入侵检测系统的技术发展及应用前景

入侵检测系统的技术发展及应用前景摘要当今世界，人们的日常生活越来越离不开网络。随着网络的发展，人们也越来越重视网络信息安全的问题，特别是网络中涉及商业机密以及国家安全的信息。单纯的采用防火墙已经不足以保护这些重要信息，还要能够及时的发现恶意行为，并在恶意行为实施前做好保护措施，如断开连接，发出警告，过滤IP，甚至发起反击，这就是入侵检测技术。本文主要介绍入侵检测技术的发展概况及其分类的情况，并就入侵检测技术的应用前景及发展趋势作简单分析。关键字：网络安全;入侵检测;IDS;发展趋势;网络攻击入侵检测技术简介入侵检测的发展概况入侵检测可追溯到1986年，SRI的DorothyE.Denning发表的一篇论文《AnIntrusion-DetectionModel》，该文深入探讨了入侵检测技术，检索了行为分析的基本机制，首次将入侵检测的概念作为一种计算机安全防御措施提出，并建立了一个独立于系统、程序应用环境和系统脆弱性的通用入侵检测系统模型。90年代以前，SRI以及LosAlamos实验室都主要是针对主机IDS进行研究，分别开发了IDES、Haystack等入侵检测系统。1990年，UCD设计的网络安全监视器标志着入侵检测系统的研究进入网络领域。网络IDS的研究方法主要有两种：一是分析各主机的审计数据，并分析各主机审计数据之间的关系；二是分析网络数据包。由于90年代因特网的发展及通信和网络带宽的增加，系统的互连性已经有了显著提高，于是人们开始试图将主机和网络IDS集成。分布式入侵检测系统（DIDS）最早试图将基于主机的方法和网络监视方法集成在一起。可见，入侵检测系统的发展主要经历了三个阶段：主机IDS的研究、网络IDS的研究、最后将主机和网络IDS集成。入侵检测的概念入侵检测是对入侵行为的检测，通过收集和分析网络行为、安全日志、审计数据、以及其它网络上可以获得的信息以及计算机系统中若干关键点的信息，来检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。将入侵检测的软件与硬件相结合后便是入侵检测系统（IntrusionDetectionSystem）。入侵检测是防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它能够在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测的作用对一个成功的入侵检测系统来讲，它不但可以使系统管理员时刻了解网络系统的任何变更，还能给安全策略的制定提供指南。总的来说，IDS的作用和功能主要有：监控、分析用户和系统的活动；审计系统的配置和脆弱性；评估关键系统和数据文件的一致性；识别攻击的活动模式；对异常活动进行统计分析；对操作系统进行审计跟踪管理，识别违反政策的用户活动。入侵检测系统入侵检测系统的基本结构事件产生器事件产生器事件分析器事件数据库响应单元如图所示为入侵检测系统的基本结构。主要由以下四个部分组成：事件产生器事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后将搜集到的原始数据转换为事件，并向系统的其他部分提供此事件。事件分析器事件分析器接收事件信息，然后对信息进行分析，判断所接收信息是否为入侵行为或异常现象，最后将判断的结构转变为警告信息。3、事件数据库事件数据库是存放各种中间和最终数据的地方，它从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。响应单元响应单元根据警告信息作出反应，其可以做出切断连接、改变文件属性等强烈反应，也可以指示简单的报警，是入侵检测系统中的主动武器。当前主要入侵检测系统的分类1）根据入侵检测方法分类根据入侵检测所采用的技术，可以分为异常检测系统和误用检测系统。异常入侵检测系统：异常检测是指根据使用者的行为或资源使用状况来判断是否发生入侵事件，而不依赖于具体行为是否出现来检测，因此是基于行为的检测。其主要思想是根据系统的正常活动建立一个特征文件，通过统计那些不同于用户已建立的特征文件的所有系统状态来识别入侵。误用入侵检测系统：误用检测的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，并根据这些模式或特征建立一个数据库，然后将搜集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。