前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇入侵檢測技術(shù)范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

入侵檢測技術(shù)范文第1篇

關(guān)鍵詞：入侵檢測；入侵檢測系統(tǒng)；動態(tài)防護(hù)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)36-pppp-0c

On the Intrusion Detection Technology

FANG A-li，YIN Mei-gui

(HeYuan Polytechnic Electronic and Information Engineering ,HeYuan 517000, China)

Abstract：Intrusion detection technology is a dynamic combination of multiple technologies for the computer and network protection . Starting from the basic concepts of intrusion detection, expounded the principles ,process, performance indicators and technical issues of intrusion detection.

Key words ：intrusion detection;intrusion detection systems;dynamic protection

在信息網(wǎng)絡(luò)普及的時(shí)代，計(jì)算機(jī)和網(wǎng)絡(luò)安全顯得直觀重要，防火墻技術(shù)，通常能夠在內(nèi)網(wǎng)和外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，但是這是遠(yuǎn)遠(yuǎn)不夠的。入侵檢測技術(shù)是對防火墻技術(shù)的有效補(bǔ)充，為計(jì)算機(jī)和網(wǎng)絡(luò)安全增加了又一道閥門。

1 基本概念

入侵檢測是指對計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為進(jìn)行識別，并對此做出響應(yīng)和處理的過程。

入侵檢測技術(shù)是一種對計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為進(jìn)行檢測和對計(jì)算機(jī)系統(tǒng)進(jìn)行實(shí)時(shí)檢測，發(fā)現(xiàn)其中未授權(quán)或異?，F(xiàn)象進(jìn)行報(bào)告的技術(shù)。

入侵檢測系統(tǒng)是指進(jìn)行入侵檢測的軟件和軟件配置環(huán)境相關(guān)硬件的集合。

入侵檢測技術(shù)是一種動態(tài)安全防御技術(shù)，入侵檢測系統(tǒng)的功能是在對網(wǎng)絡(luò)性能不影響的情況下，對網(wǎng)絡(luò)活動進(jìn)行檢測，從而對來自網(wǎng)絡(luò)的內(nèi)外部攻擊和人員的誤操作提供實(shí)時(shí)保護(hù)，并在系統(tǒng)受到危害之前對可能得入侵進(jìn)行攔截和響應(yīng)。

2 入侵檢測原理

入侵檢測一般分為實(shí)時(shí)入侵檢測和事后入侵檢測。

實(shí)時(shí)入侵檢測原理：在網(wǎng)絡(luò)連接的條件下，入侵檢測系統(tǒng)首先根據(jù)用戶的歷史行為模型、神經(jīng)網(wǎng)絡(luò)模型以及存儲在計(jì)算機(jī)中的專家知識對當(dāng)前的系統(tǒng)進(jìn)行判斷，如果發(fā)現(xiàn)可疑，立馬斷開可疑對象發(fā)出者與主機(jī)的連接；緊接著，收集相關(guān)證據(jù)并實(shí)施數(shù)據(jù)恢復(fù)。

事后入侵檢測原理：網(wǎng)絡(luò)管理人員定期或不定期根據(jù)計(jì)算機(jī)系統(tǒng)對于用戶操作的歷史審計(jì)記錄進(jìn)行判斷用戶事后是否具有入侵行為，如果有就斷開連接，并記錄入侵證據(jù)，然后對數(shù)據(jù)進(jìn)行恢復(fù)。

3 入侵檢測過程

入侵檢測的一般過程分為三個步：信息收集、數(shù)據(jù)分析和事件響應(yīng)。

第一步為信息收集，信息收集由不同主機(jī)的或放置在不同網(wǎng)段的傳感器來完成。收集的信息包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、異常的目錄和文件改變、異常的程序執(zhí)行等。

第二步為數(shù)據(jù)分析，數(shù)據(jù)分析通過模式匹配、統(tǒng)計(jì)分析和完整性分析等技術(shù)，對收集到的數(shù)據(jù)進(jìn)行深入分析（其中，數(shù)據(jù)包括網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等），發(fā)現(xiàn)攻擊，然后根據(jù)分析的結(jié)果產(chǎn)生事件，并將事件傳遞給事件響應(yīng)模塊等待處理。

第三步為事件處理，事件處理是由控制臺依據(jù)告警產(chǎn)生預(yù)先定義的響應(yīng)（分主動響應(yīng)和被動響應(yīng)），并進(jìn)行重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，或者只是簡單的告警。

4 入侵檢測的主要性能指標(biāo)

入侵檢測的主要性能指標(biāo)包括：準(zhǔn)確性指標(biāo)、效率指標(biāo)和系統(tǒng)指標(biāo)。

4.1準(zhǔn)確性指標(biāo)

準(zhǔn)確性指標(biāo)主要包括檢測率、誤報(bào)率和漏報(bào)率等指標(biāo)。檢測率是指系統(tǒng)在所監(jiān)視網(wǎng)絡(luò)在受到攻擊時(shí)能正確報(bào)警的概率。檢測率=入侵報(bào)警數(shù)/入侵攻擊數(shù)。誤報(bào)率是指系統(tǒng)把正常的行為誤報(bào)為入侵攻擊而進(jìn)行報(bào)警的概率和把一種攻擊錯報(bào)為另一種攻擊的概率。誤報(bào)率=錯誤報(bào)警數(shù) /(正常行為數(shù)+攻擊數(shù))漏報(bào)率是指所檢測網(wǎng)絡(luò)受到入侵攻擊時(shí)，系統(tǒng)不能正確報(bào)警的概率。漏報(bào)率=不能正確報(bào)警的數(shù)量/入侵攻擊的總量。

4.2效率指標(biāo)

