入侵检测系统技术综述
入侵检测技术研究综述
入侵检测技术研究综述提要本文介绍入侵及入侵检测的概念,分析各种入侵检测技术与特点。
关键词:入侵;异常数据;入侵检测中图分类号:F49 文献标识码:A近年来,计算机网络的高速发展和应用,使网络安全的重要性也日益增加。
如何识别和发现入侵行为或意图,并及时给予通知,以采取有效的防护措施,保证系统或网络安全,这是入侵检测系统的主要任务。
一、入侵及入侵检测入侵是指任何企图危及计算机系统资源的完整性、机密性和可用性或试图越过计算机或网络安全机制的行为。
入侵不仅包括发起攻击的人取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等对计算机系统造成危害的行为。
入侵检测顾名思义,是对入侵行为的发觉,它是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
二、入侵检测系统的分类入侵检测系统的任务是在所提取到的大量检测数据中找到入侵的痕迹。
入侵分析过程需要将提取到的事件与入侵检测规则进行比较,以判断是否发生入侵行为。
一方面IDS需要尽可能多地提取数据以获得足够的入侵证据;另一方面由于入侵行为的多变性和复杂性而导致判定入侵的规则越来越复杂。
对于入侵检测系统,可以根据所采用的审计数据源、检测策略、检测的实时性、对抗措施、体系结构等方面进行不同的分类。
(1)依据审计数据源的不同可将IDS分为基于网络的IDS与基于主机的IDS;(2)从入侵检测的策略来看,可以分为滥用检测与异常检测;(3)按IDS处理数据的实时性,可以分为实时检测与事后检测;(4)从入侵检测系统的对抗措施来看,可以分为主动系统与被动系统;(5)从入侵检测系统的体系结构来看,可以分为集中式系统与分布式系统。
三、入侵检测主要研究技术目前,在IDS研究领域的主要研究方向包括IDS的性能评价、IDS集成中通用的通讯格式、面向大规模分布式网络的IDS框架以及采用一些最新的智能技术来识别新型未知攻击。
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当前社会发展的重要方向之一,而网络入侵成为了网络安全的一个重要问题。
随着互联网的普及和发展,网络入侵手段也日益复杂多样化。
为了保护网络的安全,提高网络系统的防御能力,入侵检测技术应运而生。
本文将对网络安全中的入侵检测技术进行综述。
一、入侵检测技术的发展历程网络入侵检测技术起源于20世纪80年代,那时主要是基于对网络流量的分析进行入侵检测。
随着技术的进步,入侵检测技术从最初的基于规则的检测方法逐渐发展到了基于特征、行为和机器学习等方法。
目前,入侵检测技术已经成为了网络安全体系中不可缺少的一部分。
二、入侵检测技术的分类根据入侵检测技术的不同方式和目标,可以将其分为两大类,即基于签名的入侵检测和基于行为的入侵检测。
基于签名的入侵检测主要通过事先确定的规则和模式来识别已知的入侵行为,而基于行为的入侵检测则通过监测系统的行为特征来发现异常和潜在的入侵行为。
三、基于签名的入侵检测技术基于签名的入侵检测技术是一种传统的检测方法,其核心思想是通过与已知的入侵特征进行比对,寻找与之匹配的特征。
这种方法具有检测准确率高的优点,但对于未知的入侵行为无法进行有效的检测。
常用的基于签名的入侵检测系统有Snort、Suricata等。
四、基于行为的入侵检测技术基于行为的入侵检测技术研究的是系统和用户的行为特征,通过建立正常行为模型和异常行为模型来检测入侵行为。
这种方法适用于未知入侵和变异性入侵的检测,但在实际应用中存在误报率高的问题。
常用的基于行为的入侵检测系统有Bro、Snort、Suricata等。
五、机器学习在入侵检测中的应用机器学习在入侵检测中发挥了重要作用,通过训练算法和模型,能够对网络流量数据进行分析和预测。
在现实场景中,机器学习的应用能够提高入侵检测的准确率和实时性。
