網(wǎng)絡入侵檢測技術論文

　　網(wǎng)絡入侵檢測技術論文篇二

　　網(wǎng)絡安全入侵檢測技術分析

　　摘要：本文結合筆者多年工作經(jīng)驗，對目前國內(nèi)常用的3種網(wǎng)絡安全入侵檢測技術作了深入地比較與分析，謹供大家作參考之用。

　　關鍵詞：網(wǎng)絡安全 入侵檢測 對比分析

　　一、概述

　　入侵檢測通過系統(tǒng)審計數(shù)據(jù)，包括收集操作系統(tǒng)、系統(tǒng)程序、應用程序、網(wǎng)絡包等信息，發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為，對企圖入侵、正在進行入侵或己發(fā)生的入侵進行識別，并采取相應保護措施的一種技術。具有入侵檢測功能的系統(tǒng)稱為入侵檢測系統(tǒng)。

　　入侵檢測技術是入侵檢測系統(tǒng)的核心，它直接關系到攻擊的檢測效果、效率、誤報率等性能。入侵檢測技術主要分為異常檢測技術、誤用檢測技術和完整性檢測技術三大類。

　　二、異常檢側

　　基于異常的入侵檢測技術主要來源這樣的思想:任何人的正常行為都是有一定的規(guī)律的，并且可以通過分析這些行為產(chǎn)生的日志信息總結出這些規(guī)律，而入侵和誤用行為則通常和正常的行為存在一定的差異，通過當前活動與系統(tǒng)歷史正?；顒又g的差異就可以檢測出入侵。

　　異常檢測又稱為基于行為的檢測，它根據(jù)使用者的行為或資源使用狀況是否偏離正常的情況來判斷入侵是否發(fā)生。在異常檢測中，觀察到的不是已知的入侵行為，而是通信過程中的異常現(xiàn)象。這種不正常行為可以分為外部闖入、內(nèi)部滲透和不恰當使用資源。

　　異常檢測基于已掌握了的被保護對象的正常工作模式，并假定正常工作模式相對穩(wěn)定。一般方法是建立一個對應“正?；顒?rdquo;的系統(tǒng)或用戶的正常輪廓，檢測入侵活動時，異常檢測程序產(chǎn)生當前的活動輪廓并同正常輪廓比較，當活動輪廓與正常輪廓發(fā)生顯著偏離時即認為是入侵。異常檢測與系統(tǒng)相對無關，通用性較強。它最大的優(yōu)點是有可能檢測出以前從未出現(xiàn)過的攻擊方法。但由于不可能對整個系統(tǒng)內(nèi)的所有用戶行為進行全面的描述，而且每個用戶的行為是經(jīng)常改變的，所以它的主要缺陷在于誤檢率很高，而且配置和管理起來比較復雜，尤其在用戶多，或工作方式經(jīng)常改變的環(huán)境中。另外，由于行為模式的統(tǒng)計數(shù)據(jù)不斷更新，入侵者如果知道某系統(tǒng)處在檢測器的監(jiān)視之下，他們可以通過惡意訓練的方式，促使檢測系統(tǒng)緩慢地更改統(tǒng)計數(shù)據(jù)，以至于最初認為是異常的行為，經(jīng)一段時間訓練后也被認為是正常的，這是目前異常檢測所面臨的一大困難。

　　異常檢測的關鍵問題在于正常使用模式的建立以及如何利用該模式對當前的系統(tǒng)/用戶行為進行比較，從而判斷出與正常模式的偏離程度?；诋惓５臋z測與系統(tǒng)相對無關，通用性較強，不受已知知識的限制，因而它甚至有可能檢測出未知的攻擊行為。然而，異常檢測技術存在以下幾個主要問題:

　?、湃绾斡行У乇硎居脩舻恼Ｐ袨槟Ｊ?即選擇哪些數(shù)據(jù)才能有效地反映用戶的行為，并且這些數(shù)據(jù)容易獲取和處理。由于系統(tǒng)、用戶的行為是不斷改變的，因而正常模式具有時效性，需要不斷修正和更新。當用戶行為突然發(fā)生改變時，容易引起誤報。

　?、脐U值的確定比較困難。當闡值設定較高時，容易引起漏報，而閩值設定較低時，容易引起誤報。由于不可能對系統(tǒng)內(nèi)的所有用戶行為進行全面的描述，在用戶數(shù)目眾多、用戶行為經(jīng)常動態(tài)改變時，系統(tǒng)誤報率較高。

　?、钱惓z測方法大多訓練時間較長，在訓練期，系統(tǒng)不能正常工作;如果入侵者知道系統(tǒng)處于訓練期，可以采用逐步更新用戶模型的方式，使得系統(tǒng)將入侵行為也當作正常行為來建立正常模式。由于異常檢測缺乏精確的判定標準，誤檢率高，使得基于異常的入侵檢測系統(tǒng)大多仍停留于研究領域。

　　下面介紹一種常用的異常檢測方法:基于概率統(tǒng)計模型的異常檢測方法概率統(tǒng)計方法是最早也是使用得最多的一種異常檢測方法，這種入侵檢測方法是基于對用戶歷史行為建模以及在早期的證據(jù)或模型的基礎上，審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況。系統(tǒng)根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄集，當用戶改變他們的行為習慣時，這種異常就會被檢測出來。

　　IDES、NIDES、Haystaek、EMERLD等系統(tǒng)都采用了基于統(tǒng)計的異常檢測手段，該種方法維護方便，不需對規(guī)則庫不斷地更新和維護;但是，該種檢測方法存在以下缺陷:

　?、儆捎诖蠖鄶?shù)統(tǒng)計分析系統(tǒng)是以批處理方式對審計記錄進行分析，因而不能提供對入侵行為的實時檢測和自動響應功能，這是因為數(shù)據(jù)處理過程和模式庫的維護都需要大量的存儲資源和計算資源，因此檢測系統(tǒng)總是滯后于審計記錄的產(chǎn)生;

　?、诟怕式y(tǒng)計的另一個問題在于所能表達的事件范圍，統(tǒng)計分析的特性導致了它不能反映事件在時間順序上的前后相關性，因此事件發(fā)生的順序通常不作為分析引擎所考察的系統(tǒng)屬性，然而許多入侵行為的系統(tǒng)異常都依賴于事件的發(fā)生順序;門限值若選擇不當，將會導致系統(tǒng)出現(xiàn)大量的誤報。

　　三、誤用檢側

　　誤用檢測首先對標識特定入侵的行為模式進行編碼，建立入侵模式庫，然后對檢測過程中得到的審計事件數(shù)據(jù)進行過濾，檢查是否包含入侵模式來檢測攻擊。誤用檢測又稱為基于知識的檢測或特征檢測。它通過分析入侵過程的特征、條件、排列以及事件間的關系來描述入侵行為的跡象。與異常入侵檢測相反，誤用入侵檢測主要是按預先定義好的入侵模式對用戶活動行為進行模式匹配來檢測入侵行為。

　　誤用檢測的關鍵在于如何通過入侵模式準確地描述入侵活動的特征、條件、排列和關系，從而有效地檢測入侵。誤用檢測由于針對具體的入侵模式庫進行判斷，因而檢測率高，同時因為檢測結果有明確的參照，也為管理員做出相應措施提供了方便。然而，誤用檢測也存在以下缺陷:

　　⑴由于入侵模式庫受已知知識的局限，只能檢測己知的攻擊模式，對于未知攻擊和已知攻擊的變形則無能為力。

　　⑵入侵模式庫的維護工作量大。只有擁有完備的入侵模式庫，IDS才能檢測到大量的攻擊行為。隨著新的攻擊方法不斷出現(xiàn)，入侵模式庫也需要不斷更新。

　?、怯捎卺槍唧w系統(tǒng)的依賴性太強，系統(tǒng)移植性不好。由于誤用檢測方法原理簡單因而已經(jīng)成為入侵領域中應用最為廣泛的檢測手段和機制之一，大部分商用系統(tǒng)都采用了基于誤用檢測的入侵檢測技術。

　　下面介紹一種常用的誤用檢測方法:基于模型推理的誤用檢測方法。該方法是通過構建一些誤用的模型，在此基礎上對某些行為活動進行監(jiān)視，并推理出是否發(fā)生了入侵行為。其采用的原理是:特定的場景腳本可以由特定的可觀察的活動推導出來。因而通過觀察，可以推導出特定入侵場景腳本的一系列活動來檢測出入侵企圖。

　　其缺點是:創(chuàng)建入侵檢測模型的工作量大，系統(tǒng)整體性能將受到影響;在系統(tǒng)解釋模塊如何有效地翻譯入侵腳本也是個問題;模型的維護比較困難。

　　四、完整性檢驗

　　完整性檢驗是一種簡單而且高效的監(jiān)控入侵者的方法。它為系統(tǒng)的每個文件生成一個校驗和，然后定期地將這個檢驗和與源文件比較，以確保文件沒有被修改。如果文件被未授權修改，就會發(fā)生警報。

　　任何一個系統(tǒng)正常運作時都會帶來大量文件規(guī)則的變化。因此，必須小心調(diào)整完整性檢驗IDS以避免誤報。當發(fā)生合法的變換時，需要重置校驗和。

　　完整性檢驗可以用語檢測網(wǎng)頁的篡改。攻擊者常?？梢赃M入未打補丁的對外的web服務器以篡改Web服務器顯示的內(nèi)容。完整性檢驗IDS能對特殊的Web頁面文件產(chǎn)生校驗和并對其監(jiān)控。當攻擊者改變Web頁面內(nèi)容時，校驗和檢驗失敗，從而引起相關人員的注意。網(wǎng)站發(fā)布的網(wǎng)頁文件不能頻繁更改，否則引起大量誤報。另外，IDS被配置成自動回滾恢復到文件的初始狀態(tài)。

　　五、結語

　　入侵檢測系統(tǒng)通過對計算機網(wǎng)絡和主機系統(tǒng)中的關鍵信息進行實時采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并做出適當響應。它在傳統(tǒng)的網(wǎng)絡安全技術的基礎上，實現(xiàn)了檢測與響應，起著主動防御作用，從而使得對網(wǎng)絡安全事故的處理，由原來的事后發(fā)現(xiàn)發(fā)展到了事前報警、自動響應，并可以為追究入侵者的法律責任提供有效證據(jù)。因此，入侵檢測技術的出現(xiàn)使網(wǎng)絡安全領域的研究進入了一個新的階段。

　　
看了“網(wǎng)絡入侵檢測技術論文”的人還看：

1.計算機網(wǎng)絡入侵檢測技術論文

2.入侵檢測技術論文

3.關于入侵檢測技術論文

4.網(wǎng)絡安全防范技術論文

5.網(wǎng)絡安全技術論文三篇