效率指標(biāo)主要是根據(jù)用戶系統(tǒng)的實(shí)際需求，以保證檢測質(zhì)量為準(zhǔn)，同時(shí)取決于不同的硬件設(shè)備級別。效率指標(biāo)主要包括最大處理能力、每秒并發(fā)TCP會話數(shù)、最大并發(fā)TCP會話數(shù)等。最大處理能力是指在指定檢測率范圍內(nèi)，系統(tǒng)沒有漏報(bào)的最大處理能力。每秒并發(fā)TCP會話數(shù)是指系統(tǒng)每秒最大可以增加的TCP連接數(shù)。最大并發(fā)TCP會話數(shù)是指系統(tǒng)最大限度范圍內(nèi)，可以同時(shí)支持的TCP連接數(shù)。

4.3系統(tǒng)指標(biāo)

系統(tǒng)指標(biāo)是衡量系統(tǒng)運(yùn)行的穩(wěn)定性和使用的方便性的參考。衡量指標(biāo)只要包括最大規(guī)則數(shù)、平均無故障時(shí)間等。最大規(guī)則數(shù)是指系統(tǒng)允許配置的最大入侵檢測規(guī)則條目數(shù)。平均無故障時(shí)間是指系統(tǒng)無故障連續(xù)工作的時(shí)間。

5 入侵檢測技術(shù)

入侵檢測技術(shù)的關(guān)鍵技術(shù)是異常檢測技術(shù)和誤用檢測技術(shù)。

5.1異常檢測技術(shù)

異常檢測技術(shù)是依據(jù)用戶的行為和系統(tǒng)資源的使用狀況來判斷是否存在網(wǎng)絡(luò)入侵的技術(shù)，也稱為基于行為的檢測技術(shù)。

異常檢測技術(shù)原理：首先假設(shè)網(wǎng)絡(luò)攻擊行為是不常見的或是異常的，然后將當(dāng)前捕獲的網(wǎng)絡(luò)行為與行為模型進(jìn)行對比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。

異常檢測技術(shù)分類：異常檢測技術(shù)分為統(tǒng)計(jì)分析異常檢測、貝葉斯推理異常檢測、神經(jīng)網(wǎng)絡(luò)異常檢測、模式預(yù)測異常檢測、數(shù)據(jù)采掘異常檢測、文件完整性異常檢測、免疫系統(tǒng)異常檢測和機(jī)器學(xué)習(xí)異常檢測。

異常檢測技術(shù)優(yōu)缺點(diǎn):異常檢測技術(shù)具有能夠檢測出新的網(wǎng)絡(luò)入侵方法攻擊、較少依賴于特定的主機(jī)操作系統(tǒng)、對于內(nèi)部合法用戶的越權(quán)違法行為的檢測能力較強(qiáng)等優(yōu)點(diǎn)。但存在誤報(bào)率高、行為模型建立困難、難以對入侵行為進(jìn)行分類和命名等不足。

5.2誤用檢測技術(shù)

誤用檢測技術(shù)是指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。也稱為基于知識或模式匹配的檢測技術(shù)。

誤用檢測技術(shù)原理：首先假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，然后將當(dāng)前捕獲的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息進(jìn)行比較，如果匹配，則當(dāng)前行為就被認(rèn)定為入侵行為。

誤用檢測技術(shù)分類：誤用檢測技術(shù)專家系統(tǒng)誤用檢測、特征分析誤用檢測、模式推理誤用檢測、條件概率誤用檢測、狀態(tài)轉(zhuǎn)換誤用檢測、鍵盤監(jiān)控誤用檢測等檢測技術(shù)。

誤用檢測技術(shù)優(yōu)缺點(diǎn)：誤用檢測技術(shù)檢測準(zhǔn)確度高、技術(shù)相對成熟，便于進(jìn)行系統(tǒng)維護(hù)，但其對具體系統(tǒng)依賴性太強(qiáng)，可移植性差、維護(hù)特征庫的工作量大、不能檢測出新的入侵行為、難以檢測來自系統(tǒng)內(nèi)部的攻擊。

其它入侵檢測技術(shù)包括基于數(shù)據(jù)挖掘、遺傳算法和免疫技術(shù)的入侵檢測技術(shù)等。

6 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)的分類依據(jù)不同，分類也不同，依據(jù)系統(tǒng)所檢測的對象是主機(jī)或網(wǎng)絡(luò)包，入侵檢測系統(tǒng)的分為：基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)包分析的入侵檢測系統(tǒng)。

6.1基于主機(jī)的入侵檢測系統(tǒng)

基于主機(jī)的入侵檢測系統(tǒng)需要安裝在被保護(hù)的主機(jī)上，通過監(jiān)視和分析主機(jī)的審計(jì)記錄及日志文件來檢測入侵行為，通常用來保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。OSSEC HIDS就是一個典型的基于主機(jī)的開源入侵檢測系統(tǒng)。

基于主機(jī)的入侵檢測系統(tǒng)的優(yōu)點(diǎn)是能夠校驗(yàn)出攻擊是否成功；可使特定的系統(tǒng)行為受到嚴(yán)密監(jiān)控等。缺點(diǎn)是會占用主機(jī)的資源，對操作系統(tǒng)的依賴性強(qiáng)。

6.2基于網(wǎng)絡(luò)包分析的入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)包分析的入侵檢測系統(tǒng)需要安裝在受護(hù)的網(wǎng)段中，利用網(wǎng)絡(luò)監(jiān)聽技術(shù)實(shí)時(shí)監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，并對這些數(shù)據(jù)包的內(nèi)容以及數(shù)據(jù)來源和傳輸目的地等進(jìn)行分析和檢測。一旦發(fā)現(xiàn)可疑事件或入侵行為，系統(tǒng)就會發(fā)出警報(bào)，在嚴(yán)重時(shí)切斷網(wǎng)絡(luò)連接。