因此是基于知识的检测技术或模式匹配检测技术。如果说异常检测是量化的入侵检测分析手段，那么误用检测应该是一种质化的检测手段。2）根据目标系统的类型分类根据目标系统的类型可以分为基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）。基于主机的入侵检测系统：该系统通过监视和分析主机上的审计日志，来检查主机上是否发生入侵行为。该系统需要准确的定义哪些是不合法的行为，并将其转换成入侵检测规则。它的优点的能够精确判断入侵事件，并及时响应。缺点是会占用宝贵的主机资源。基于网络的入侵检测系统：该系统主要使用原始网络数据包作为数据源，被动地在共享网段上进行侦听，通过分析数据包来检测是否发生入侵行为。它的优点是检测速度快、具有较好的隐蔽性、不容易遭到攻击、对主机资源消耗较少、还能够对网络提供通用的保护，缺点是只能够监听本网段的数据包，精确度较差，在交换网络环境的情况下难以配置。入侵检测系统的发展趋势及应用前景1、当前入侵检测系统面临的问题在入侵检测技术不断发展的同时，入侵技术也在更新。因此入侵技术的发展和演化应该是当前入侵检测系统面临的主要问题：入侵的综合化与复杂化。由于网络防范技术的多重化，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。入侵技术的分布化。以往常用的入侵与攻击行为往往由单机执行，由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。入侵主体对象的间接化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象而言攻击的主体是无法直接确定的。攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。2、入侵检测系统的技术发展趋势针对当前入侵检测系统面临的主要问题，我认为入侵检测技术主要会朝以下几个方向发展：分布式入侵检测：传统的IDS局限于单一主机或网络，对异构系统及大规模的网络检测明显不足，不同的IDS之间不能协同工作。因此需要发展分布式入侵检测技术及分布式的入侵检测架构。即发展针对分布式攻击的检测方法，以及通过分布式的架构来检测分布式的攻击。智能化入侵检测：所谓智能化检测方法，即现阶段常用的神经网络、遗传算法、模糊技术、免疫原理等方法。智能化检测方法的发展方向应该是发展出具有自学能力的算法，这样可以实现知识库的不断更新及扩展，使入侵检测系统的防范能力不断增强。高速网络的入侵检测：现在的网络接入速度越来越快，而在IDS中，截获网络中的数据包并对之进行分析、匹配规则需要耗费大量的时间和系统资源，大部分IDS的检测速度并不能适应当前的网络速度。因此需要发展高速网络下的入侵检测技术。入侵检测系统的标准化：在大型网络中，网络的不同部分可能使用了多种入侵检测系统，可能还有防火墙，漏洞扫描等设备。这些入侵检测系统以及安全设备如何很好的协同工作也应该是入侵检测系统发展应该考虑的问题。3、入侵检测系统的应用前景在互联网高速上网迅速发展的今天，随着安全事件的急剧增加以及入侵检测技术逐步成熟，入侵检测系统将会有很大的应用前景。无线网络。由于移动通信在带来可移动的优越性的同时也带来系统安全性的问题。因为移动通信的固有特点，移动台（MS）与基站（BS）之间的空中无线接口是开放的，这样整个通信过程，包括通信、链路的建立、信息的传输均暴露在第三方面前；而且在移动通信系统中，移动用户与网络之间不存在固定物理连接的特点使得移动用户必须通过无线信道传递其身份信息，以便于网络端能正确鉴别移动用户的身份，而这些信息就可能被第三者截获，并伪造信息，假冒此用户身份使用通信服务；另外无线网络也容易受到黑客和病毒的攻击。因此，IDS在无线网络方面有广阔的应用前景。家庭网络安全。由于网上银行、网上支付系统、B2C、C2C网站的发展使得家庭用户的网络安全问题也变得尤为突出。有需求就会有市场，相信IDS在不久的将来也将逐渐走入家庭。结束语尽管如今的入侵检测技术已经比较成熟，但面临不断变化的网络环境以及日新月异的网络技术，入侵检测技术也需要不断与时俱进。另外，我们应该意识到入侵检测系统虽然在网络安全中有着重要的作用，但它并不能代替其他的安全系统，例如杀毒软件，防火墙等。同时，我们在使用网络的同时也应增强自己的安全意识，这样才能拥有更加安全的网络环境。参考文献[1]薛静锋，祝烈煌，阎慧.入侵检测技术[M].人民邮电出版社，2007(1).[2]蒋朝惠，武彤，