入侵检测系统

入侵检测系统

1. 引言

1.1 背景

近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System，简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

1.2 背国内外研究现状

入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如开放源代码的snort，虽然它已经跟不上发展的脚步，但它也是各种商业IDS的参照系；NFR公司的NID等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。

2. 入侵检测的概念和系统结构

2.1 入侵检测的概念

入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵

信号的分析过程。使监控和分析过程自动化的软件或硬件产品称为入侵

检测系统（Intrusion Detection System），简称IDS。一个完整的入

侵检测系统必须具有：经济性、时效性、安全性、可扩展性的特点。

2.2 入侵检测的系统结构

入侵检测系统的基本结构构成CIDF（Common Intrusion Detection Frame,公共入侵检测框架）提出了通用模型，将入侵检测系统分为四个

基本组件：事件产生器、事件分析器、响应单元和事件数据库，见图。

图2-1公共入侵检测框架（CIDF）的体系结构

(1) 事件产生器（Event generators） 事件产生器是入侵检测系统

中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后

将收集到的原始数据转换为事件，并向系统的其他部分提供此事件。

(2) 事件分析器（Event analyzers） 事件分析器接收事件信息，

然后对它们进行分析，判断是否是入侵行为或异常现象，最后把判断的

结果转换为警告信息。

(3) 事件数据库（Response units ） 事件数据库是存放各种中间

和最终数据的地方。

(4) 响应单元（Response units ） 响应单元根据警告信息做出反应，如切断连接、改变文本属性等强烈的反应，也可能是简单地报警。

它是入侵检测系统中的主动武器。

3. 入侵检测系统的分类

通过对现有的入侵检测系统和入侵检测技术的研究，可以从以下几个方面对入侵检测系统进行分类

3.1 根据目标系统的类型分类

根据目标系统类型的不同可以将入侵检测系统分为如下两类。

(1) 基于主机（host-based）的入侵检测系统

通常，基于主机的入侵检测系统可以检测系统、事件和操作系统下的安全记录以及系统记录。当文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看他们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。基于主机的入侵检测系统如图3-1。

图3-1 基于主机的入侵检测系统的基本结构

(2) 基于网络（network-based）的入侵检测系统

基于网络的入侵检测系统使用原始网络数据包作为数据源。它通常利用一个运行在混杂模式下的网络适配器来实时监视并分析网络的所有通信业务。基于网络的入侵检测系统的基本结构如图3-2。

图3-2 基于主机的入侵检测系统的基本结构

3.2 根据入侵检测分析方法分类

根据入侵检测分析方法的不同可以将入侵检测系统分为如下两类。

（1）误用入侵检测（特征检测 signature-based）

误用检测是基于已知的系统缺陷和入侵模式，所以又称为特征检测。误用检测是对不正常的行为建模，这些不正常的行为是被记录下来的确认的误用和攻击。通过对系统活动的分析，发现与被定义好的攻击特征相匹配的事件或事件集合。该检测方法可以有效地检测到已知攻击，检测精度高，误报少。但需要不断更新攻击的特征库，系统灵活性和自适应性较差，漏报较多。商用IDS多采用该种检测方法。

（2）异常入侵检测（anomaly-based）

异常检测是指能根据异常行为和使用计算机资源的情况检测出入侵的方法。它试图用定量的方式描述可以接受的行为特征，以区分非正常

的、潜在的入侵行为。也就是，异常检测是对用户的正常行为建模，通过正常行为与用户的行为进行比较，如果二者的偏差超过了规定阈值则认为该用户的行为是异常的。异常检测的误报较多。目前，大多数的异常检测技术还处于研究阶段，基本没有用于商业IDS中。

3.3 根据检测系统各个模块运行的分布方式分类

根据检测系统各个模块运行的分布方式的不同可以将入侵检测系统分为如下两类。

(1) 集中式入侵检测系统

集中式IDS有多个分布在不同主机上的审计程序，仅有一个中央入侵检测服务器。审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。随着服务器所承载的主机数量的增多，中央服务器进行分析处理的数量就会猛增，而且一旦服务器遭受攻击，整个系统就会崩溃。

（2）分布式（协作式）入侵检测系统

分布式IDS是将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都等到了显著的提高，并且与集中式IDS相比，分布式IDS对基于网络的共享数据量的要求较低。但维护成本却提高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。

3.4 其他的分类方法

(1) 根据入侵检测系统分析的数据来源分类

入侵检测系统分析的数据可以是：主机系统日志、原始的网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等。据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。

