網絡入侵檢測技術論文(2)

網絡入侵檢測技術論文

　　網絡入侵檢測技術論文篇二

　　網絡安全入侵檢測技術分析

　　摘要：本文結合筆者多年工作經驗，對目前國內常用的3種網絡安全入侵檢測技術作了深入地比較與分析，謹供大家作參考之用。

　　關鍵詞：網絡安全 入侵檢測 對比分析

　　一、概述

　　入侵檢測通過系統審計數據，包括收集操作系統、系統程序、應用程序、網絡包等信息，發現系統中違背安全策略或危及系統安全的行為，對企圖入侵、正在進行入侵或己發生的入侵進行識別，并采取相應保護措施的一種技術。具有入侵檢測功能的系統稱為入侵檢測系統。

　　入侵檢測技術是入侵檢測系統的核心，它直接關系到攻擊的檢測效果、效率、誤報率等性能。入侵檢測技術主要分為異常檢測技術、誤用檢測技術和完整性檢測技術三大類。

　　二、異常檢側

　　基于異常的入侵檢測技術主要來源這樣的思想:任何人的正常行為都是有一定的規律的，并且可以通過分析這些行為產生的日志信息總結出這些規律，而入侵和誤用行為則通常和正常的行為存在一定的差異，通過當前活動與系統歷史正?；顒又g的差異就可以檢測出入侵。

　　異常檢測又稱為基于行為的檢測，它根據使用者的行為或資源使用狀況是否偏離正常的情況來判斷入侵是否發生。在異常檢測中，觀察到的不是已知的入侵行為，而是通信過程中的異常現象。這種不正常行為可以分為外部闖入、內部滲透和不恰當使用資源。

　　異常檢測基于已掌握了的被保護對象的正常工作模式，并假定正常工作模式相對穩定。一般方法是建立一個對應“正?；顒?rdquo;的系統或用戶的正常輪廓，檢測入侵活動時，異常檢測程序產生當前的活動輪廓并同正常輪廓比較，當活動輪廓與正常輪廓發生顯著偏離時即認為是入侵。異常檢測與系統相對無關，通用性較強。它最大的優點是有可能檢測出以前從未出現過的攻擊方法。但由于不可能對整個系統內的所有用戶行為進行全面的描述，而且每個用戶的行為是經常改變的，所以它的主要缺陷在于誤檢率很高，而且配置和管理起來比較復雜，尤其在用戶多，或工作方式經常改變的環境中。另外，由于行為模式的統計數據不斷更新，入侵者如果知道某系統處在檢測器的監視之下，他們可以通過惡意訓練的方式，促使檢測系統緩慢地更改統計數據，以至于最初認為是異常的行為，經一段時間訓練后也被認為是正常的，這是目前異常檢測所面臨的一大困難。

　　異常檢測的關鍵問題在于正常使用模式的建立以及如何利用該模式對當前的系統/用戶行為進行比較，從而判斷出與正常模式的偏離程度?；诋惓５臋z測與系統相對無關，通用性較強，不受已知知識的限制，因而它甚至有可能檢測出未知的攻擊行為。然而，異常檢測技術存在以下幾個主要問題:

　?、湃绾斡行У乇硎居脩舻恼Ｐ袨槟Ｊ?即選擇哪些數據才能有效地反映用戶的行為，并且這些數據容易獲取和處理。由于系統、用戶的行為是不斷改變的，因而正常模式具有時效性，需要不斷修正和更新。當用戶行為突然發生改變時，容易引起誤報。

　?、脐U值的確定比較困難。當闡值設定較高時，容易引起漏報，而閩值設定較低時，容易引起誤報。由于不可能對系統內的所有用戶行為進行全面的描述，在用戶數目眾多、用戶行為經常動態改變時，系統誤報率較高。

　　⑶異常檢測方法大多訓練時間較長，在訓練期，系統不能正常工作;如果入侵者知道系統處于訓練期，可以采用逐步更新用戶模型的方式，使得系統將入侵行為也當作正常行為來建立正常模式。由于異常檢測缺乏精確的判定標準，誤檢率高，使得基于異常的入侵檢測系統大多仍停留于研究領域。

　　下面介紹一種常用的異常檢測方法:基于概率統計模型的異常檢測方法概率統計方法是最早也是使用得最多的一種異常檢測方法，這種入侵檢測方法是基于對用戶歷史行為建模以及在早期的證據或模型的基礎上，審計系統實時地檢測用戶對系統的使用情況。系統根據每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄集，當用戶改變他們的行為習慣時，這種異常就會被檢測出來。