常用的机器学习算法包括决策树、支持向量机和神经网络等。
六、入侵检测技术的挑战与未来发展网络环境的复杂性和入侵手段的多样化给入侵检测技术带来了许多挑战。
网络入侵检测技术综述
网络入侵检测技术综述网络入侵检测技术综述随着信息技术的迅猛发展和互联网的广泛应用,网络安全问题成为了人们关注的焦点。
其中,网络入侵是指未经授权侵入他人计算机系统的行为,给网络系统带来了极大的威胁。
为了保障网络安全,人们提出了网络入侵检测技术。
本文将综述网络入侵检测技术的发展和应用。
网络入侵检测技术是在计算机网络系统中载入入侵检测系统,并通过对网络流量、日志记录、包头、外部事件等数据进行分析、监控和实时判断的方法,来检测和识别网络中的入侵行为。
根据检测方法的不同,可以将入侵检测技术分为基于特征的检测、基于异常的检测和基于机器学习的检测。
基于特征的检测技术主要是通过对网络流量、网络数据包等进行特征提取和匹配,从而判断是否存在入侵行为。
这种方法依赖于已知的入侵特征库,通过比对特征库中的特征和实时获取的数据特征,来判定网络是否存在入侵。
该方法的优点是准确性高,能够对已知的入侵行为进行有效检测和防御。
但是,缺点也非常明显,即无法对未知的入侵行为进行检测和应对。
基于异常的检测技术是通过建立和学习网络正常行为的模型,来检测网络中的异常行为。
异常行为是指与正常行为有明显差异的网络流量、数据包等。
这种方法的优点是能够对未知的入侵行为进行检测和防御,具有较高的自适应性。
但是,缺点是在建立正常行为模型时需要耗费大量的时间和计算资源,且对于复杂的网络环境和大规模网络系统的应用效果不佳。
基于机器学习的检测技术是近年来发展起来的一种新型检测方法。
通过对大量的网络数据进行学习和训练,建立起网络行为的模型。
然后,通过模型对实时获取的网络数据进行分类和判断,从而检测和识别网络入侵行为。
优点是能够实现对未知入侵行为的检测和自动化的防御措施。
然而,缺点是对于网络数据的学习和训练时间较长,且对于大规模网络系统的应用还面临着一定的挑战。
除了上述的入侵检测技术之外,还有一些新兴的技术正在逐渐应用到网络入侵检测中。
比如说,深度学习技术、云计算、大数据分析等。
入侵检测研究综述
" + 体系结构的演变
当前, 入侵检测体系结 构 主 要 有 三 种 形 式: 基于主机的 9=1 ( F9=1) 、 基于网络的 9=1 ( T9=1) 和分布式 9=1 ( =9=1) 。 早期的研究主要是基于主机的 9=1, 其检测对象是主机系 统和系统本地用户, 通过分析主机的审计数据和系统的日志检 测入侵。F9=1 可以精确地判断入侵事件, 不受网络信息流的 加密和交换网络使用的影响, 并且可以检测到特洛伊木马和其 他破坏软件完整性的攻击。但 F9=1 的检测能力依赖于审计 数据或系统日志的准确性和完整性以及对安全事件的定义, 若
# @ 入侵检测方法分析
入侵检测方法是入侵检测研究的重点。入侵检测方法对 收集的各 种 数 据 源 进 行 分 析, 以 判 断 是 否 发 生 入 侵。文 献 [ 55 , 5A ] 列举了当前研究中主流的入侵检测方法, 这些方法从 不同的角度来处理入侵检测问题, 利用各种技术构建入侵检测 的正常模型或攻击模型。它们各有特点, 也存在不足, 总体上 可以归为三类: 滥用检测、 异常检测和混合检测方法。 #B ! @ 滥用检测方法 滥用检测方法通过构建特征库来检测系统中的入侵或攻 击活动, 其误报率较低。但是, 基于预先定义的模式导致其自 适应性差, 无法检测新的入侵活动和已知入侵活动的变异, 存 在漏报率高的问题。当出现针对新漏洞的攻击类型或针对旧 漏洞的新攻击模式时, 需要由领域专家或者其他机器学习系统
! + 引言