(2) 根据系统对入侵攻击的响应方式分类

①主动的入侵检测系统系统。 在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者)退出以及关闭相

关服务等对策和响应措施。

②被动的入侵检测系统。检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则由系统管理员来完成。

4. 入侵检测系统的功能

4.1 入侵检测系统的主要功能：

(1) 监视并分析用户和系统的行为；

(2) 审计系统配置和漏洞；

(3) 评估敏感系统和数据的完整性；

(4) 识别攻击行为、对异常行为进行统计；

(5) 自动收集与系统相关的补丁；

(6) 审计、识别、跟踪违反安全法规的行为；

(7) 使用诱骗服务器记录黑客行为；

4.2 入侵检测系统的功能结构

4.2.1 入侵检测系统的工作模式

入侵检测是防火墙的合理补充，帮助系统对付来自外部或内部的攻击，扩展了系统管理员的安全管理能力(如安全审计、监视、攻击识别及其响应)，提高了信息安全基础结构的完整性。

入侵检测系统的主要工作就是从信息系统的若干关键点上收集信息，然后分析这些信息，用来得到网络中有无违反安全策略的行为和遭到袭击的迹象。

无论对于什么类型的入侵检测系统，其工作模式都可以体现为以下步骤。下图所示：

数据收集

数据分析

结果处理

数据

数据

事件

结果

图4-1 工作模式

4.2.2 入侵检测系统的功能结构

一个典型的入侵检测系统从功能上可以分为3个组成部分：感应器（Sensor）、分析器（Analyzer）和管理器（Menager）,如图4-2所示：

管理器（Menager）

分析器（Analyzer）

感应器（Sensor）

网络主机应用程序

图 4-2入侵检测系统的功能结构

4.2.2.1 信息收集模块

感应器负责收集信息

(1) 收集的数据内容

主机和网络日志文件；目录和文件中不期望的改变；程序执行中的不期望行为；物理形式的入侵信息

(2) 入侵检测系统的数据收集机制

基于主机的数据收集和基于网络的数据收集；分布式与集中式数据收集机制；直接监控和间接监控；外部探测器和内部探测器

4.2.2.2 数据分析模块

分析器从许多感应器接受信息，并对这些信息进行分析以决定是否有入侵行为发生，就是对从数据源提供的系统运行状态和活动记录进行同步、整理、组织、分类以及各种类型的细致分析，提取其中包含的系

统活动特征或模式，用于对正常和异常行为的判断

...3 入侵响应模块

管理器通常也被称为用户控制台，它以一种可视的方式向用户提供收集到的各种数据及相应的分析结果，用户可以通过管理器对入侵检测系统进行配置，设定各种系统的参数，从而对入侵行为进行检测以及相应措施进行管理。

一个好的IDS应该让用户能够裁剪定制其响应机制，以符合特定的需求环境。

(1) 主动响应

系统自动或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程，通常可以选择的措施有：针对入侵者采取的措施；修正系统；收集更详细的信息。

(2) 被动响应

在被动响应系统中，系统只报告和记录发生的事件。

5. 入侵检测器的部署

对于入侵检测系统来说，其类型不同，应用环境不同，部署方案也就会有所差别。

5.1在基于网络的IDS中部署入侵检测器

基于网络的IDS主要检测网络数据报文，因此一般将检测器部署在靠近防火墙的地方。具体可安排在下图中的几个位置：

内部网

关键子网

检测器(3)(4)

检测器(1)

检测器(2)(4)

检测器(5)

外部网络

图5-1基于网络的IDS中部署入侵检测器

其中，检测器可安放的位置: DMZ(DeMilitarized Zone,隔离区)也称“非军事化区”；内网主干(防火墙内侧)；外网入口(防火墙外侧)；在防火墙的内外都放置；关键子网

5.2在基于主机的IDS中部署入侵检测器

基于主机的IDS通常是一个程序，部署在最重要、最需要保护的主机上用于保护关键主机或服务器。

6. 入侵检测系统的发展方向及评估

6.1 入侵检测系统

(1)入侵检测系统的优点：

提高了信息系统安全体系其他部分的完整性；提高了系统的监察能力；可以跟

踪用户从进入到退出的所有活动或影响；能够识别并报告数据文件的改动；可以发现系统配置的错误，并能在必要时予以改正；可以识别特定类型的攻击，并进行报警，作出防御响应；可以使管理人员最新的版本升级添加到程序中；允许非专业人员从事系统安全工作；可以为信息系统安全提供指导。

(2) 入侵检测系统的局限：

在无人干预的情形下，无法执行对攻击的检测；无法感知组织

（公司）安策略

的内容；不能弥补网络协议的漏洞；不能弥补系统提供信息的质量或完整性问题；不能分析网络繁忙时的所有事物；不能总是对数据包级的攻

击进行处理；

6.2 近年对入侵检测系统有几个主要发展方向

(1) 分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。

(2) 应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测如WEB之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

(3) 智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。

入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术(模式识别和完整性检测)外，应重点加强统计分析的相关技术研究。

参考文献：

［1］ 曹元大.入侵检测技术［M］.第1版.北京：人民邮电出版社，2007.

