计算机网络入侵检测技术分析

1、信息安全技术概 论论文题目：计算机网络入侵检测技术分析班 级：09通信1班姓 名：陈进源学 号：0902201002指导老师：罗红叶2012年 11 月 17 日计算机网络入侵检测技术分析09通信一班2号 陈进源【摘 要】：计算机网络发展至今，改变了以往以单机为主的计算模式，进入网络互连的开放模式。技术是一把双刃剑，网络技术的发展在给我们带来便利的同时也带来了巨大的安全隐患，尤其是Internet和企业Intranet的飞速发展对网络安全提出了前所未有的挑战，网络安全问题变得尤为重要。当前网络安全领域的一个十分重要而迫切的问题是要设计安全措施来防范对系统资源和数据未经授权的访问。然而，目前要完

2、全避免网络安全事件的发生是不太现实的，这就要求网络管理员能随时监测网络，尽力发现和觉察入侵企图，以便采取有效的措施来堵塞漏洞、修复系统以及追踪入侵，即入侵检测系统（IDS，Intrusion DetectionSystem）。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。【关键词】：入侵检测、计算机网络、发展方向当前计算机以及网络的大范围使用给我们的生活带来了极大的方便，但是随着网络的发展，网上黑客以每年10倍的增长速度加大网络攻击活动。因此，计算机网络和其他一切信息设施的安全保护在如今已

3、经成为了我们急需解决的重要问题。防火墙是目前我国的一种非常重要的安全保护方式，它是对于一些网络的非法访问产生控制作用，能够很好的限制通过的数据流，从而使得内部网的拓扑结构更好的屏蔽掉，其二也要对外部的危险站点进行屏蔽，防止外部的非法访问现象。可是因为性能受到了非常大的限制，因此在很大程度上防火墙不能够很好的提供检测，为了能够有效补救防火墙在此方面的不足，当前我国已经适应了入侵检测IDS技术。入侵检测对防火墙功能进行了合理补充，是在通过防火墙之后的第二道对安全进行检测的关卡。1、入侵检测定义入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、

4、审计 入侵检测图片(1)数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。2、入侵检测必

5、要性在网络连接高速发展的当今社会，尤其是处于Internet的大范围开放并且金融领域进行网络接入，系统遭到入侵攻击的可能系数越来越高，这些危险都是对操作系统进行挖掘并且针对服务程序的缺陷以及弱点进行攻击存在的，安全的系统要满足用户对系统可用性、完整性以及保密性等最基本的要求。所以入侵检测技术的存在是非常必要的，它不但对已知的入侵行为具有较高的发现能力，还对未知的入侵行为同样有非常高的发现力，在对入侵手段进行了大量研究之后，我们可以更加及时的对系统相应策略进行有效调整，极大地增加了系统安全性。3、入侵检测步骤分析我们可以说，入侵检测为网络安全很好的提供了实时监测，并且能够依据检测结果提出相关的防

6、护手段。而针对攻击性的行为检测则非常容易被发现，可以对于已经完成安检的嫌疑者，更需要对信息系统安全进行检测。步骤主要可以分为以下几个方面：3.1 收集状态、行为信息入侵检测常常使用分布式结构，在网络系统的不同关键点进行信息的收集工作，不但扩大了检测的范围，同时还能够对各种采集点信息有效的分析，从而对是否存在入侵行为进行很好的判断。入侵检测使用的信息常常取自下面的4方面：物理形式入侵信息；在程序执行过程中出现的不期望的行为；存在于目录或者文件中的不希望出现的改动；来自系统或者网络的日志。3.2 分析采集的信息一般来讲，我们平时应用的分析方法主要有三种，分别为：完整性分析、统计分析、模式匹配。完整

7、性分析一般是对于被关注的对象和文件是否被改动进行检测，这些包括了目录和文件属性。应用这种方法能够很好的防范特洛伊木马的攻击作用。统计分析的方法是为系统的对象建立统计描述，对使用的测量属性统计。这些测量的平均值会与网络行为比较，假如发现了观察值超过正常值，那么就可能会存在入侵行为。在阈值的选择上，此种方法是没有太大优点的，阈值太大可能对部分入侵事件进行漏报，太小的话则可能有错误的入侵报告产生。模式匹配是将收集到的信息及其系统误用模式进行对比，从而更好及时的发现安全问题。4、入侵检测分类及其所存在的问题由于检测方法存在着区别，所以入侵检测被分成了异常检测、误用检测与特征检测两种。4.1 异常检测异