基于網(wǎng)絡(luò)包分析的入侵檢測系統(tǒng)的優(yōu)點(diǎn)是購買成本低，對識別出來的攻擊能進(jìn)行實(shí)時(shí)檢測和響應(yīng)。缺點(diǎn)是防欺騙能力差、交互環(huán)境下難以配置等。Sguil是一款典型的被稱為網(wǎng)絡(luò)安全專家監(jiān)視網(wǎng)絡(luò)活動的控制臺工具。

基于網(wǎng)絡(luò)和基于主機(jī)的IDS在功能上各有優(yōu)勢，又互為補(bǔ)充。對于對方無法檢測到的一些入侵行為都能及時(shí)發(fā)現(xiàn)。但對于從某個重要服務(wù)器的鍵盤發(fā)出的攻擊就無法通過基于網(wǎng)絡(luò)的IDS檢測到，相反，對于涉及檢查包首標(biāo)（header）來進(jìn)行得檢測只能通過基于網(wǎng)絡(luò)的IDS來完成。

7 結(jié)束語

隨著用戶對于網(wǎng)絡(luò)安全意識的提高，以及入侵檢測技術(shù)的發(fā)展日趨成熟，相信不久的將來，人們對于危險(xiǎn)四伏的網(wǎng)絡(luò)環(huán)境將不再恐懼。

參考文獻(xiàn)：

入侵檢測技術(shù)范文第2篇

關(guān)鍵詞入侵檢測異常檢測誤用檢測

在網(wǎng)絡(luò)技術(shù)日新月異的今天，寫作論文基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet，全社會信息共享已逐步成為現(xiàn)實(shí)。然而，近年來，網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，以防范外對內(nèi)的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時(shí)無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn)，50％的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測能力。寫作畢業(yè)論文而這一點(diǎn)，對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。

因此，在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷，引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補(bǔ)充，在不影響網(wǎng)絡(luò)性能的情況下，通過對網(wǎng)絡(luò)的監(jiān)測，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?，F(xiàn)在，入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向，在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2入侵檢測

2．1入侵檢測

入侵檢測是通過從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應(yīng)。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識別并驅(qū)除入侵者，使系統(tǒng)迅速恢復(fù)正常工作，并且阻止入侵者進(jìn)一步的行動。同時(shí)，收集有關(guān)入侵的技術(shù)資料，用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。

入侵檢測可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今，寫作英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品，其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2檢測技術(shù)

入侵檢測為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測及攻擊行為檢測，并采取相應(yīng)的防護(hù)手段。例如，實(shí)時(shí)檢測通過記錄證據(jù)來進(jìn)行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制；攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者，進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測的步驟如下：

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息

入侵檢測一般采用分布式結(jié)構(gòu)，在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息，一方面擴(kuò)大檢測范圍，另一方面通過多個采集點(diǎn)的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進(jìn)行分析

常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計(jì)分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí)，就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇，閾值太小可能產(chǎn)生錯誤的入侵報(bào)告，閾值太大可能漏報(bào)一些入侵事件。

完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。寫作工作總結(jié)根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。

3．1異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞?，通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測，是一種間接的方法。

常用的具體方法有：統(tǒng)計(jì)異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機(jī)器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。

采用異常檢測的關(guān)鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。

(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn)，因此，參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過大，那漏警率會很高；閾值設(shè)定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見，異常檢測技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計(jì)算量很大，對系統(tǒng)的處理性能要求很高。

3．2誤用檢測

又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，寫作留學(xué)生論文對已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。

誤用檢測是根據(jù)攻擊簽名來判斷入侵的，根據(jù)對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種，同時(shí)又不會把非入侵行為包含進(jìn)來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有預(yù)警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進(jìn)行比較，從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測系統(tǒng)，其檢測的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。

3．2．1不能檢測未知的入侵行為

由于其檢測機(jī)理是對已知的入侵方法進(jìn)行模式提取，對于未知的入侵方法就不能進(jìn)行有效的檢測。也就是說漏警率比較高。

3．2．2與系統(tǒng)的相關(guān)性很強(qiáng)

對于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng)，由于攻擊的方法不盡相同，很難定義出統(tǒng)一的模式庫。另外，誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為。

目前，由于誤用檢測技術(shù)比較成熟，多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過，為了增強(qiáng)檢測功能，不少產(chǎn)品也加入了異常檢測的方法。

4入侵檢測的發(fā)展方向

隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟(jì)的影響越來越大，再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化，信息戰(zhàn)已逐步被各個國家重視。近年來，入侵檢測有如下幾個主要發(fā)展方向：

4．1分布式入侵檢測與通用入侵檢測架構(gòu)

傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足，再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題，需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。

4．2應(yīng)用層入侵檢測

許多入侵的語義只有在應(yīng)用層才能理解，然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議，而不能處理LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶／服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用，也需要應(yīng)用層的入侵檢測保護(hù)。

4．3智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但是，這只是一些嘗試性的研究工作，需要對智能化的IDS加以進(jìn)一步的研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。

4．4入侵檢測的評測方法

用戶需對眾多的IDS系統(tǒng)進(jìn)行評價(jià)，評價(jià)指標(biāo)包括IDS檢測范圍、系統(tǒng)資源占用、IDS自身的可靠性，從而設(shè)計(jì)出通用的入侵檢測測試與評估方法與平臺，實(shí)現(xiàn)對多種IDS的檢測。

4．5全面的安全防御方案

結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案。

綜上所述，入侵檢測作為一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為，為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測的研究與開發(fā)，并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合，使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化，從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

l吳新民．兩種典型的入侵檢測方法研究．計(jì)算機(jī)工程與應(yīng)用，2002；38(10)：181—183

2羅妍，李仲麟，陳憲．入侵檢測系統(tǒng)模型的比較．計(jì)算機(jī)應(yīng)用，2001；21(6)：29～31

3李渙洲．網(wǎng)絡(luò)安全與入侵檢測技術(shù)．四川師范大學(xué)學(xué)報(bào)．2001；24(3)：426—428

4張慧敏，何軍，黃厚寬．入侵檢測系統(tǒng)．計(jì)算機(jī)應(yīng)用研究，2001；18(9)：38—4l

入侵檢測技術(shù)范文第3篇

【 關(guān)鍵詞 】 網(wǎng)絡(luò)信息管理；入侵檢測技術(shù)；存在問題

The Network Information Management in Intrusion Detection Technology Analysis

Yin Wen-ting

(Ningxia Electric Power Company Guyuan Power Supply Bureau Power Dispatching Control Center NingxiaGuyuan 756000)