［2］ 何新权.计算机等级教程［M］.第2012年版.北京：高等教育出版社，1957.

［3］ 刘远生.网络安全实用教程［M］.第2011年版.北京：人民邮电出版社，2011.

［4］ 唐正军.入侵检测系统技术导论[M] .北京：机械工业出版社,2004.

[5］ 宋劲松.网络入侵检测[M] .北京：国防工业出版社,2004.9。

[6］ 刘文涛.网络安全开发包详解[M] .北京：电子工业出版社,2005.

[7］ 张世斌.网络安全技术[M] .北京：清华大学出版社,2004.

[8］ 谢希仁.计算机网络[M] .北京：电子工业出版社,2003.

入侵检测技术 课后答案

精品文档 . 第1章入侵检测概述 思考题： （1）分布式入侵检测系统（DIDS）是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的？ 答：分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试，以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响，DIDS用一个6层入侵检测模型提取数据相关性，每层代表了对数据的一次变换结果。 （2）入侵检测作用体现在哪些方面？ 答：一般来说，入侵检测系统的作用体现在以下几个方面： ●监控、分析用户和系统的活动； ●审计系统的配置和弱点； ●评估关键系统和数据文件的完整性； ●识别攻击的活动模式； ●对异常活动进行统计分析； ●对操作系统进行审计跟踪管理，识别违反政策的用户活动。 （3）为什么说研究入侵检测非常必要？ 答：计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力，但是由于连网用户的增加，网上电子商务开辟的广阔前景，越来越多的系统受到入侵者的攻击。为了对付这些攻击企图，可以要求所有的用户确认并验证自己的身份，并使用严格的访问控制机制，还可以用各种密码学方法对数据提供保护，但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话，就要求所有的用户能识别和认证自己，还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看，这根本是不可能的。 因此，一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统，现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言，系统存在被攻击的可能性。如果系统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后采取适当的处理

第八章入侵检测系统

第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动，甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类：保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN，各种加密技术，身份认证技术，易攻击性扫描等都属于保护的范围之内，它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全，任何系统及协议都不可避免地存在缺陷，可能是协议本身也可能是协议的实现，还有一些技术之外的社会关系问题，都能威胁信息安全。因此即使采用这些保护措施，入侵者仍可能利用相应缺陷攻入系统，这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作，主要包括损失评估，根除入侵者留下的后门，数据恢复，收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测（Intrusion Detection，ID）是本章讨论的主题之一，它通过监测计算机系统的某些信息，加以分析，检测入侵行为，并做出反应。入侵检测系统所检测的系统信息包括系统记录，网络流量，应用程序日志等。入侵（Intrusion）定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁)，危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统（Intrusion Detection System，IDS）是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设，即：入侵行为与正常行为有显著的不同，因而是可以检测的。入侵检测的研究开始于20世纪80年代，进入90年代入侵检测成为研究与应用的热点，其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充，而并不是入侵防范系统的替代。相反，它与这些系统共同工作，检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性： ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。

入侵检测部署方案

1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，或者入侵者也可能就在防火墙内。通过部署安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防御针对操作系统漏洞的攻击，能够实现应用层的安全防护，保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点，我们得到的入侵检测的需求包括以下几个方面： ●入侵检测要求 能够对攻击行为进行检测，是对入侵检测设备的核心需求，要求可以检测的种类包括：基于特征的检测、异常行为检测（包括针对各种服务器的攻击等）、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备，入侵检测系统必须具有很高的安全性，配置文件需要加密保存，管理台和探测器之间的通讯必须采用加密的方式，探测器要可以去除协议栈，并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表，反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息，使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择，定制不同形式的报表。 ●实时响应要求

当入侵检测报警系统发现网络入侵和内部的违规操作时，将针对预先设置的规则，对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警，用以提醒管理人员及时发现问题，并采取有效措施，控制事态发展。报警信息要分为不同的级别：对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外，必须在基于规则和相应的报警条件下，对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动，当入侵检测系统发现攻击行为时，能够及时通知防火墙，防火墙根据入侵检测发送来的消息，动态生成安全规则，将可疑主机阻挡在网络之外，实现动态的防护体系！进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心，这里我们建议在网络中采用入侵检测系统，监视并记录网络中的所有访问行为和操作，有效防止非法操作和恶

网络安全技术习题及答案 入侵检测系统

第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 （1）什么叫入侵检测，入侵检测系统有哪些功能？ 入侵检测系统（简称“IDS”）就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有： 识别黑客常用入侵与攻击手段 监控网络异常通信