计算机网络已成为信息社会最重要的基础设施之一。随 着网络规模扩大、 复杂性增加, 网络安全问题也日益突出。传 统的静态安全防御策略 ( 如访问控制机制、 加密技术、 防火墙 技术等) 对网络环境下层出不穷的攻击手段缺乏主动性, 在某 种程度上已无法满足网络安全需求。入侵检测作为动态安全 技术中最核心的技术之一, 能够实时地全面监控网络、 主机和 应用程序的运行状态, 主动对计算机、 网络系统中的入侵行为 进行识别和响应, 提供了对内部攻击、 外部攻击和误操作的实 时检测, 有效弥补了传统安全防护技术的不足。通过构建动态 的安全循环, 可以最大限度地提高系统的安全性, 减少安全威 胁对系统带来的危害。因此, 入侵检测研究在计算机网络安全 领域得到了广泛关注和重视。 国外对入侵检测研究开展较早、 发展较快。麻省理工学 院、 哥伦比亚大学、 普度大学、 戴维斯分校和新墨西哥大学等的 研究工作具有代表性, 主要研究内容涉及入侵检测方法 (模
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当今社会中的一个重要议题,随着互联网的普及和信息技术的迅速发展,网络攻击和入侵事件屡见不鲜。
为了保护网络系统和用户的安全,研究人员和安全专家们积极探索各种入侵检测技术。
本文将综述几种常见的入侵检测技术,并分析它们的特点和应用。
一、入侵检测技术的概念入侵检测技术(Intrusion Detection Technology)是指通过对网络通信流量、系统日志、主机状态等进行监控和分析,及时发现和识别已发生或即将发生的入侵行为。
其目的是快速准确地发现并阻止潜在的安全威胁,保护网络系统和用户的数据安全。
二、基于签名的入侵检测技术基于签名的入侵检测技术(signature-based intrusion detection)是一种传统而有效的检测方法。
它通过预定义的规则集合,检测网络流量中是否存在已知的攻击模式。
这种技术的优点在于准确率高,适用于已知攻击的检测。
然而,缺点也显而易见,就是无法检测未知攻击和变异攻击。
三、基于异常行为的入侵检测技术基于异常行为的入侵检测技术(anomaly-based intrusion detection)通过建立正常行为模型,检测网络流量中的异常行为。
相比于基于签名的方法,这种技术更具有普遍性,能够发现未知攻击。
然而,误报率较高是其主要问题之一,因为正常行为的变化也会被误判为异常。
四、混合型入侵检测技术为了克服单一方法的局限性,许多研究者提出了混合型入侵检测技术。
这些方法综合了基于签名和基于异常行为的特点,在检测效果上有所提高。
其中,流量分析、机器学习、数据挖掘等技术的应用,使得混合型入侵检测技术更加精准和智能化。
五、网络入侵检测系统的架构网络入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测的关键组件。
其整体架构包括数据采集、数据处理、检测分析、警报响应等模块。
数据采集模块负责收集网络流量、日志信息等数据;数据处理模块负责对采集到的数据进行预处理和分析;检测分析模块负责使用各种入侵检测技术进行实时监测和分析;警报响应模块负责生成报警信息并采取相应的应对措施。
信息安全中的网络入侵检测与防御技术综述
信息安全中的网络入侵检测与防御技术综述随着互联网的快速发展,各种网络安全威胁也不断涌现,网络入侵成为了一项严峻的挑战。
网络入侵指未经授权的访问和使用计算机系统或网络的行为,旨在获取非法收益或破坏目标系统的完整性和可用性。
为了防范网络入侵,信息安全领域涌现出许多先进的网络入侵检测与防御技术。
本文将全面综述这些技术,并探讨未来的发展趋势。
网络入侵检测系统(IDS)是一种被动的安全工具,用于检测和响应网络中的潜在攻击。
IDS可以分为基于主机的IDS(HIDS)和基于网络的IDS(NIDS)两类。
HIDS主要集中在单台主机上的入侵检测和分析,通过监听和分析主机上的行为和活动来发现入侵行为,例如异常文件修改、进程执行等。
NIDS则主要关注整个网络通信流量的监控与分析,通过对流量特征和协议的分析来检测入侵行为,例如端口扫描、恶意代码传输等。