【 Abstract 】 this paper, based on the working practice, this paper analyzes the present information management network intrusion detection technology related problems, And introduces mainly the anomaly detection and misuse detection two network information management intrusion detection technology. One anomaly detection and including characteristic features of the selection and reference threshold choice two kinds. We hope that relevant personnel to reference and, Information management of network intrusion detection technology can have a deeper knowledge, Gradually grasp the information management network intrusion detection technology of the actual content, Promote the intrusion detection technology in network information management application development.

【 Keywords 】 the network information management;Intrusion detection technology;problems

0 引言

隨著科技日新月異的發(fā)展，整個的網(wǎng)絡(luò)信息管理已經(jīng)成為了社會生活中各個部門十分重視的一個方面。但是，目前網(wǎng)絡(luò)信息管理活動中出現(xiàn)的各類不良攻擊行為日趨普遍，為了保障整個網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)系統(tǒng)和全部信息設(shè)施的網(wǎng)絡(luò)安全，引進(jìn)入侵檢測技術(shù)對整個網(wǎng)絡(luò)信息進(jìn)行安全管理很有必要。下面，就通過對網(wǎng)絡(luò)信息管理入侵技術(shù)存在的問題、入侵檢查技術(shù)的內(nèi)容以及網(wǎng)絡(luò)信息管理入侵檢測技術(shù)的分類進(jìn)行探討。

1 網(wǎng)絡(luò)信息管理入侵檢測技術(shù)存在的問題

1.1 無法檢測未知的入侵行為

入侵檢測技術(shù)主要是對于已知的入侵模式進(jìn)行提取，這就是網(wǎng)絡(luò)信息管理入侵檢測技術(shù)的檢測機(jī)理，但是很多的入侵行為顯得極為隱秘，無法被正常檢測出來，這樣就會對整個網(wǎng)絡(luò)信息管理帶來一定的安全隱患。換而言之，網(wǎng)絡(luò)信息管理入侵檢測技術(shù)的一個缺點(diǎn)就是漏警率較高，這樣的問題對整個網(wǎng)絡(luò)系統(tǒng)的信息管理帶來了消極影響。一些未知的入侵行為可能會帶來很大的信息泄露或損壞等風(fēng)險(xiǎn)，而且這樣的網(wǎng)絡(luò)信息管理問題在應(yīng)用入侵檢測技術(shù)時(shí)也大量出現(xiàn)過。

1.2 檢測速度小于網(wǎng)絡(luò)速率

目前網(wǎng)絡(luò)信息管理入侵檢測系統(tǒng)在檢測速度上還有待進(jìn)一步的提高，由于在進(jìn)行入侵檢測進(jìn)程時(shí)經(jīng)常會出現(xiàn)檢測速度小于網(wǎng)絡(luò)傳輸速率的問題，這個時(shí)候?qū)υ谀骋惶囟〞r(shí)間內(nèi)入侵的風(fēng)險(xiǎn)行為，檢測系統(tǒng)通常沒有能力進(jìn)行識別和摸索，進(jìn)而使得這些未知的入侵行為對整個網(wǎng)絡(luò)信息管理帶來了一定的影響。由于目前網(wǎng)絡(luò)傳輸速度的飛速提升，而入侵檢測技術(shù)的檢測速度遠(yuǎn)遠(yuǎn)跟不上網(wǎng)絡(luò)速度的前進(jìn)步伐，這樣就使得網(wǎng)絡(luò)信息管理入侵檢測技術(shù)的檢測速率遠(yuǎn)小于網(wǎng)絡(luò)速率，造成了誤報(bào)和漏報(bào)的情況，這樣不利于整個入侵檢測系統(tǒng)進(jìn)行檢測程序的準(zhǔn)確性和實(shí)效性的發(fā)展。

1.3 自身檢測系統(tǒng)容易遭受攻擊

對整個網(wǎng)絡(luò)信息管理入侵檢測系統(tǒng)而言，它們很容易遭受到入侵行為的攻擊。目前來說，很多信息管理的入侵檢測系統(tǒng)在使用過程中大部分都存在著遭受危險(xiǎn)攻擊的現(xiàn)象，主要原因就是科技的進(jìn)步導(dǎo)致世界各地的黑客技術(shù)也迅猛發(fā)展，一些黑客高手通過一些惡意插件或者難以檢測的木馬對相應(yīng)的入侵檢測系統(tǒng)進(jìn)行攻擊，使得這些系統(tǒng)的檢測作用紊亂，同時(shí)自身的系統(tǒng)構(gòu)件也受到了一定的損害。在這樣的情況下，整個的入侵檢測系統(tǒng)還存在著一定的構(gòu)件缺點(diǎn)，不能夠有效地過濾掉惡意攻擊行為，對系統(tǒng)形成相應(yīng)的保護(hù)。在網(wǎng)絡(luò)信息管理中，這些系統(tǒng)的使用風(fēng)險(xiǎn)無疑是增高了。