鉴别对系统漏洞及后门的利用 完善网络安全管理 （2）根据检测对象的不同，入侵检测系统可分哪几种？ 根据检测对象的不同，入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合，它为前两种方案提供了互补，还提供了入侵检测的集中管理，采用这种技术能实现对入侵行为的全方位检测。 （3）常用的入侵检测系统的技术有哪几种？其原理分别是什么？ 常用的入侵检测系统的技术有两种，一种基于误用检测（Anomal Detection），另一种基于异常检测（Misuse Detection）。 对于基于误用的检测技术来说，首先要定义违背安全策略事件的特征，检测主要判别这类特征是否在所收集到的数据中出现，如果检测到该行为在入侵特征库中，说明是入侵行为，此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较

网络入侵检测原理与技术

网络入侵检测原理与技术 摘要：计算机网络技术的发展和应用对人类生活方式的影响越来越大，通过Internet人们的交流越来越方便快捷，以此同时安全问题也一直存在着，而人们却一直未给予足够的重视，结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中，基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词：入侵检测；入侵检测系统；入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说，网络安全问题可以分为两个方面： 1)网络本身的安全； 2)所传输的信息的安全。 那么，我们之所以要进行网络入侵检测，原因主要有以下几个：1）黑客攻击日益猖獗 2）传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略，它从计算机网络系统中的若干关键点收集信息，并进行相应的分析，以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门，在不影响网路性能的前提下对网络进行监测，从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型

3、入侵检测原理 根据入侵检测模型，入侵检测系统的原理可以分为以下两种： 1）异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录，然后建立代表用户、主机或网络连接的正常行为轮廓，再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法： a)统计异常检测方法； b)特征选择异常检测方法； c)基于贝叶斯推理异常的检测方法； d)基于贝叶斯网络异常检测方法； e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法，对这两种方法目前已有由此而开发成的软件产品面市，而其他方法都还停留在理论研究阶段。 异常检测原理的优点：无需获取攻击特征，能检测未知攻击或已知攻击的变种，且能适应用户或系统等行为的变化。 异常检测原理的缺点：一般根据经验知识选取或不断调整阈值以满足系统要求，阈值难以设定；异常不一定由攻击引起，系统易将用户或系统的特殊行为(如出错处理等)判定为入侵，同时系统的检测准确性受阈值的影响，在阈值选取不当时，会产生较多的检测错误，造成检测错误率高；攻击者可逐渐修改用户或系统行为的轮廓模型，因而检测系统易被攻击者训练；无法识别攻击的类型，因而难以采取适当的措施阻止攻击的继续。 2）误用检测原理 误用检测，也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有： a)基于专家系统的检测方法； b)基于状态转移分析的检测方法； c)基于条件的概率误用检测方法； d)基于键盘监控误用检测方法； e)基于模型误用检测方法。 误用检测技术的关键问题是：攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的，如何用特定的模式语言来表示这种攻击行为，是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的，那么通过分析攻击过程的特征、条件、排列以及事件间的关系，就可具体描述入侵行为的迹象。 4、入侵检测方法 1）基于概率统计的检测 该方法是在异常入侵检测中最常用的技术，对用户行为建立模型并根据该模型，当发现出现可疑行为时进行跟踪，监视和记录该用户的行为。优越性在于理论成熟，缺点是匹配用

入侵检测系统的研究

入侵检测系统的研究 【摘要】近几年来，随着网络技术以及网络规模的 不断扩大，此时对计算机系统的攻击已经是随处可见。现阶段，安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。 【关键词】入侵检测系统研究情况 、刖言 目前的安全防护主要有防火墙等手段，但是由于防火墙 本身容易受到攻击，并且内部网络中存在着一系列的问题，从而不能够发挥其应有的作用。面对这一情况，一些组织开 始提出了通过采用更强大的主动策略以及方案来增强网络 的安全性。其中个最有效的解决方法那就是入侵检测。入 侵检测采用的是一种主动技术，从而弥补防火墙技术的不足，并且也可以防止入侵行为。 二、入侵检测系统的概述 （一）入侵检测系统的具体功能 入侵检测就是要借助计算机和网络资源来识别以及响 应一些恶意使用行为。检测的内容主要分为两个部分：外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为