　　IDES、NIDES、Haystaek、EMERLD等系統都采用了基于統計的異常檢測手段，該種方法維護方便，不需對規則庫不斷地更新和維護;但是，該種檢測方法存在以下缺陷:

　?、儆捎诖蠖鄶到y計分析系統是以批處理方式對審計記錄進行分析，因而不能提供對入侵行為的實時檢測和自動響應功能，這是因為數據處理過程和模式庫的維護都需要大量的存儲資源和計算資源，因此檢測系統總是滯后于審計記錄的產生;

　?、诟怕式y計的另一個問題在于所能表達的事件范圍，統計分析的特性導致了它不能反映事件在時間順序上的前后相關性，因此事件發生的順序通常不作為分析引擎所考察的系統屬性，然而許多入侵行為的系統異常都依賴于事件的發生順序;門限值若選擇不當，將會導致系統出現大量的誤報。

　　三、誤用檢側

　　誤用檢測首先對標識特定入侵的行為模式進行編碼，建立入侵模式庫，然后對檢測過程中得到的審計事件數據進行過濾，檢查是否包含入侵模式來檢測攻擊。誤用檢測又稱為基于知識的檢測或特征檢測。它通過分析入侵過程的特征、條件、排列以及事件間的關系來描述入侵行為的跡象。與異常入侵檢測相反，誤用入侵檢測主要是按預先定義好的入侵模式對用戶活動行為進行模式匹配來檢測入侵行為。

　　誤用檢測的關鍵在于如何通過入侵模式準確地描述入侵活動的特征、條件、排列和關系，從而有效地檢測入侵。誤用檢測由于針對具體的入侵模式庫進行判斷，因而檢測率高，同時因為檢測結果有明確的參照，也為管理員做出相應措施提供了方便。然而，誤用檢測也存在以下缺陷:

　　⑴由于入侵模式庫受已知知識的局限，只能檢測己知的攻擊模式，對于未知攻擊和已知攻擊的變形則無能為力。

　?、迫肭帜Ｊ綆斓木S護工作量大。只有擁有完備的入侵模式庫，IDS才能檢測到大量的攻擊行為。隨著新的攻擊方法不斷出現，入侵模式庫也需要不斷更新。

　?、怯捎卺槍唧w系統的依賴性太強，系統移植性不好。由于誤用檢測方法原理簡單因而已經成為入侵領域中應用最為廣泛的檢測手段和機制之一，大部分商用系統都采用了基于誤用檢測的入侵檢測技術。

　　下面介紹一種常用的誤用檢測方法:基于模型推理的誤用檢測方法。該方法是通過構建一些誤用的模型，在此基礎上對某些行為活動進行監視，并推理出是否發生了入侵行為。其采用的原理是:特定的場景腳本可以由特定的可觀察的活動推導出來。因而通過觀察，可以推導出特定入侵場景腳本的一系列活動來檢測出入侵企圖。

　　其缺點是:創建入侵檢測模型的工作量大，系統整體性能將受到影響;在系統解釋模塊如何有效地翻譯入侵腳本也是個問題;模型的維護比較困難。

　　四、完整性檢驗

　　完整性檢驗是一種簡單而且高效的監控入侵者的方法。它為系統的每個文件生成一個校驗和，然后定期地將這個檢驗和與源文件比較，以確保文件沒有被修改。如果文件被未授權修改，就會發生警報。

　　任何一個系統正常運作時都會帶來大量文件規則的變化。因此，必須小心調整完整性檢驗IDS以避免誤報。當發生合法的變換時，需要重置校驗和。

　　完整性檢驗可以用語檢測網頁的篡改。攻擊者常?？梢赃M入未打補丁的對外的web服務器以篡改Web服務器顯示的內容。完整性檢驗IDS能對特殊的Web頁面文件產生校驗和并對其監控。當攻擊者改變Web頁面內容時，校驗和檢驗失敗，從而引起相關人員的注意。網站發布的網頁文件不能頻繁更改，否則引起大量誤報。另外，IDS被配置成自動回滾恢復到文件的初始狀態。

　　五、結語

　　入侵檢測系統通過對計算機網絡和主機系統中的關鍵信息進行實時采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并做出適當響應。它在傳統的網絡安全技術的基礎上，實現了檢測與響應，起著主動防御作用，從而使得對網絡安全事故的處理，由原來的事后發現發展到了事前報警、自動響應，并可以為追究入侵者的法律責任提供有效證據。因此，入侵檢測技術的出現使網絡安全領域的研究進入了一個新的階段。

　　
看了“網絡入侵檢測技術論文”的人還看：

1.計算機網絡入侵檢測技術論文

2.入侵檢測技術論文

3.關于入侵檢測技術論文

4.網絡安全防范技術論文

5.網絡安全技術論文三篇