入侵检测技术根据检测方式可以分为基于签名、基于异常和基于机器学习的方法。
基于签名的检测方法依赖于已知攻击的特征和模式,通过与预先设置的签名进行匹配来判断是否有入侵行为。
这种方法在检测已知攻击方面效果良好,但对于新型攻击缺乏有效性。
基于异常的检测方法通过建立系统的正常行为模型,当检测到系统行为与模型存在显著偏差时,识别为入侵行为。
这种方法适用于未知攻击的检测,但容易受到误报的影响。
基于机器学习的检测方法利用机器学习算法,通过对大量数据的学习和训练来构建模型,从而检测网络入侵。
这种方法综合考虑了签名和异常方法的优势,可以有效检测新型攻击,并减少误报的产生。
网络入侵防御技术主要包括网络边界防御、主机防御和应用防御。
网络边界防御的目标是在网络与互联网之间建立一道防火墙,限制来自外部的恶意流量。
主机防御是在每台主机上设置防火墙和入侵防御系统,以保护主机免受攻击。
应用防御是指在应用程序层面上进行保护,常见的应用防御技术包括访问控制、数据加密和漏洞修复等。
综合运用这些防御技术可以提高整个网络的安全性和抗攻击能力。
网络安全中的入侵检测与防范技术综述
网络安全中的入侵检测与防范技术综述一、绪论当前的网络普及使得人们在工作和生活中都离不开互联网,然而网络中却存在着各种各样的威胁,如网络黑客、病毒、恶意软件等,这些威胁可能会危及网络中的运行、数据的安全以及用户的隐私等,因此,对于网络安全的重视与加强也日益凸显。
而在各种网络安全技术中,入侵检测与防范技术被认为是目前网络安全领域的重要组成部分。
二、入侵检测技术入侵检测技术主要是指通过对网络流量数据进行实时的监控与检测,识别出可能的入侵行为并进行相应的响应和处理。
入侵检测技术主要包括基于规则的入侵检测和基于机器学习的入侵检测两种方式。
1.基于规则的入侵检测技术基于规则的入侵检测技术是指通过制定一系列的规则,根据已知的攻击特征,来对网络流量数据进行分析和判断,识别出可能的入侵行为。
该技术具有较高的效率和实时性,但由于其过分依赖人工定义的规则,导致其无法对于新颖的攻击进行准确识别,同时需要经常对规则进行升级与调整。
2.基于机器学习的入侵检测技术基于机器学习的入侵检测技术是指通过对网络流量数据进行建模和学习,从中发现攻击的特征,然后将其与已知攻击特征进行匹配,以便对网络攻击事件进行识别和分类。
该技术具有较高的准确性和可扩展性,可以处理大量的数据,发现新型攻击的能力较强,但同时也需要较大的数据训练集,可能存在误判和漏报等问题。
三、入侵防范技术除了入侵检测技术之外,入侵防范技术也是网络安全领域中不能忽视的技术之一,它主要是针对当前已知的攻击,采取一系列措施进行防范。
目前常用的入侵防范技术包括:1.网络访问控制技术该技术通过对网络中的用户和设备进行身份管理和访问权限的限制,可以有效防止非法用户对网络的攻击和入侵。
2.漏洞管理技术漏洞管理技术是指针对软件或系统中存在的安全漏洞进行管理和修补,以减少攻击者利用漏洞的机会。
3.网络安全审计技术该技术通过对网络中的操作和流量数据进行记录和分析,可以对网络中的各种问题和风险进行有效的监控和管理。
入侵检测系统综述
入侵检测系统综述对于任何一个国家、企业或者个人来说,随着计算机及网络的发展,网络安全问题是一个无法回避且重要的问题呈现在面前,很多非法分子或者合法用户的不当使用都会对网络系统造成破坏,针对这些行为要采用相应的技术进行制止或者预防,入侵检测技术成为解决该问题的最好方法之一。
文章主要简综述了入侵检测系统的基本检测方法。