止，入侵检测成为继防火墙之后的第二道安全闸门。在网络 安全体系中，入侵检测是成为一个非常重要的组成部分。总 之，入侵检测的功能主要包括了以下几个功能：第一，对用户活动进行监测以及分析；第二，审计系统构造变化以及弱点；第三，对已知进攻的活动模式进行识别反映，并且要向相关人士报警；第四，统计分析异常行为模式，保证评估重要系统以及数据文件的完整性以及准确性；第五，审计以及跟踪管理操作系统。 二）入侵检测系统的模型 在1987 年正式提出了入侵检测的模型，并且也是第 次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分：第一部分，主体。主体就是指在目标系统上进行活动的实体，也就是一般情况下所说的用户。第二部分，对象。对象就是指资源，主要是由系统文件、设备、命令等组成的。第三部分，审计记录。在主体对象中，活动起着操作性的作用，然而对操作系统来说，这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动，比如：违反系统读写权限。资源使用情况主要指的是在系统内部，资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分，活动档案。活动档案就是指系统正常行为的模型，并且可以将系统正常活动的相关信息保存下来。第五部分，异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分，活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下，通过将系统的正常活动模型作为准则，并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录，如果已经发生了入侵，那么此时就应该采用相应的处理措施。 三）入侵检测系统的具体分类 通过研究现有的入侵检测系统，可以按照信息源的不同 将入侵检测系统分为以下几类： 第一，以主机为基础的入侵检测系统。通过对主机的审 计记录来进行监视以及分析，从而可以达到了入侵检测。这 监视主要发生在分布式、加密以及交换的环境中，从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点，那就是该系统与具体操作系统平台有联系，从而很难将来自网络的入侵检测出来，并且会占有一定的系

(完整版)基于神经网络的网络入侵检测

基于神经网络的网络入侵检测 本章从人工神经网络的角度出发，对基于神经网络的网络入侵检测系统展开研究。在尝试用不同的网络结构训练和测试神经网络后，引入dropout层并给出了一种效果较好的网络结构。基于该网络结构，对目前的神经网络训练算法进行了改进和优化，从而有效避免了训练时出现的过拟合问题，提升了训练效率。 4.1 BP神经网络相关理论 本章从学习算法与网络结构相结合的角度出发，神经网络包括单层前向网络、多层前向网络、反馈神经网络、随机神经网络、竞争神经网络等多种类型。构造人工神经网络模型时主要考虑神经元的特征、网络的拓补结构以及学习规则等。本文选择反向传播神经网络(Back Propagation Neural Network, BPNN)作为基本网络模型。 BP神经网络是一种通过误差逆传播算法训练的多层前馈神经网络，是目前应用最广泛的神经网络模型形式之一。网络中每一层的节点都只接收上一层的输出，而每一层节点的输出都只影响下一层的输入，同层节点之间没有交互，相邻两层节点之间均为全连接模式。BP神经网络在结构上分为输入层、隐含层与输出层三部分，其拓扑结构如图4-1所示。 图4-1 BP神经网络拓扑结构 Figure 4-1 Topological Structure of BP Neural Network

这里隐含层既可以是一层也可以是多层，数据在输入后由隐含层传递到输出层，通过各层的处理最终得到输出结果。 传统的BP网络算法可分为两个过程:神经网络中信号的前向传播和误差函数的反向传播。算法在执行时会不断调整网络中的权值和偏置，计算输出结果与期望结果之间的误差，当误差达到预先设定的值后，算法就会结束。 (1)前向传播 隐含层第J个节点的输出通过式(4-1)来计算: (4-1) 式中ωij代表输入层到隐含层的权重，αj代表输入层到隐含层的偏置，n 为输入层的节点个数，f(.)为激活函数。输出层第k个节点的输出通过式(4-2)来计算: (4-2) 式中ωjk代表隐含层到输出层的权重，bk代表隐含层到输出层的偏置，l为隐含层的结点个数。 根据实际输出与期望输出来计算误差，见式(4-3)。 (4-3) 式中(Yk-Ok)用ek来表示，Yk代表期望输出，m为输出层的结点个数。 当E不满足要求时，就会进入反向传播阶段。 (2)反向传播 反向传播是从输出到输入的传播过程。从式((4-1)至式(4-3 )中，可以发现网络误差E是与各层权值和偏置有关的函数，所以如果想减小误差，需要对权值和偏置进行调整。一般采取梯度下降法反向计算每层的权值增量，令权值的变化量同误差的负梯度方向成正相关，调整的原则是令误差沿负梯度方向不断减少。权值的更新公式见式(4-4)，偏置的更新公式见式(4-5)。

入侵检测系统的发展历史

本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。戚 技术 人侵检测系统的发展厉史 华中科技大学 摘 DIS 涂保东 要:从大量史料中整理出入侵检测系统(}n七ru]s的历史进程 : , 。。 eciDteto 。 n ys s et m , IDS )研究与开发的历史 , 为人们了解 把握

目前研究与开发的热点提供参考 }Ds 关键词 入侵检测系统 发展历史 网络安全 很早以来人们就认识到用户的行为进行适当监控络恶意的和错误的操作 应对网以阻止 etm Dl(田 入侵检测专家系统) nnte「e 。 ’‘ 被 Dete et!on 网od e l “ 正式发表 。 De