8、常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。4.2 误用检测我们又将这种方法叫做知识检测。它的检测前提为：设置所有具备嫌疑的入侵行为全部能够被识别出来，且能够很好的表现。首先，将已经知道的攻击方式签名，再依据提前设置好的签名判断是否真正出现了攻击签名，从而判断出是否发生攻击入侵行为。此类常用法有：根据键盘

9、监控误用检测法、条件概率检测法、状态迁移检测法等。攻击签名是否正确是误用检测能否成功的关键问题。利用此种方式可以很好将信息与已知攻击签名对比，将对安全产生威胁的行为很好的检测出来。因为只是单纯的对于数据收集，因此系统负担很小，且此种方法与病毒检测系统较为相似，因此它的准确率非常高。但是这种方法也存在着很大的问题，例如对先前不知的入侵行为不可以检测，因为对于不同的操作系统有着不同的攻击方式，所以很难将模式库统一起来。4.3特征检测特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体

10、活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。5、入侵检测出现的诸多问题及其发展趋势分析5.1 问题分析1）从目前的形势来看，入侵检测系统的检测速度要明显小于网络的传输速度，这样就使得漏报率非常高，甚至出现了误报率。2）其他网络安全产品与入侵检测产品很多都结合在了一起，在工作的过程中能够很好的做到信息交换，在协作过程中能够及时发现攻击行为并将其很好的阻止。3）因为属于网络性质的入侵检测系统对于加密保护及其交换网络无法检测，且它自身的构建也经常受到攻击。4）存在于检测系统内的体系结构问题。5

11、.2 发展方向一般来讲，因为信息系统对国民经济以及社会生产的影响作用越来越大，而且目前攻击者的手段和工具也正在向着复杂化发展，各个国家之间的战争也逐步向信息方面战争的趋势发展。主要有如下几点入侵检测方式：5.2.1 通用和分布式入侵检测架构因为入侵检测系统一直都单纯的限制在了主机架构上，也有一些是在网络上，使得大规模监测存在着非常大的缺陷，且对于不同的网络入侵检测系统无法有效的协同工作，基于出现的这些问题，有关部门使用了通用和分布式入侵检测架构。5.2.2 应用层入侵检测一些入侵语义在应用层面上非常容易被人们理解，可是目前的IDS只能对Web之类的协议有很好的检测，对Lotus Notes等系

12、统无法进行有效处理。一些基于客服结构、中间技术和对象技术的应用一定要在应用层面上才能够得到入侵检测保护的。5.2.3 职能入侵检测目前网络入侵的方式变得逐步趋向多样化，虽然目前出现了一些诸如遗传算法、智能体等技术的使用，但是这些都是尝试性工作，我们要对IDS的智能化做更深层次的分析，从而真正解决问题。5.2.4 入侵检测评测法全部用户都应该对于IDS系统评价，一般的评价指标为系统的监测范围、资源占用、系统自身可靠性等，之后设计出满足广大用户的入侵检测平台，完成对于各种IDS的检测工作。5.2.5 建立健全安全防范措施根据安全风险管理方式对网络进行安全处理，我们将网络安全的各项工作看成一个统一的

13、整体，通过病毒防护、网络结构、加密通道、入侵检测等进行系统、全面的评估，从而真正做到安全性。5.3 技术的进步从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。目前，SRI/CSL、普渡大学、加州戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面代表了当前的最高水平。我国也有多家企业通过最初的技术引进，逐渐发展成自主研发。6、小结随着网络应用的普及，网络安全问题日益突出。由于传统的基于防火墙、身份认证以及加密技术的网络安全防御体系本身存在的缺陷和不足，使得入侵检测技术成为当前网络安全方面研究的热点和重要

14、方向。但是，目前的入侵检测技术还面临着许多问题，主要问题是不断增大的网络流量对入侵检测的实时性和数据处理性能提出的挑战。因此，如何提高入侵检测系统的检测效率，降低检测的误报率和漏报率，是对入侵检测技术研究的关键内容。本文从目前网络安全的现状入手，分析了当前所存在的一些网络安全问题，并着重介绍了入侵检测系统在动态的计算机系统安全理论模型中的重要性。通过对目前入侵检测系统研究现状及存在问题的分析,针对所存在问题的解决方法进行深入的研究。首先，介绍了入侵检测系统的基本概念、检测技术分类、检测方法和系统检测原理，并对各种检测方法进行比较，分析其优、缺点。接着，重点研究了模式匹配算法，对现有经典的各种算法进行了分析和比较，并给出了改进的算法，通过对改进的算法的性能分析和实验测试的数据结果验证了改进算法的优化效果。最后，对系统规则库进行了研究，针对目前系统规则库所存在的问题，提出了对规则库的改进方法，大大降低了检测的误报率和漏报率。并设计了一种基于调整规则库和改进