2 入侵檢測技術(shù)的內(nèi)容

入侵檢查就是對防火墻的補(bǔ)充，是整個網(wǎng)絡(luò)信息安全管理的第二道大門。入侵檢測就是對整個計(jì)算機(jī)網(wǎng)絡(luò)中的一些信息的關(guān)鍵點(diǎn)進(jìn)行分析，從這些信息中去發(fā)現(xiàn)是否存在著一些違反了網(wǎng)絡(luò)安全規(guī)定和系統(tǒng)遭受攻擊的行為，并且對此自動進(jìn)行回應(yīng)。它在網(wǎng)絡(luò)信息管理中的主要作用就是對系統(tǒng)和用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)測和維護(hù)，同時(shí)對整個系統(tǒng)的安全漏洞和配置進(jìn)行審計(jì)，并且及時(shí)對相關(guān)入侵行為進(jìn)行識別、跟蹤和警報(bào)工作。入侵檢測技術(shù)在網(wǎng)絡(luò)信息管理中的應(yīng)用能夠很好地幫助系統(tǒng)用戶維護(hù)整個信息的安全和及時(shí)修護(hù)系統(tǒng)，保障系統(tǒng)正常工作的作用。通常來說，入侵檢測技術(shù)的步驟主要如下：首先，必須要收集整個用戶、系統(tǒng)和網(wǎng)絡(luò)等活動的行為和狀態(tài)的信息。這些信息基本上都是對網(wǎng)絡(luò)信息的關(guān)鍵點(diǎn)分析得來，一方面能夠?qū)⒄麄€檢測的范圍擴(kuò)大，同時(shí)還能依據(jù)多個信息采集點(diǎn)來判斷是否有入侵行為的存在。其次，分析收集的信息。通常入侵檢測技術(shù)的分析數(shù)據(jù)方法都是采用模型匹配，將收集的信息與數(shù)據(jù)庫中的信息進(jìn)行比對，從而找出是否有違背網(wǎng)絡(luò)信息管理安全策略的行為。另外，統(tǒng)計(jì)分析法和完整性分析法也是常用的數(shù)據(jù)分析方法，這些分析方法的應(yīng)用就是入侵檢測技術(shù)能夠很快識別、追蹤入侵行為的重要基礎(chǔ)。

3 網(wǎng)絡(luò)信息管理入侵檢測技術(shù)的分類

3.1 異常檢測

（1）特征量的選擇

在進(jìn)行異常檢測行為過程中，為了判斷哪些入侵行為在網(wǎng)絡(luò)信息管理中屬于異常的，通常會建立一個正常的系統(tǒng)和用戶的行為特征輪廓，在整個入侵檢測系統(tǒng)中進(jìn)行記憶，當(dāng)一些異常的入侵行為出現(xiàn)時(shí)，系統(tǒng)就能夠很快檢測出來。在建立正常的行為特征輪廓模型的時(shí)候，通常是選擇一些能夠準(zhǔn)確地體現(xiàn)出用戶和系統(tǒng)行為的特征量，能夠使得整個檢測系統(tǒng)在應(yīng)用過程中達(dá)到最優(yōu)化的效果，進(jìn)而減少了檢測的難度，從而提高了整個網(wǎng)絡(luò)信息管理的檢測效率。

（2）參考閾值的選擇

在異常檢測過程中，通常設(shè)定了正常的特征輪廓，因此為了保證整個入侵檢測系統(tǒng)工作方法的準(zhǔn)確，參考閾值的選擇是十分重要的。在網(wǎng)絡(luò)信息管理過程中，當(dāng)參考閾值的設(shè)定過小時(shí)，檢測系統(tǒng)的虛警率就會提高；當(dāng)參考閾值的設(shè)定過大時(shí)，就會出現(xiàn)漏警率過高的情況，由此看來在保持異常檢查工作科學(xué)進(jìn)行進(jìn)程，必須要選擇一個合適的參考閾值，這樣才能夠保證整個的異常檢測對入侵行為的檢測形成有效的作用。

3.2 誤用檢測

誤用檢測的應(yīng)用前提就是所有的入侵行為都能夠被識別和標(biāo)記。通常，誤用檢測就是利用對一直的攻擊方法實(shí)施攻擊簽名，再依據(jù)已經(jīng)定義完成的攻擊簽名來對是否存在入侵行為進(jìn)行判斷?？紤]到大部分的入侵行為都是通過利用系統(tǒng)的應(yīng)用程序以及漏洞產(chǎn)生的，因此進(jìn)行誤用檢測能夠準(zhǔn)確地對一些網(wǎng)絡(luò)行為進(jìn)行界定，準(zhǔn)確地判斷出哪些屬于入侵行為，不僅能夠檢測出入侵行為，還能夠?qū)ζ渌娜肭中袨槠鸬搅撕芎玫木咀饔?。由于誤用檢測只需要進(jìn)行數(shù)據(jù)的采集工作，使得整個系統(tǒng)在應(yīng)用時(shí)的幅度大大減小了，進(jìn)而保障了整個入侵檢測技術(shù)的高效性和準(zhǔn)確性。

4 結(jié)束語

綜上所述，在網(wǎng)絡(luò)信息管理過程中入侵檢測技術(shù)能夠?yàn)檎麄€系統(tǒng)和用戶的信息起到一種實(shí)時(shí)維護(hù)和安全監(jiān)管作用。雖然，入侵檢測技術(shù)還有待進(jìn)一步的發(fā)展，但是它所體現(xiàn)出來的網(wǎng)絡(luò)信息管理的安全維護(hù)作用已經(jīng)是有目共睹的。隨著入侵檢測技術(shù)的不斷化發(fā)展，在不就得將來，網(wǎng)絡(luò)信息管理中的入侵檢測技術(shù)能夠最大限度地和其他的網(wǎng)絡(luò)信息管理軟件進(jìn)行結(jié)合，使得整個網(wǎng)絡(luò)信息管理朝著多層次、立體縱深的方向發(fā)展，從而提高網(wǎng)絡(luò)信息的安全保護(hù)工作。

參考文獻(xiàn)

[1] 何武紅,陳勇.2003-2004年度中國市場主流IDS產(chǎn)品評測技術(shù)報(bào)告[N].中國計(jì)算機(jī)報(bào),2005年.

