网络入侵检测系统

1、106网络技术 2021年 4 月刊 信息与电脑China Computer&Communication随着 Internet的迅速开展，计算机及计算机网络逐渐成为被攻击的 目标，从而导致公司形象受损商业信息失窃、研究数据被盗、个人信 息失密等，因此计算机及网络的平安问题成为研究的焦点.要保证计 算机网络的平安，首先要防止对网络的攻击行为，现在一般使用防火 墙技术进行防范。另外，当防火墙被攻破或被绕开时，还要能够及时 发现这种恶意行为，并在这种行为对系统或数据进行破坏之前，能够 采取一定的行为，如进行报警、切断连接、封掉IP或进行还击等，这就是入侵检测技术Intrusion Detec

2、tion Technology ，简称 IDT。一、 入侵检测技术1980年，James P. Anderson 在题为?ComputSecurity Threat Monitoring andSurveillance 计算机平安威胁监控和监视?的 技术报告中，第一次详细阐述了入侵检测的概念。他提出了一种对计 算机系统风险和威胁的分类方法，并将威胁分为内部渗透、外部渗透 和不法行为 3种，提出了利用审计跟踪数据监视活动的思想。入侵检 测技术就是依据这一思想建立起来的一种积极主动的平安防护技术， 它提供了对内部攻击、外部攻击和误操作的实时保护，能在网络系统 受到危害之前进行拦截和响应。它主要完成

3、以下功能：监视、分析用 户和系统的活动检查系统的配置和漏洞；评估关键系统和数据的完整 性；识别代表的攻击活动模式；对反常行为模式进行统计分析； 对操作系统进行校验管理，判断是否有破坏平安的用户行为。二、 入侵检测技术分类根据不同的结构和监听策略，入侵检测系统主要分为两类：基于主机的入侵检测系统HIDS和基于网络的入侵检测系统NIDS。一主机型入侵检测系统主机型入侵检测系统通常是安装在被重点检测的主机之上，主要 是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。 HIDS 一般监视 WindowsNT的系统、事件、平安日志以及 Unix环境 中的 SYSLO改件。一旦发现这些文件发生任

4、何变化，IDS将比拟新的日志记录与攻击签名以发现他们是否匹配。主机型入侵检测系统具 有以下优点：对分析“可能的攻击行为非常有用；非常适用于加密 和交换环境；比拟实时的检测和应答；不需要额外的硬件。它的弱点 是：如果把 HID 以装在需要保护的设备上，那么会降低系统的效率。 另外，它还依赖于效劳器固有的日志和监视能力。二网络型入侵检测系统网络型入侵检测系统一般放在比拟重要的网段内不停的监视网段 中的各种数据包，并对每一个数据包或可疑的数据包进行特征分析。 如果数据包与系统内置的某些规那么吻合，入侵检测系统就会发出警报 甚至直接切断网络连接。目前大局部入侵检测产品都是基于网络的。 网络入侵检测系统

5、的优点是：它不会在业务系统的主机中安装额外的软件，从而不会影响主机的 CPU I/O 与磁盘等资源的使用，不会影 响业务系统的性能；当网络入侵检测系统发生故障时不会影响正常业 务的运行； 部署一个网络入侵检测系统的风险远低于布置一个主机型 入侵检测系统。但是，网络入侵检测系统只检查它直接连接网段的通 信，不能检测在不同网段的网络数据包，在使用交换以太网的环境中 就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会 使部署整个系统的本钱大大增加。三、入侵检测技术的开展趋势入侵检测技术可以用于文件系统的完整性检测、用户行为检测和网络异常检测等.但是仅仅发现入侵行为还不够，还必须采取进一步

6、的措施以制止攻击，防止造成进一步危害，如改变网络配置、切断连 接、向攻击者发出警告信息、进行还击等。理想的情况是，在入侵行 为造成危害之前就已经采取了必要的措施。一分布式入侵检测为了克服基于主机的入侵检测和基于网络的入侵检测的不 足， 现在人们又提出了一种新的入侵检测技术，即分布式入侵检测Distributed IntrusionDetection System，简称 DIDS.分布式入侵检测有两方面的含义，一是对分布式攻击的入侵检测技术，二是入侵检 测系统采用分布式计算技术.分布式入侵检测技术主要有层次式入侵 检测和协作式入侵检测两类.协作式入侵检测系统各分布部件之间不 存在主从之分，相互协

7、作，优点是比拟灵活，系统的容错能力较强， 各分布部件可以独立工作；缺点是各分布部件之间的协调算法比拟 复杂，缺少一个统一的处理模块，不利于对全局的平安事件的理解。而层次式入侵检测系统那么把系统分成假设干层次，上层部件控制下层 部件，它的优点是系统由控制中心统一控制，有利于大规模入侵事件 的检测，效率比协作式高；缺点是如果主控模块遭到破坏，那么整个系 统的工作会受到影响，系统的可扩充性也较差.目前流行的 Manager/ Agent结构不仅可以监控整个网络的入侵和攻击行为、审查日志文 件，还可以进行实时入侵活动的探测，代表了网络分布式入侵检测技 术的开展趋势。二入侵检测技术和防火墙技术相结合将入

8、侵检测技术和防火墙技术相结合，可以起到互补的作用。一 方面，防火墙不能拒绝内部攻击，而且在策略配置上容易发生遗漏或 错误，而利用 NIDS那么可以弥补这样的缺乏.两者功能结合的具体实 施方法为 NIDSJ用传感器收集事件，分析器通过异常检测或误用检 测方法检测入侵或入侵企图。假设发现异常，通知管理器做出反响，还 要通知防火墙，并动态修改防火墙的规那么，断开或屏蔽可疑主机通信 流量。这样可以更加有针对性地拒绝攻击，更加有针对性地实现防火 墙的配置。另一方面，NIDS能有效地防止对自身的攻击，但通过访问防火墙可以调整 NIDS 勺分析器，使之不分析被防火墙屏蔽了的 在内部网之外的流量类型，减小NI

