網(wǎng)絡(luò)入侵檢測(cè)技術(shù)論文

　　網(wǎng)絡(luò)入侵檢測(cè)技術(shù)論文篇二

　　網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)分析

　　摘要：本文結(jié)合筆者多年工作經(jīng)驗(yàn)，對(duì)目前國(guó)內(nèi)常用的3種網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)作了深入地比較與分析，謹(jǐn)供大家作參考之用。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全 入侵檢測(cè) 對(duì)比分析

　　一、概述

　　入侵檢測(cè)通過系統(tǒng)審計(jì)數(shù)據(jù)，包括收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包等信息，發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為，對(duì)企圖入侵、正在進(jìn)行入侵或己發(fā)生的入侵進(jìn)行識(shí)別，并采取相應(yīng)保護(hù)措施的一種技術(shù)。具有入侵檢測(cè)功能的系統(tǒng)稱為入侵檢測(cè)系統(tǒng)。

　　入侵檢測(cè)技術(shù)是入侵檢測(cè)系統(tǒng)的核心，它直接關(guān)系到攻擊的檢測(cè)效果、效率、誤報(bào)率等性能。入侵檢測(cè)技術(shù)主要分為異常檢測(cè)技術(shù)、誤用檢測(cè)技術(shù)和完整性檢測(cè)技術(shù)三大類。

　　二、異常檢側(cè)

　　基于異常的入侵檢測(cè)技術(shù)主要來源這樣的思想:任何人的正常行為都是有一定的規(guī)律的，并且可以通過分析這些行為產(chǎn)生的日志信息總結(jié)出這些規(guī)律，而入侵和誤用行為則通常和正常的行為存在一定的差異，通過當(dāng)前活動(dòng)與系統(tǒng)歷史正?；顒?dòng)之間的差異就可以檢測(cè)出入侵。

　　異常檢測(cè)又稱為基于行為的檢測(cè)，它根據(jù)使用者的行為或資源使用狀況是否偏離正常的情況來判斷入侵是否發(fā)生。在異常檢測(cè)中，觀察到的不是已知的入侵行為，而是通信過程中的異?，F(xiàn)象。這種不正常行為可以分為外部闖入、內(nèi)部滲透和不恰當(dāng)使用資源。

　　異常檢測(cè)基于已掌握了的被保護(hù)對(duì)象的正常工作模式，并假定正常工作模式相對(duì)穩(wěn)定。一般方法是建立一個(gè)對(duì)應(yīng)“正?；顒?dòng)”的系統(tǒng)或用戶的正常輪廓，檢測(cè)入侵活動(dòng)時(shí)，異常檢測(cè)程序產(chǎn)生當(dāng)前的活動(dòng)輪廓并同正常輪廓比較，當(dāng)活動(dòng)輪廓與正常輪廓發(fā)生顯著偏離時(shí)即認(rèn)為是入侵。異常檢測(cè)與系統(tǒng)相對(duì)無關(guān)，通用性較強(qiáng)。它最大的優(yōu)點(diǎn)是有可能檢測(cè)出以前從未出現(xiàn)過的攻擊方法。但由于不可能對(duì)整個(gè)系統(tǒng)內(nèi)的所有用戶行為進(jìn)行全面的描述，而且每個(gè)用戶的行為是經(jīng)常改變的，所以它的主要缺陷在于誤檢率很高，而且配置和管理起來比較復(fù)雜，尤其在用戶多，或工作方式經(jīng)常改變的環(huán)境中。另外，由于行為模式的統(tǒng)計(jì)數(shù)據(jù)不斷更新，入侵者如果知道某系統(tǒng)處在檢測(cè)器的監(jiān)視之下，他們可以通過惡意訓(xùn)練的方式，促使檢測(cè)系統(tǒng)緩慢地更改統(tǒng)計(jì)數(shù)據(jù)，以至于最初認(rèn)為是異常的行為，經(jīng)一段時(shí)間訓(xùn)練后也被認(rèn)為是正常的，這是目前異常檢測(cè)所面臨的一大困難。

　　異常檢測(cè)的關(guān)鍵問題在于正常使用模式的建立以及如何利用該模式對(duì)當(dāng)前的系統(tǒng)/用戶行為進(jìn)行比較，從而判斷出與正常模式的偏離程度?；诋惓５臋z測(cè)與系統(tǒng)相對(duì)無關(guān)，通用性較強(qiáng)，不受已知知識(shí)的限制，因而它甚至有可能檢測(cè)出未知的攻擊行為。然而，異常檢測(cè)技術(shù)存在以下幾個(gè)主要問題:

　?、湃绾斡行У乇硎居脩舻恼Ｐ袨槟Ｊ?即選擇哪些數(shù)據(jù)才能有效地反映用戶的行為，并且這些數(shù)據(jù)容易獲取和處理。由于系統(tǒng)、用戶的行為是不斷改變的，因而正常模式具有時(shí)效性，需要不斷修正和更新。當(dāng)用戶行為突然發(fā)生改變時(shí)，容易引起誤報(bào)。

　　⑵闡值的確定比較困難。當(dāng)闡值設(shè)定較高時(shí)，容易引起漏報(bào)，而閩值設(shè)定較低時(shí)，容易引起誤報(bào)。由于不可能對(duì)系統(tǒng)內(nèi)的所有用戶行為進(jìn)行全面的描述，在用戶數(shù)目眾多、用戶行為經(jīng)常動(dòng)態(tài)改變時(shí)，系統(tǒng)誤報(bào)率較高。

　?、钱惓z測(cè)方法大多訓(xùn)練時(shí)間較長(zhǎng)，在訓(xùn)練期，系統(tǒng)不能正常工作;如果入侵者知道系統(tǒng)處于訓(xùn)練期，可以采用逐步更新用戶模型的方式，使得系統(tǒng)將入侵行為也當(dāng)作正常行為來建立正常模式。由于異常檢測(cè)缺乏精確的判定標(biāo)準(zhǔn)，誤檢率高，使得基于異常的入侵檢測(cè)系統(tǒng)大多仍停留于研究領(lǐng)域。

　　下面介紹一種常用的異常檢測(cè)方法:基于概率統(tǒng)計(jì)模型的異常檢測(cè)方法概率統(tǒng)計(jì)方法是最早也是使用得最多的一種異常檢測(cè)方法，這種入侵檢測(cè)方法是基于對(duì)用戶歷史行為建模以及在早期的證據(jù)或模型的基礎(chǔ)上，審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況。系統(tǒng)根據(jù)每個(gè)用戶以前的歷史行為，生成每個(gè)用戶的歷史行為記錄集，當(dāng)用戶改變他們的行為習(xí)慣時(shí)，這種異常就會(huì)被檢測(cè)出來。

　　IDES、NIDES、Haystaek、EMERLD等系統(tǒng)都采用了基于統(tǒng)計(jì)的異常檢測(cè)手段，該種方法維護(hù)方便，不需對(duì)規(guī)則庫(kù)不斷地更新和維護(hù);但是，該種檢測(cè)方法存在以下缺陷:

　?、儆捎诖蠖鄶?shù)統(tǒng)計(jì)分析系統(tǒng)是以批處理方式對(duì)審計(jì)記錄進(jìn)行分析，因而不能提供對(duì)入侵行為的實(shí)時(shí)檢測(cè)和自動(dòng)響應(yīng)功能，這是因?yàn)閿?shù)據(jù)處理過程和模式庫(kù)的維護(hù)都需要大量的存儲(chǔ)資源和計(jì)算資源，因此檢測(cè)系統(tǒng)總是滯后于審計(jì)記錄的產(chǎn)生;

　?、诟怕式y(tǒng)計(jì)的另一個(gè)問題在于所能表達(dá)的事件范圍，統(tǒng)計(jì)分析的特性導(dǎo)致了它不能反映事件在時(shí)間順序上的前后相關(guān)性，因此事件發(fā)生的順序通常不作為分析引擎所考察的系統(tǒng)屬性，然而許多入侵行為的系統(tǒng)異常都依賴于事件的發(fā)生順序;門限值若選擇不當(dāng)，將會(huì)導(dǎo)致系統(tǒng)出現(xiàn)大量的誤報(bào)。

　　三、誤用檢側(cè)

　　誤用檢測(cè)首先對(duì)標(biāo)識(shí)特定入侵的行為模式進(jìn)行編碼，建立入侵模式庫(kù)，然后對(duì)檢測(cè)過程中得到的審計(jì)事件數(shù)據(jù)進(jìn)行過濾，檢查是否包含入侵模式來檢測(cè)攻擊。誤用檢測(cè)又稱為基于知識(shí)的檢測(cè)或特征檢測(cè)。它通過分析入侵過程的特征、條件、排列以及事件間的關(guān)系來描述入侵行為的跡象。與異常入侵檢測(cè)相反，誤用入侵檢測(cè)主要是按預(yù)先定義好的入侵模式對(duì)用戶活動(dòng)行為進(jìn)行模式匹配來檢測(cè)入侵行為。

　　誤用檢測(cè)的關(guān)鍵在于如何通過入侵模式準(zhǔn)確地描述入侵活動(dòng)的特征、條件、排列和關(guān)系，從而有效地檢測(cè)入侵。誤用檢測(cè)由于針對(duì)具體的入侵模式庫(kù)進(jìn)行判斷，因而檢測(cè)率高，同時(shí)因?yàn)闄z測(cè)結(jié)果有明確的參照，也為管理員做出相應(yīng)措施提供了方便。然而，誤用檢測(cè)也存在以下缺陷:

　?、庞捎谌肭帜Ｊ綆?kù)受已知知識(shí)的局限，只能檢測(cè)己知的攻擊模式，對(duì)于未知攻擊和已知攻擊的變形則無能為力。

　?、迫肭帜Ｊ綆?kù)的維護(hù)工作量大。只有擁有完備的入侵模式庫(kù)，IDS才能檢測(cè)到大量的攻擊行為。隨著新的攻擊方法不斷出現(xiàn)，入侵模式庫(kù)也需要不斷更新。

　?、怯捎卺槍?duì)具體系統(tǒng)的依賴性太強(qiáng)，系統(tǒng)移植性不好。由于誤用檢測(cè)方法原理簡(jiǎn)單因而已經(jīng)成為入侵領(lǐng)域中應(yīng)用最為廣泛的檢測(cè)手段和機(jī)制之一，大部分商用系統(tǒng)都采用了基于誤用檢測(cè)的入侵檢測(cè)技術(shù)。

　　下面介紹一種常用的誤用檢測(cè)方法:基于模型推理的誤用檢測(cè)方法。該方法是通過構(gòu)建一些誤用的模型，在此基礎(chǔ)上對(duì)某些行為活動(dòng)進(jìn)行監(jiān)視，并推理出是否發(fā)生了入侵行為。其采用的原理是:特定的場(chǎng)景腳本可以由特定的可觀察的活動(dòng)推導(dǎo)出來。因而通過觀察，可以推導(dǎo)出特定入侵場(chǎng)景腳本的一系列活動(dòng)來檢測(cè)出入侵企圖。

　　其缺點(diǎn)是:創(chuàng)建入侵檢測(cè)模型的工作量大，系統(tǒng)整體性能將受到影響;在系統(tǒng)解釋模塊如何有效地翻譯入侵腳本也是個(gè)問題;模型的維護(hù)比較困難。

　　四、完整性檢驗(yàn)

　　完整性檢驗(yàn)是一種簡(jiǎn)單而且高效的監(jiān)控入侵者的方法。它為系統(tǒng)的每個(gè)文件生成一個(gè)校驗(yàn)和，然后定期地將這個(gè)檢驗(yàn)和與源文件比較，以確保文件沒有被修改。如果文件被未授權(quán)修改，就會(huì)發(fā)生警報(bào)。

　　任何一個(gè)系統(tǒng)正常運(yùn)作時(shí)都會(huì)帶來大量文件規(guī)則的變化。因此，必須小心調(diào)整完整性檢驗(yàn)IDS以避免誤報(bào)。當(dāng)發(fā)生合法的變換時(shí)，需要重置校驗(yàn)和。

　　完整性檢驗(yàn)可以用語(yǔ)檢測(cè)網(wǎng)頁(yè)的篡改。攻擊者常?？梢赃M(jìn)入未打補(bǔ)丁的對(duì)外的web服務(wù)器以篡改Web服務(wù)器顯示的內(nèi)容。完整性檢驗(yàn)IDS能對(duì)特殊的Web頁(yè)面文件產(chǎn)生校驗(yàn)和并對(duì)其監(jiān)控。當(dāng)攻擊者改變Web頁(yè)面內(nèi)容時(shí)，校驗(yàn)和檢驗(yàn)失敗，從而引起相關(guān)人員的注意。網(wǎng)站發(fā)布的網(wǎng)頁(yè)文件不能頻繁更改，否則引起大量誤報(bào)。另外，IDS被配置成自動(dòng)回滾恢復(fù)到文件的初始狀態(tài)。

　　五、結(jié)語(yǔ)

　　入侵檢測(cè)系統(tǒng)通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)中的關(guān)鍵信息進(jìn)行實(shí)時(shí)采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并做出適當(dāng)響應(yīng)。它在傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，實(shí)現(xiàn)了檢測(cè)與響應(yīng)，起著主動(dòng)防御作用，從而使得對(duì)網(wǎng)絡(luò)安全事故的處理，由原來的事后發(fā)現(xiàn)發(fā)展到了事前報(bào)警、自動(dòng)響應(yīng)，并可以為追究入侵者的法律責(zé)任提供有效證據(jù)。因此，入侵檢測(cè)技術(shù)的出現(xiàn)使網(wǎng)絡(luò)安全領(lǐng)域的研究進(jìn)入了一個(gè)新的階段。

　　
看了“網(wǎng)絡(luò)入侵檢測(cè)技術(shù)論文”的人還看：

1.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)論文

2.入侵檢測(cè)技術(shù)論文

3.關(guān)于入侵檢測(cè)技術(shù)論文

4.網(wǎng)絡(luò)安全防范技術(shù)論文

5.網(wǎng)絡(luò)安全技術(shù)論文三篇