策略的行为。要定义知识库有很多种　这样，算法、密钥、运算三个因素都是安全的，也　已有多种防御技术，如防火墙，但它只是一种静　方式，最普遍的做法是检测报文中是否含有攻　就确保了整个认证过程的安全。密钥的生成和　态、被动的防护技术，要求事先设置规则，对于　击特征，知识库中给出何种报文是攻击的定义。　运算都是在客户端软件内部进行的，外部无法　实时攻击或异常行为不能实时反应，无法自动　３入侵检测系统的分类　使用软件跟踪算法。符合了密码学理论中的强　根据ＩＤＳ的发展历史，检测原理、体系结　双因子认证要求，即所知和所有相结合。　络入侵检测系统的研究显的尤为重要，它是一　构和系统特征的分析，以及对多个有重大学术　６理想入侵检测系统的选择　种动态的网络安全策略，能够有效地发现入侵　影响力的ＩＤＳ研究原型的研究，入侵检测系统　网络入侵检测系统结构如图１所示，其性　行为和合法用户滥用特权的行为，它是Ｐ２ＤＲ　可以按以下几个方面进行分类。　能取决于软、硬件两方面的因素。　（动态安全模型）的核心部分。　３．１按照入侵检测的数据来源和系统结构　调整设置来阻断正在进行的攻击。因而对于网　ｌ网络入侵检测系统的概念　分为：基于主机的ＩＤＳ（ＨＩＤＳ）、基于网络的ＩＤＳ　入侵检测系统ｆＩｎｔｍｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓ—　ｆＮＩＤＳ）￥￣分布式ＩＤＳ（ＤＩＤＳ）。　ｔｅｍ，简称ＩＤＳ）是从多种计算机系统及网络系统　３．２按照入侵检测系统的ｌＴ作方式分为：　　中收集信息，再通过这些信息分析入侵特征的　在线检测系统与离线检测系统。网络安全系统。ＩＤＳ被认为是防火墙之后的第　３．３按照入侵检测所采用的技术分为：异　二道安全闸门，它能使在入侵攻击对系统发生　常检测和误用检测。　’　危害前，检测到入侵攻击，并利用报警与防护系　４入侵检测系统目前存在的问题　图１入侵检测系统结构图　统驱逐入侵攻击。在入侵攻击过程中，能减少入　经过二十多年的研究与开发，入侵检测技　６．１软件因素　侵攻击所造成的损失。在被入侵攻击后，收集入　术得到了飞速的发展，但是目前还存在很多的　网络抓包的效率；数据包重组和ＴＣＰ流重　　侵攻击的相关信息，作为防范系统的知识，添加　问题。主要有：组的效率；入侵分析的效率；Ｃ／Ｓ结构下，网络　入策略集中，增强系统的防范能力，避免系统再　４．１大量的误报和漏报。误报不仅降低了　通信的延迟；事件日志库的记录能力；控制台的　次受到同类型的入侵。　入侵检测系统的效率，而且很大程度上降低了　事件显示效率。　２入侵检测系统的．［作流程　原系统的服务质量。漏报具有更大的危险性，它　６．２硬件因素　、　２．１信息收集　是入侵检测系统对真正的攻击或入侵没有报　硬件方面主要是ＣＰＵ处理能力、内存、网　入侵检测的第一步是信息收集，内容包括　警。　卡和硬盘ＩＯ等。对一个成功的入侵检测系统来　系统、网络、数据及用户活动的状态和行为。而　４．２自身缺少防御功能。一旦ＩＤＳ本身受　讲，它不但可使系统管理员时刻了解网络系统　且需要在计　算机网络系统巾的若干不同关键点　到攻击，则整个检测系统都会瘫痪，以后的入侵　（包括程序、文件和硬件设备等）的任何变更，还　（不同网段和不同主机）收集信息，这除了尽可　行为都没法被记录。　能给网络安全策略的制订提供指南。更为重要　能扩大检测范嗣的因素外，还有一个重要的原　４．３互动性能低。在大型网络中，网络的不　的是，它应该管理和配置简单，从而使非专业人　因就是从一个信息源有可能看不出疑点，但从　同部分可能使用了多种ＩＤＳ，甚至还有防火墙、　员非常容易地获得网络安全。　多个来源的信息的不一致性来看就是可疑行为　漏洞扫描等其他类别的安全设备，这些ＩＤＳ之　参考文献　或入侵的最好标识。入侵检测利用的信息一般　问以及ＩＤＳ和其他安全组件之间交换信息，共　『１】韩东海．入侵检测系统实例剖析【Ｍ］．北京：清　来自以下四个方面：　ａ，同协作米发现攻击、作出响应并阻止攻击的能　ｆ＃大学出版社．２００２．　网络日志文件　力差。　　１１李金晶．关于网络安全中身份认证技术的探　ｌ　．目录和文件中的不期望的改变　ｃ．程序执行中的不期望行为　ｄ．物理形式的入侵信息　２．２信号分析　４．４实时性差。ＩＤＳ经常被要求来及时地评　ｉｔＩｊ］．科技进步与对策，２００２，８．　价事件，但是现有的ＩＤＳ很难满足这一要求，特　Ｉ３　Ｊ赵亮．基于指纹识别的生物特征身份认证技　别当面临着大量的事件时。　５系统安全性分析　术研究与实现．科学技术与工程，２００６。８．　Ｉ４】龙毅宏．动态口令的安全脆弱性分析及对策　Ｊ１．信息安全与通信保密，２００６。７．　对上述收集到的４类信息，有关系统、网　采用先进的声纹鉴别技术，可以有效防止　＿络、数据及用户活动的状态和行为等信息，一般　模仿假冒者和录音假冒者　即使随身锁被盗抢、　作者简介：韦国贞（１９７３一），男，讲师　河南　要通过ｉ种技术手段对其进行分析：模式匹配，　密码被窃取，或由于一时的疏忽没有及时收好，　舞钢人，平项山育学院，研究方向：网络应用技　统计分析和完整性分析。其中前两种方法用于　不是合法使用者也难以访问被保护的数据。再　术　实时的入侵检测，而完整性分析则用于事后分　者，本系统还可在客户端内置报警器，由于生物　析。　特征的惟一性，不必提供重试机会，一旦碰到假　一７１—