标签:入侵检测;入侵检测系统;误用检测;异常检测1 入侵检测系统概述随着计算机技术及网络技术的不断发展,计算机及数据的安全问题随之出现,传统的防火墙技术虽然可以进行有效的防御,但是由于其存在很多弊端,例如:很多外部访问不经过防火墙;来自计算机数据库内部的威胁等,防火墙就无能为力了,它并不能对已经进入计算机系统或者来自计算机数据库内部威胁进行检测;访问控制系统可以根据权限来防止越权行为,但是很难保证具有高级权限的用户对系统所做的破坏行为,也无法阻止低权限用户非法活动高级权限对系统所进行的破坏;漏洞扫描系统是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,然后根据扫描结果向用户提供系统的安全性分析报告,以便用户采取相应措施来提高网络安全。
它虽然可以发现系统和网络漏洞,但无法对系统进行实时扫描,入侵检系统可以进行实时扫描。
发现入侵行为就是入侵检测。
它通过从计算机网络或系统的核心点收集信息并对其进行分析,然后从其中看网络或系统中是否有违反安全策略的动作和被攻击的迹象。
入侵检测目的是保证系统资源的可用性、机密性和完整性,要达到这个目的就要对系统的运行状态进行监视,以便发现各种攻击操作、攻击结果或者攻击动态。
进行入侵检测的硬件与软件的组合构成了入侵检测系统,它能执行所有的入侵检测任务和功能,监视或阻止入侵或者企图控制系统或者网络资源的行为,它可以实时检测入侵者和入侵信息,并进行相应处理,最大化的保证系统安全。
通过对系统各个环节来收集和分析信息,发现入侵活动的特征、对检测到的行为自动作出响应、记录并报告检测过程及结果是入侵检测系统的基本原理的四个部分。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测系统技术综述摘要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程.文章以历史和实践的观点$透视入侵和入侵检测技术相互制约,相互促进的演进过程.关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史1、引言自从计算机问世以来,安全问题就一直存在。
特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。
提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。
适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。
在这种需求背景下,入侵检测系统(IDS)应运而生。
2、概述计算机网络技术的飞速发展极大地改变了人们的学习、工作以及生活方式。
随着计算机及网络系统中存储的重要信息越来越多,系统的安全问题也显得E1益突出,我们需要尽可能找到更好的措施以保护系统免受入侵者的攻击,尽管已有许多防御技术,如防火墙,但它只是一种静态的被动的防护技术。
要求事先设置规则。
对于实时攻击或异常行为不能实时反应。
无法自动调整策略设置以阻断正在进行的攻击。
因而出现了入侵检测系统,它是一种动态的网络安全策略,能够有效地发现入侵行为和合法用户滥用特权的行为,它是P2DR(动态安全模型)的核心部分。
3、入侵检测系统产生及其发展绝大多数入侵检测系统的处理效率低下,不能满足大规模和高带宽网络的安全防护要求。
这就决定了当前的入侵检测系统在未来信息战中的作用是有限的。
因为信息战中双方使用的网络进攻手段肯定是储备的、从未出现的新手段。
即使检测到攻击,现有的入侵检测系统的响应能力和实时性也很有限,不能预防快速脚本攻击,对于此类恶意攻击只能发现和纪录,而不能实时阻止。
国内只有少数的网络入侵检测软件,相关领域的系统研究也是刚刚起步,与外国尚有很大差距。
目前,在入侵检测的技术发展上还是存在着以下主要缺陷:(1)网络安全设备的处理速度慢。
(2)入侵检测系统的漏报率和误报率高。
(3)入侵检测系统的互动性能差,整个系统的安全性能低。
4、 入侵检测系统的概论4.1 入侵检测系统的概念入侵检测系统(Intrusion Detection System ,简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。