[2] 王晉.一種基于移動的自適應(yīng)的分布式入侵檢測系統(tǒng)的架構(gòu)與實(shí)施[D].中國科學(xué)院研究生院（軟件研究所）,2005年.

[3] 葉穎,嚴(yán)毅.基于通用入侵規(guī)范下網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究[A].廣西計(jì)算機(jī)學(xué)會——2004年學(xué)術(shù)年會論文集[C].2004年.

[4] 喻建平,閆巧.入侵檢測系統(tǒng)的發(fā)展及其研究方向[J].信息安全與通信保密,2002年05期.

入侵檢測技術(shù)范文第4篇

關(guān)鍵詞：入侵檢測系統(tǒng) Boosting算法智能算法

中圖分類號： TN915 文獻(xiàn)標(biāo)識碼：A

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)的結(jié)構(gòu)變得越來越復(fù)雜,網(wǎng)絡(luò)安全也變得日益重要和復(fù)雜，一個健全的網(wǎng)絡(luò)信息系統(tǒng)安全方案應(yīng)該包括安全效用檢驗(yàn)、安全審計(jì)、安全技術(shù)、安全機(jī)構(gòu)與程序和安全規(guī)則等內(nèi)容。目前經(jīng)常使用的安全技術(shù)主要有防火墻、防病毒軟件、用戶認(rèn)證、加密、入侵檢測技術(shù)等。多年來，人們在維護(hù)信息系統(tǒng)安全時(shí)常用的安全技術(shù)往往是防火墻。然而,隨著各種網(wǎng)絡(luò)安全事件的發(fā)生,使得人們清楚地認(rèn)識到僅僅依靠防火墻來維護(hù)系統(tǒng)安全是遠(yuǎn)遠(yuǎn)不夠。

入侵檢測是一種主動的網(wǎng)絡(luò)安全防御措施,它不僅可以通過監(jiān)測網(wǎng)絡(luò)實(shí)現(xiàn)對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),有效地彌補(bǔ)防火墻的不足,而且還能結(jié)合其它網(wǎng)絡(luò)安全產(chǎn)品,對網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù),具有主動性和實(shí)時(shí)性的特點(diǎn),是防火墻重要的和有益的補(bǔ)充。

1入侵檢測的基本概念與模型

早在20世紀(jì)80年代初期，Anderson將入侵定義為：未經(jīng)授權(quán)蓄意嘗試訪問信息、篡改信息、使系統(tǒng)不可靠或不能使用。Heady認(rèn)為入侵是指試圖破壞資源的完整性、機(jī)密性及可用性的行為集合J。我們認(rèn)為，入侵的定義應(yīng)與受害目標(biāo)相關(guān)聯(lián)，判斷與目標(biāo)相關(guān)的操作是對目標(biāo)的操作超出了目標(biāo)的安全策略范圍。入侵檢測通過收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包等信息，發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為。具有入侵檢測功能系統(tǒng)稱為入侵檢測系統(tǒng)，簡稱IDS。

最早的入侵檢測模型是由Denning給出的，該模型主要根據(jù)主機(jī)系統(tǒng)審計(jì)記錄數(shù)據(jù)，生成有關(guān)系統(tǒng)的若干輪廓，并監(jiān)測輪廓的變化差異發(fā)現(xiàn)系統(tǒng)的入侵行為，如圖1所示。為此，Chen等提出一種通用的入侵檢測框架模型，簡稱CIDFJ。該模型認(rèn)為入侵檢測系統(tǒng)由事件產(chǎn)生器(eventgenerators)、事件分析器(eventanalyzers)、響應(yīng)單元(responseunits)和事件數(shù)據(jù)庫(eventdatabases)組成，如圖2所示。

CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其它途徑得到的信息。事件產(chǎn)生器是從整個計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其它部分提供事件。事件數(shù)據(jù)庫存放各種中間和最終數(shù)據(jù)，數(shù)據(jù)存放的形式既可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。CIDF模型具有很強(qiáng)的擴(kuò)展性，目前已經(jīng)得到廣泛認(rèn)同。

2入侵檢測系統(tǒng)的分類

基于信息來源的不同，網(wǎng)絡(luò)入侵檢測系統(tǒng)可分為網(wǎng)絡(luò)基IDS、主機(jī)基IDS和混合基IDS 3類，其中混合基IDS是綜合了網(wǎng)絡(luò)基IDS和主機(jī)基IDS的入侵檢測系統(tǒng)，它既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵信息，又可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

基于檢測分析方法的不同，網(wǎng)絡(luò)入侵檢測可分為濫用檢測IDS（基于知識）與異常檢測IDS（基于行為）2類。后者的理論基礎(chǔ)是假設(shè)入侵者活動異常于正常主體的活動中，通過對審計(jì)蹤跡數(shù)據(jù)的分析建立起系統(tǒng)主體的正常行為特征輪廓，將當(dāng)前主體的活動狀況與已建立的特征輪廓進(jìn)行比較。

3入侵檢測的方法和技術(shù)

入侵檢測系統(tǒng)在結(jié)構(gòu)上的發(fā)展是與信息系統(tǒng)的結(jié)構(gòu)變化密切相關(guān)，但入侵檢測的方式?jīng)]有多少變化，時(shí)至今日入侵檢測還是異常檢測、誤用檢測或是二者的結(jié)合。入侵檢測系統(tǒng)發(fā)展趨勢為同時(shí)采用多種檢測技術(shù)的綜合型智能入侵檢測系統(tǒng)。

3.1基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)