9、DS 的负载，提高网络性能。三主动防御技术另外一种常用的技术是采用主动防御技术，也就是所谓的陷阱 网络。陷阱网络是一种专门让黑客攻陷的网络或主机，在主动引入机网络入侵检测系统的分析与研究魏兵役 中国石油天然气股份大港油田分公司勘探开发研究院，天津 300280 摘要：入侵检测技术因能同时检测来自网络外部的恶意攻击和内部的破坏行为而得到了广泛 研究，然而，由于入侵检测技术自身的复杂性和不成熟性，在当前的大规模、 分布式和高速的网络环境中还存在很多问题。本文从入侵检测技术概念、入侵检测技术分类出发，研究了分布式、自动化和智能化是入侵检测技术开展的方向，这需要入侵检测技术与防火墙等网络平安技术相结合

10、。关键词：网络平安；入侵检测；防火墙中图分类号:TP393.08文献标识码：A文章编号：1003-9767 (2021) 04-0106-02(下转第 108 页)108网络技术 2021年 4 月刊信息与电脑China Computer&CommunicationInternet ,主要开展娱乐、视频点播、信息浏览查询下载、远程教学、 聊天、邮件等各种业务。3溯照发放之后，各大运营商都将在省际、省内、本地层面建设专用 IP承载网，以便疏通 3G语音和移动数据业 务。ASO 窿疏通 IP 承载网业务上具有优势能够在传送网上疏通疏通 IP 承载网业务，能够提供完善的保护机制。3.2.3移

11、动数据业务承载分析移动数据业务是通过 IP承载网进行疏通的，IP承载网必须经由传送网络进行传输和保护。因此 ASONt IP承载网的疏通包含了对移动数据业务的承载。3.3流媒体业务承载分析流媒体(Streaming Media )指在数据网络上按时间先后次序传输 和播放的连续音/视频数据流。 本质上，流媒体技术是一种在数据网 络上传递多媒体信息的技术。目前数据网络具有无连接、无确定路 径、无质量保证的特点，给多媒体实时数据在数据网络上的传输带来 了极大的困难。流媒体技术实际上是IP数据网层面的技术，传输层面只是提供透明的传输通道。ASO传送网络以其动态带宽自动配置的优势特另 U 适合流媒体业务

12、的开展。因为传输层为路由器配置的通道是可以通过动态调节不断 变化的，路由器之间数据流量小时可以缩减传输配置，路由器之间数 据流量大时可以动态增加传输配置，只要带宽需求在ASO 临输系统所能提供的最大带宽范围之内，都可以实现动态配置，使得流媒体业 务不会因为底层传输的瓶颈而受到影响，不会出现网络拥塞，实时业 务不能提供等弊端。3.4其它业务承载分析其他业务主要包括带宽出租、大客户接入业务等。这些业务是运营商增长较快，盈利性较好的业务，必须通过传送网络的保护，最 大限度的提高业务的平安性，让客户满意。ASONI 入后比之目前的SD倍传输技术可以更加快速的配置端到端电路，平安性能也更强。4.结束语通

13、过对基于 ASO传送网的各种承载业务进行分析，认为在目前传送网的各项业务中，传送网承载业务IP化已经是无可争辩的事实，IP业务逐渐成为主导业务，因此，承载业务的IP化成为整个电信网发展的必然趋势。ASON是下一步运营商规划时重点考虑引入的重大 技术，是网络转型的重要工作之一。参考文献：1 韦乐平，光同步数字传送网，人民邮电出版社，20022 都贺铃，中国光纤传送网的开展，电信科学 1999年第 10期3 中国电彳.2021年年报4 李允博 徐荣，数据业务承载技术应用分析，电信网技术?， 2007年 8 月第 8 期5 The IP over SDH/ SONET Model . ITU2T.

14、SG7 , D. 191 ,1998(9) 制或诱骗机制的作用下，将黑客的入侵行为引入到一个可以控制的范 围，消耗其时间，了解其使用的方法和技术，追踪其来源，记录其犯罪证据。陷阱网络系统适用于各种规格的网络，在网络防火墙、入侵 检测系统等平安措施的配合下，能弥补原有平安防御的缺乏，大大地 提升网络平安性能.采取主动防御的入侵检测技术将会对入侵检测体 系结构产生影响，是目前研究的热点。(四)基于免疫学的入侵检测基于免疫学的入侵检测系统也是近来兴起的新技术。免疫计算 机与人体免疫系统类似，它是根据系统调用序列区分正常行为和异常 行为， 类似于免疫系统根据肽链区分自身物质和非自身物质， 只有和 正常

15、行为模式数据库相匹配的行为才被视为正常，否那么视为入侵.同 时，由于正常行为数据库是根据操作经验产生的，而且该数据库与本 地操作环境有关，因此每个结点的数据库均不同，有效地提高了结点 和网络的平安性。入侵检测作为一种积极主动的平安防护技术，提供了对内部攻 击、外部攻击和误操作的实时保护，从网络平安立体纵深、多层次防 御的角度出发，入侵检测理应受到高度重视。但是，我国内的入侵检 测现状还是仅仅停留在研究和实验样品(缺乏升级和效劳)阶段， 或 者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测技术及其产品还具有较大的开展空间。参考文献：1 吉根林，帅克，孙志挥.数据挖掘技术及应用J .南京师大学报，2000, (23) : 25 27