IDS 被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。
4.2 入侵检测系统的分类入侵检测技术主要可以分成两类:异常入侵检测(Anomaly Detection)技术和误用人侵检测(Misuse Detec —tion)技术。
4.2.1基于统计模型的异常入侵检测1)基于阈值测量(Threshold Measures)的检测。
这种方法也称为操作模型(Operational Model),是对某个时间段内时间的发生次数设置一个阈值,若超过该值就有可能出现异常情况。
定义异常的阈值设置偏高就会导致误否定错误,误否定错误的后果不仅是检测不到入侵,而且还会给安全管理人员以安全的错觉。
定义异常的阈值设置偏低就会导致难以忍受的误肯定判断,误肯定过多就会降低入侵检测方法的效率而且会增添安全管理员的负担。
2)基于平均值和标准偏差模型的检测。
这种模型将观察到的前n 个事件用变量x1,……,xn 。
来表示,这些变量的平均值mean 和标准偏差stdev 分别为:mean=(n x x +⋯⋯+1)/n stdev=sqrt((n x 212x +⋯⋯+)/(n+1)一mean 2)对于一个新监测到的事件用1x -n 表示,如果它落到置信区间mean ±d*stdev 之外就认为是异常的,d 是标准偏移均值参数。
这种方法的优点是能够动态地学习有关正常事件的知识,并通过置信区间的动态改变而表现出来。
3)基于马尔科夫进程模型的检测。
该模型将离散的事件看作一个状态变量,然后用状态迁移矩阵刻画不同状态之间的迁移频率,而不是个别状态或审计纪录的频率。
若观察到的新事件就给定的先前状态和矩阵来说发生的频率太低就认为是异常事件。
该模型的优点是可以检测到不寻常的命令或事件序列而不是单一的事件。
4.2.2基于神经网络的异常入侵检测神经网络方法是利用一个包含很多计算单元的网络来完成复杂的映射函数的,这些单元通过使用加权的连接互相作用。
一个神经网络知识根据单元和它们权值间连接编码成网格结构,实际的学习过程是通过改变权值和加入或移去连接进行的。
神经网络处理分成2个阶段:首先,通过正常系统行为对该网络进行训练,调整其结构和权值;然后,通过正常系统行为对该网络进行训练,由此判别这些事件流是正常还是异常的。
同时,系统也可以利用这些观测到的数据进行训练,从而使网络可以学习系统行为的一些变化。
4.2.3基于免疫系统的异常入侵检测这种入侵检测方法是通过模仿生物有机体的免疫系统工作机制,使得受保护的系统能够将非法行为和合法行为区分开。
生物免疫系统连续不断地产生称作抗体的监测器细胞,并将其分布到整个机体中。
这些分布式的抗原监视所有的活性细胞,试图检测出入侵机体的外来细胞。
类似的,计算机免疫系统按照系统调用序列为不同的行为,即正常行为和异常行为建立应用程序模型。
比较模型与所观测到的事件就可以分出正常和异常的行为。
4.2.4基于文件检查的异常入侵检测这种方法通过使用系统敏感数据的加密校验和来检测文件产生的变化。
但是由于文件检测通常是在入侵后才进行检测,所以如果加密校验和被修改或检测进程泄漏就可能导致检测失效。
4.2.5基于污染检查的异常入侵检测这种方法认为所有用户提供的输入都是被污染的,任何在敏感区域使用这些污染输入的企图都会失败,若要使用这些数据就必须进行去污操作。
去污操作是通过正则表达式来提取所要用的内容,这样可以避免嵌入式shell命令等的使用4.2.6基于协议认证的异常入侵检测许多攻击技术利用协议的不正常使用来攻击系统,协议认证技术就是通过建立协议使用标准来严格地检查这些攻击。
但由于协议的不同实现方法影响了标准的一致性,所以该方法可能导致肯定性的错误。
4.3误用入侵检测误用入侵检测是对已知系统和应用软件的弱点进行入侵建模,从而对观测到的用户行为和资源使用情况进行模式匹配而达到检测的目的。