旧g 用在早期的{ t A网(AR尸)上监控 保障网络数据 re o 用户的验证信息 这是第一个基于规 , 在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者: 与运行的安全 。 入侵检测思想在二十 te tn多年前就已萌穿随着I的蓬勃发展近几年来旧S得到了较深入的研则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的, 使用系统的模式与正常用户的使用模 式不同 , 因此可以通过监控系统的跟 系统漏洞和恶意行为进行检测 为构

踪记录来识别入侵者的异常使用模式 从而检测出入侵者违反系统安全性的o情形Den旧g的模型是许多旧S原型 。 究和广泛的应用 1980 年 4 月Jam g es P A n des 「。on 发 ‘’ 建入侵检测系统提供了一个通用的框品同P架随后S日完成了与sA四AR的合为其提交了第一款实用的旧S产 1985 表著名的研究报告 rT卜eat Comp an ute「 eeur、t丫

网络安全之入侵检测技术

网络安全之入侵检测技 术 Revised as of 23 November 2020

网络安全之入侵检测技术 标签： 2012-07-31 14:07 中国移动通信研究院卢楠 摘要：入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史，随着中国移动网络的开放与发展，入侵检测系统（IDS）也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中，逐步形成了2类方法、5种硬件架构，不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景，对现有的主流技术原理、硬件体系架构进行剖析；详细分析IDS产品的测评方法与技术，并介绍了一个科学合理、方便操作的IDS测评方案。最后，从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前，互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害，甚至造成了极大的经济损失。 随着互联网技术的不断发展，网络安全问题日益突出。网络入侵行为经常发生，网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻，网络安全的主要威胁如图1所示。

图1 目前网络安全的主要威胁 说到网络安全防护，最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备；防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说，单纯的防火墙技术已不能完全阻止网络攻击，如：无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现，80%的网络攻击来自于网络内部，而防火墙不能提供实时入侵检测能力，对于病毒等束手无策。因此，很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测系统IDS（Intrusion Detection Systems）。 2、入侵检测技术发展历史 IDS即入侵检测系统，其英文全称为：Intrusion Detection System。入侵检测系统是依照一定的安全策略，通过软件和硬件对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。

网络安全技术习题及答案第章入侵检测系统

第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 （1）什么叫入侵检测，入侵检测系统有哪些功能？ 入侵检测系统（简称“IDS”）就是依照一定的，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有： ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 （2）根据检测对象的不同，入侵检测系统可分哪几种？ 根据检测对象的不同，入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合，它为前两种方案提供了互补，还提供了入侵检测的集中管理，采用这种技术能实现对入侵行为的全方位检测。 （3）常用的入侵检测系统的技术有哪几种？其原理分别是什么？ 常用的入侵检测系统的技术有两种，一种基于误用检测（Anomal Detection），另一种基于异常检测（Misuse Detection）。 对于基于误用的检测技术来说，首先要定义违背安全策略事件的特征，检测主要判别这类特征是否在所收集到的数据中出现，如果检测到该行为在入侵特征库中，说明是入侵行为，此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。

入侵检测系统

入侵检测系统 1. 引言 1.1 背景 近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System，简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如开放源代码的snort，虽然它已经跟不上发展的脚步，但它也是各种商业IDS的参照系；NFR公司的NID等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。

入侵检测系统研究的论文

入侵检测系统研究的论文 摘要介绍了入侵检测系统的概念，分析了入侵检测系统的模型；并对现有的入侵检测系统进行了分类，讨论了入侵检测系统的评价标准，最后对入侵检测系统的发展趋势作了有意义的预测。 关键词入侵检测系统；cidf ；网络安全；防火墙 0 引言 近年来，随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，特别是各种官方机构的网站，成为黑客攻击的热门目标。近年来对电子商务的热切需求，更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内，并且很容易被绕过，所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为，对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统（ids）概念 1980年，james 第一次系统阐述了入侵检测的概念，并将入侵行为分为外部滲透、内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型，命名为入侵检测专家系统（ides），1990年，等设计出监视网络数据流的入侵检测系统，nsm(network security monitor)。自此之后，入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]：发现非授权使用计算机的个体（如“黑客”）或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为：检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为三个步骤：信息收集、数据分析、响应。 入侵检测的目的：（1）识别入侵者；（2）识别入侵行为；（3）检测和监视以实施的入侵行为；（4）为对抗入侵提供信息，阻止入侵的发生和事态的扩大； 2 入侵检测系统模型 美国斯坦福国际研究所（sri）的于1986年首次提出一种入侵检测模型[2]，该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展，后来人们又提出了基于规则的检测方法。结合这两种方法的优点，人们设计出很多入侵检测的模型。通用入侵检测构架（common intrusion detection framework简称cidf）组织，试图将现有的入侵检测系统标准化，cidf阐述了一个入侵检测系统的通用模型（一般称为cidf模型）。它将一个入侵检测系统分为以下四个组件： 事件产生器(event generators) 事件分析器(event analyzers) 响应单元(response units) 事件数据库(event databases) 它将需要分析的数据通称为事件，事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应