人工神經(jīng)網(wǎng)絡(luò)的優(yōu)點(diǎn)是具有較強(qiáng)的容錯性，能夠識別帶噪聲或變形的輸入模式，具有很強(qiáng)的自適應(yīng)能力；而入侵檢測系統(tǒng)的異常檢測技術(shù)實(shí)質(zhì)上是一種模式識別或分類問題，因此有很多學(xué)者將神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用到了入侵檢測系統(tǒng)中，發(fā)展成為今天的基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

3.2基于貝葉斯推理的入侵檢測方法

基于貝葉斯推理的入侵檢測方法，系指在任意給定的時(shí)刻，測量Al，A2，…An變量值，推理判斷系統(tǒng)是否發(fā)生入侵行為。其中，每個變量A表示系統(tǒng)某一方面的特征，例如磁盤I／0的活動數(shù)量、系統(tǒng)中頁面出錯的數(shù)目等。每個異常變量Ai的異?？煽啃院兔舾行苑謩e用P(Ai=1|I，)和P(Ai=1|I)表示。于是，在給定每個Ai值的條件下，由貝葉斯定理得出I的可信度為:

P(I|Al，A2，…An)= P(Al，A2，…An|I) (1)

其中，要求給出I和I的聯(lián)合概率分布。假定每個測量Ai僅

與I相關(guān)，與其它的測量條件Aj(i≠j)無關(guān)，則有:

P(Al，A2，…An|I)= ∏i=1P(Ai|I)

P(Al，A2，…An|I)= ∏i=1p(Ai|I)

從而得到:

P(I|A1，A2，…An)P(I) ∏i=1P(Ai|I)

P(I |Al，A2，…An) P(I) ∏i=1p(Ai|I)

因此，根據(jù)各種異常測量的值、入侵的先驗(yàn)概率、入侵發(fā)生時(shí)每種測量得到的異常概率，能夠判斷系統(tǒng)入侵的概率。但是為了保證檢測的準(zhǔn)確性，還需要考查各測量Ai之間的獨(dú)立性。一種方法是通過相關(guān)性分析，確定各異常變暈與入侵的關(guān)系。

3.3 遺傳算法

遺傳算法是進(jìn)化算法的一個實(shí)例，來自達(dá)爾文自然選擇這一概念。遺傳算法有能力處理多維優(yōu)化問題，其中，染色體由將要優(yōu)化的變量的代碼值組成。若適宜函數(shù)設(shè)計(jì)得很好，則檢測率可能會較高，而誤警率會很低。GA的不利是它不能在審計(jì)軌跡中定位攻擊，也不能檢測一個新的攻擊?；贕A的入侵檢測不能檢測協(xié)同攻擊，且該檢測方法遭遇計(jì)算復(fù)雜度的考驗(yàn)。

3.4 分類和聚類

分類將一個數(shù)據(jù)項(xiàng)分配到其中的一個類別中，這些類是用一組帶有正常和攻擊事件的數(shù)據(jù)訓(xùn)練而成，通過iJJJ練可獲得幾個類，這些類分別被標(biāo)上正?；蚬簦瑴y試數(shù)據(jù)將按這些類被劃分聚類也稱為非參數(shù)的統(tǒng)計(jì)方法，這種方法中，大量的歷史數(shù)據(jù)被分析并根據(jù)評價(jià)標(biāo)準(zhǔn)將它們聚成幾個類。由于訓(xùn)練類別同時(shí)需要正常數(shù)據(jù)和攻擊數(shù)據(jù)，因此，該方法的缺陷也是明顯的，即它們不能檢測任何新的攻擊；另一個缺點(diǎn)是，類中沒有包含任何事跡序列信息；而且該方法的計(jì)算效率也是個問題，它們不能頻繁地更新它們的知識庫。

3.5計(jì)算機(jī)免疫

該方法的基礎(chǔ)是入侵檢測問題與生物免疫系統(tǒng)的相似性，檢測過程也稱“自我／非我”的識別過程。Unix系統(tǒng)調(diào)用的短序列被用于檢測系統(tǒng)的分析，它是以系統(tǒng)為中心而不是以用戶為中心的，基于計(jì)算機(jī)系統(tǒng)中的特權(quán)進(jìn)程系統(tǒng)調(diào)用既可用于異常檢測又可用于誤用檢測。該方法對檢測Unix中的幾種異常行為是很有前景的，但若攻擊不包括特權(quán)進(jìn)程，則方法容易失效。

4下一代入侵檢測系統(tǒng)的發(fā)展方向

(1)面向Ipv6的IDS下一代互聯(lián)網(wǎng)絡(luò)采用IPv6協(xié)議，IPv6協(xié)議本身提供加密和認(rèn)證功能，這就增加了面向IPv6的入侵檢測系統(tǒng)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容的難度。隨著IPv6應(yīng)用范圍的擴(kuò)展，入侵檢測系統(tǒng)支持IPv6將是一大發(fā)展趨勢，是入侵檢測技術(shù)未來幾年該領(lǐng)域研究的主流。

(2)智能型協(xié)作IDS現(xiàn)在的分布式IDS利用分布在網(wǎng)絡(luò)中的探測器擴(kuò)大了數(shù)據(jù)源的范圍因而可以更好地檢測入侵。但多數(shù)DIDS只是簡單地豐富了數(shù)據(jù)來源，并未有效地對信息共享進(jìn)行協(xié)作。因此需要開發(fā)智能協(xié)作IDS進(jìn)行靈活分配角色的協(xié)作機(jī)制，有效抑制短時(shí)間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警數(shù)量，減少不必要的信息傳輸，提高檢測系統(tǒng)的性能和本身的安全性。

(3)基于行為分析技術(shù)的IDS行為分析技術(shù)不僅簡單分析單次攻擊事件，還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生，攻擊行為是否生效。這樣，不僅能使管理員看到孤立的攻擊事件的報(bào)警，還可以看到整個攻擊過程，有利于日后的取證分析。