误用入侵检测的主要假设是入侵活动能够被精确地按照某种方式进行编码并可以识别基于同一弱点进行攻击的入侵方法的变种。
4.3.1基于状态转移分析的误用检测状态转移分析系统利用有限状态自动机来模拟人侵,入侵由从初始系统状态到入侵状态的一系列动作组成,初始状态代表着入侵执行前的状态,入侵状态代表着入侵完成时的状态。
系统状态根据系统属性和用户权利进行描述,转换则由一个用户动作驱动。
每个事件都运用于有限状态自动机的实例中,如果某个自动机到达了它的最终状态,即接受了事件,则表明该事件为攻击。
这种方法的优点是能检测出合作攻击以及时间跨度很大的缓慢攻击。
4.3.2基于专家系统的误用入侵检测将安全专家的知识表示成规则知识库,然后用推理算法检测入侵。
用专家系统对入侵进行检测,经常是针对有特征的入侵行为。
这种方法能把系统的控制推理从问题解决的描述中分离出去。
它的不足之处是不能处理不确定性,没有提供对连续有序数据的任何处理,另外建立一个完备的知识库对于一个大型网络系统往往是不可能的,且如何根据审计记录中的事件提取状态行为与语言环境也是比较困难的。
4.3.3基于遗传算法的误用入侵检测遗传算法就是寻找最佳匹配所观测到的事件流的已知攻击的组合,该组合表示为一个向量,向量中每一个元素表示某一种攻击的出现。
向量值是按照与各个攻击有关的程度和二次罚函数而逐步演化得到的,同时在每一轮演化中,当前向量会进行变异和重新测试,这样就将误肯定和误否定性错误的概率降到零。
4.4 入侵检测技术的发展入侵检测由传统电子数据处理、安全审计以及统计技术发展而来。
1980年4月,James P.Anderson在给美国空军的报告((Computer Security Threat Monitoring and Surveillance))中第一次详细阐述了入侵检测的概念,并提出用审计追踪监视入侵产生的威胁。
1984-1986年,乔治敦大学的DorothyDenning和美国斯坦福国际研究所的Peter Neumann 研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。
1987年,D.E.Denning发表论文“An Intrusion DetectionModel”首次给出了一个入侵检测的抽象模型,并将入侵检测作为一个新的与传统加密认证和访问控制完全不同的计算机安全防御措施提出。
1988年,莫里斯蠕虫事件发生之后,网络安全才真正引起了军方、学术界和企业的高度重视,促使人们投入更多的资金和精力去研究和开发IDS。
5、入侵检测系统性能指标衡量入侵检测系统的两个最基本指标为检测率和误报率,两者分别从正、反两方面表明检测系统的检测准确性。
实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率,但在实际的检测系统中这两个指标存在一定的抵触,应根据具体的应用环境折衷考虑。
除检测率和误报率外,在实际设计和实现具体的入侵检测系统时还应考虑如下几个方面:(1)操作方便性:训练阶段的数据量需求少(支持系统行为的自学习等)、自动化训练(支持参数的自动调整等);在响应阶段提供多种自动化的响应措施。
(2)抗攻击能力:能够抵抗攻击者修改或关闭入侵检测系统。
当攻击者知道系统中存在入侵检测时,很可能会首先对入侵检测系统进行攻击,为其攻击系统扫平障碍。
(3)系统开销小,对宿主系统的影响尽可能小。
(4)可扩展性:入侵检测系统在规模上具有可扩展性,可适用于大型网络环境。
(5)自适应、自学习能力:应能根据使用环境的变化自动调整有关阈值和参数,以提高检测的准确性;应具有自学习能力,能够自动学习新的攻击特征,并更新攻击签名库。
(6)实时性:指检测系统能及早发现和识别人侵,以尽快隔离或阻止攻击,减少其造成的破坏。
6、入侵检测系统存在的问题及发展趋势6.1 存在的问题经过二十多年的研究与开发,入侵检测技术得到了飞速的发展,但是E1前还存在很多的问题。