入侵检测技术

入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁，但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System，IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出，与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测（Intrusion Detection）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象（人或程序）针对系统的入侵企图或行为(Intrusion)，同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息； ●分析该信息，试图寻找入侵活动的特征； ●自动对检测到的行为做出响应； ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足，从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类，大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同，分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时，IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵

网络入侵检测技术综述

电脑编程技巧与维护 网络入侵检测技术综述 谭兵１。吴宗文２。黄伟 （１．重庆大学软件学院，重庆４０００４４；２．成都军区７８０９８部队装备部，崇州６１１２３７） 摘要：入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念，阐述两类基本的检测技术，详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词：入侵检测；异常检测：误用检测 ＮｅｔｗｏｒｋＩｎｔｒｔｍｉｏｎＤｅｔｅｃｔｉｏｎＴｅｃｈｎｏｌｏｇｙ ＴＡＮⅨｎ矿，ＷＵ历耐．ＨＵＡＮＧＷｅｉ （１．ＴｈｅＳｃｈｏｏｌｏｆＳｏｆｔｗａｒｅＥｎｇｉｎｅｅｒｉｎｇ，ＣｈｏｎｇｑｉｎｇＵｎｉｖｅｒｓｉｔｙ，Ｃｈｏｎｇｑｉｎｇ４０００４４； ２．Ｃｈｅｎｇｄｕｍｉｌｉｔａｒｙｒｅｇｉｏｎ７８０９８ａｒｍｙｌｏｇｉｓｔｉｃｓｄｅｐａｒｔｍｅｎｔｓ，Ｃｈｏｎｇｚｈｏｕ６１１２３７） Ａｂｓｔｒａｃｔ：Ｔｈｅｗｏｒｋｉｎｔｈｅｃｏｍｐｕｔｅｒｎｅｔｗｏｒｋｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍ，ａｋｅｙｎｏｄｅ．Ｔｈｉｓｐａｐｅｒｉｎｔｒｏｄｕｃｅｓｔｈｅｂａｓｉｃｃｏｎｃｅｐｔｓｏｆｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎ，ｄｅｓｃｒｉｂｅｄｔｗｏｔｙｐｅｓｏｆｂａｓｉｃｄｅｔｅｃｔｉｏｎｔｅｃｈｎｏｌｏｇｙ，ｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎａｒｅｄｉｓｃｕｓｓｅｄｉｎｄｅｔａｉｌ ｔｈｅｐｒｏｃｅｓｓａｎｄｔｅｓｔｔｅｃｈｎｏｌｏｇｙ ｃｈａｌｌｅｎｇｅｓ ａｎｄｔｒｅｎｄｓ。 Ｋｅｙｗｏｒｄｓ：Ｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎ；Ａｎｏｍａｌｙｄｅｔｅｃｔｉｏｎ；Ｍｉｓｕｓｅｄｅｔｅｃｔｉｏｎ 入侵检测（ＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎ），顾名思义，即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有：入侵一非法用户的违规行为；滥用—用户的违规行为。 对于入侵检测的使用，人们总会问这样一个问题。如果已经安装了防火墙，给操作系统打了补丁，并为安全设置了密码，为什么还要检测入侵呢？答案非常简单：因为入侵会不断发生。举个例子，就像人们有时候会忘记锁上窗户，人们有时也会忘记正确的升级防火墙规则设置。 即使在最高级别的保护措施下，计算机系统也不是百分之百的安全。实际上，大多数计算机安全专家认为，既定的用户要求属性，如网络连接，还未能达到成为百分之百安全系统的要求。因此，必须发展入侵检测技术及系统以便及时发现并对计算机攻击行为做出反应。 ｌ入侵检测发展 起初，系统管理员们坐在控制台前监控用户的活动来进行人侵检测。他们通过观察，例如在本地登录的闲置用户或非正常激活的闲置打印机。尽管上述方法不是足够有效的，但这一早期入侵检测模式是临时的且不可升级。 入侵检测的下一步涉及到审计日志。审计日志即系统管理员所记录的非正常和恶意行为。 在上世纪７０年代末和８０年代初，管理员将审计日志打印在扇形折纸上，平均每周末都能累积四到五英尺高。很明显，要在这一堆纸里进行搜索是相当耗费时间的。由于这类 本文收稿日期：２００９—１１－１２ —１１０～信息量过于丰富且只能手动分析，所以管理员主要用审计日志作为判据，以便在发生特别安全事件后，确定引起这一事件的原阂。基本上不可能靠它发现正在进行的攻击。 随着存储器价格的降低，审计日志转移到网上且开发出了分析相关数据的程序。然而，分析过程慢且需频繁而密集计算，因此，入侵检测程序往往是在系统用户登录量少的夜间进行。所以，大多数的入侵行为还是在发生后才被检测到。 ９０年代早期，研究人员开发出了实时入侵检测系统，即对审计数据进行实时评估。由于实现了实时反应，且在一些情况下，可以预测攻击，因此，这就使攻击和试图攻击发生时即可被检测到成为可能。 近年来，很多入侵检测方面的努力都集中在一些开发的产品上，这些产品将被用户有效配置在广大网络中。在计算机环境不断持续变化和无数新攻击技术不断产生的情况下，要使安全方面也不断升级是个非常困难任务［１ｌ。 ２分类 目前，入侵检测技术可基本分为３类：异常检测、误用检测和混合检测。异常检测是假定所有入侵行为都是与正常行为不同的；误用检测是根据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中的各种攻击模式的比较确定是否有入侵发生；混合检测模型是对异常检测模型和误用检测模犁的综合。文中详细介绍异常检测和误用检测。２．１异常检测模型 异常检测利用用户和应用软件的预期行为。将对正常行为的背离作为问题进行解释。异常检测的一个基本假设就是攻击行为异于正常行为。例如，对特定用户的日常行为（打字和数量）进行非常准确的模拟，假定某用户习惯上午ｌＯ点左右登录，看邮件，运行数据库管理，中午到下午ｉ点休息，有极少数文件的存取出现错误等等。如果系统发现相同的用 万方数据