(4)根據(jù)Gartner的分析，目前對網(wǎng)絡(luò)的攻擊有70％以上是集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢。在對應(yīng)用層的攻擊中，大部分是通過H，?！疨協(xié)議(80端口)進(jìn)行的。雖然這些站點(diǎn)通過部署防火墻在網(wǎng)絡(luò)層以下進(jìn)行了很好的防范，但其應(yīng)用層的漏洞仍可被利用進(jìn)而受到入侵和攻擊。因此，對具體應(yīng)用的有效保護(hù)就顯得越發(fā)重要。

5結(jié)論

隨著網(wǎng)絡(luò)安全問題的日益突出,入侵檢測也愈來愈多地受到人們的關(guān)注,并已經(jīng)開始在各種不同環(huán)境中發(fā)揮關(guān)鍵作用.可以預(yù)見,入侵檢測技術(shù)的發(fā)展將對網(wǎng)絡(luò)應(yīng)用具有重要意義并產(chǎn)生深遠(yuǎn)影響,而IDS的未來發(fā)展方向?qū)⑹侵悄艿姆植际饺肭謾z測系統(tǒng),研究和開發(fā)自主知識產(chǎn)權(quán)的IDS系統(tǒng)將成為我國信息安全領(lǐng)域的重要課題。

參考文獻(xiàn)

[1]JAMESP，ANDERSONC．Computer security threat monitoring and surveillance[R]．Fort Washington，PA，1980．

[2]唐正軍，李建華.入侵檢測技術(shù)[M].北京:清華大學(xué)出版社，2004.

[3]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].北京:機(jī)械工業(yè)出版社，2006.

[4]于志宏.基于協(xié)議分析的入侵檢測規(guī)則智能匹配[J].吉林大學(xué)學(xué)報(bào)，2008，26(2):157-160.

入侵檢測技術(shù)范文第5篇

關(guān)鍵詞：入侵檢測技術(shù)；網(wǎng)絡(luò)安全；應(yīng)用

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 14-0000-01

Intrusion Detection Technology Application

in the Network Security

Ou Hongxing

(Hunan University of Science and Technology Modern Education Technology Center,Yongzhou425100,China)

Abstract:With the continuous expansion of information technology,various types of online promotion and application software,computer networks to improve data transmission efficiency,data concentration,data sharing has played an increasingly important role in network and information system has been the work has gradually become an important infrastructure.To ensure safe and efficient operation of all work to ensure network and information security and network hardware and software systems running smoothly is the basic premise of the normal,so construction of computer network and system security is particularly important.

Keywords:Intrusion detection technology;Network security;

Application

一、計(jì)算機(jī)網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個方面，即物理安全和羅輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。羅輯安全包括信息的完整性、保密性和可用性。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀

目前歐洲各國的小型企業(yè)每年因計(jì)算機(jī)病毒導(dǎo)致的經(jīng)濟(jì)損失高達(dá)220億歐元，而這些病毒主要是通過電子郵件進(jìn)行傳播的。據(jù)反病毒廠商趨勢公司稱，像Sobbing、Slammer等網(wǎng)絡(luò)病毒和蠕蟲造成的網(wǎng)絡(luò)大塞車，去年就給企業(yè)造成了550億美元的損失。而包括從身份竊賊到間諜在內(nèi)的其他網(wǎng)絡(luò)危險(xiǎn)造成的損失則很難量化，網(wǎng)絡(luò)安全問題帶來的損失由此可見一斑。

三、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素

對計(jì)算機(jī)信息構(gòu)成不安全的因素很多，其中包括人為的因素、自然的因素和偶發(fā)的因素。其中，人為因素是指，一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)存在的漏洞，或者潛入計(jì)算機(jī)房，盜用計(jì)算機(jī)系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒。

四、入侵檢測系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的重點(diǎn)應(yīng)用

（一）入侵檢測系統(tǒng)。入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點(diǎn)，是一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時(shí)代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展：分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。

（二）入侵檢測系統(tǒng)技術(shù)是進(jìn)行入侵檢測的軟件與硬件的組合，其主要功能是檢測，除此之外還有檢測部分阻止不了的入侵；檢測入侵的前兆，從而加以處理，如阻止、封閉等；入侵事件的歸檔，從而提供法律依據(jù)；網(wǎng)絡(luò)遭受威脅程度的評估和入侵事件的恢復(fù)等功能。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系。

（三）入侵檢測系統(tǒng)技術(shù)對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標(biāo)志（signature-based），另一種基于異常情況（anomaly-based）。

對于基于標(biāo)識的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。

兩種檢測技術(shù)的方法、所得出的結(jié)論有非常大的差異?；跇?biāo)志的檢測技術(shù)的核心是維護(hù)一個知識庫?；诋惓５臋z測技術(shù)則無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。

五、現(xiàn)階段常用計(jì)算機(jī)安全防護(hù)措施的應(yīng)用

（一）網(wǎng)絡(luò)病毒的防范。在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散快，所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對應(yīng)的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，使網(wǎng)絡(luò)免受病毒的侵襲。

（二）配置防火墻。利用防火墻，允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。

（三）漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。

由于計(jì)算機(jī)運(yùn)算速度的不斷提高，各種密碼算法面臨著新的密碼體制，如量子密碼、DNA密碼、混沌理論等密碼新技術(shù)正處于探索之中。因此網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀(jì)人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會發(fā)展的推動力。

在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過發(fā)達(dá)國家的水平，以此保證我國信息網(wǎng)絡(luò)的安全，推動我國國民經(jīng)濟(jì)的高速發(fā)展。

參考文獻(xiàn)：

[1]王秀和,楊明.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析[J].中國教育技術(shù)設(shè)備,2007

[2]龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].廣州:華南理工大學(xué)出版社,2006

[3]蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].中國水利水電出版社,2006

[4]周國民.入侵檢測系統(tǒng)評價(jià)與技術(shù)發(fā)展研究[J].現(xiàn)代電子技術(shù),2008