入侵检测系统(IDS)与入侵防御系统(IPS)的区别

3.IPS与IDS的区别、选择 IPS对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。 目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来新的困惑：到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢? 从产品价值角度讲：入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。 从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。 而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。 入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击;入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。 明确了这些区别，用户就可以比较理性的进行产品类型选择： ·若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统，在网络的边界点部署入侵防御系统。

网络入侵检测技术

网络入侵检测技术 一、入侵检测发展史 1980年，在James P. Anderson 的文章“Computer Security Threat Monitoring and Surveillance”中[1]，“入侵检测”的概念首次被提出。为开发基于主机的IDS提供了最初的理论基础。 1985年，美国国防部计算机安全中心（NCSC）正式颁布了《可信任的计算机系统评估标准》（Trusted Computer System Evalution Criteria, TCSEC）。TCSEC为预防非法入侵定义了四类七个安全级别。由低到高分别是D、C1、C2、B1、B2、B3、A1，规定C2以上级别的操作系统必须具备审计功能，并记录日志。TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用，是信息安全发展史上的一个里程碑。 1988年，莫里斯（Morris）蠕虫感染了Internet上近万台计算机，造成Internet持续两天停机。美国空军、国家安全局、加州大学戴维斯分校等开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起1990年，加州大学戴维斯分校的L.T.Heberlein等人提出了基于网络的入侵检测概念，即将网络数据流作为审计数据来追踪可疑的行为。 1992年，加州大学的Koral llgun开发出实时入侵检测系统USTAT（a State Transition Analysis Tool for UNIX）。他们提出的状态转换分析法，使用系统状态与状态转换的表达式描述和检测已知的入侵手段，使用反映系统状态转换的图表直观地记载渗透细节。 1994年，普渡大学计算机系COAST实验室的Mark Crosbie和Gene Spafford 研究了遗传算法在入侵检测中的应用。使用遗传算法构建的智能代理（Autonomous Agents）程序能够识别入侵行为，而且这些agents具有“学习”用户操作习惯的初步智能。

网络安全之入侵检测技术

网络安全之入侵检测技术 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测被认为是防火墙之后的第二道安全闸门。IDS主要用来监视和分析用户及系统的活动，可以识别反映已知进攻的活动模式并向相关人士报警。对异常行为模式，IDS要以报表的形式进行统计分析。产品提供的功能还要评估重要系统和数据文件的完整性。 一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统，还能给网络安全策略的制订提供依据。它应该管理配置简单，使非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。IDS分类入侵检测通过对入侵行为的过程与特征进行研究，使安全系统对入侵事件和入侵过程作出实时响应。 IDS产品分类 目前市场上的IDS产品从技术上看，基本可分为两大类:基于网络的产品和基于主机的产品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外，文件的完整性检查工具也可看做是一类入侵检测产品。 基于网络的入侵检测产品放置在比较重要的网段内，对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler，以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。 基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。 混合式入侵检测系统综合了基于网络和主机的两种结构特点，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。 文件完整性检查工具通过检查文件的数字摘要与其他一些属性，判断文件是否被修改，从而检测出可能的入侵。这个领域的产品有半开放源代码的Tripwire。 IDS产品形式 绝大多数的入侵检测产品都以纯软件的形式出售，但为了达到性能最佳，往往需要对安装的系统进行优化调整。这样，把产品做成“黑盒子”的形式可以达到目的，如Cisco公司的Secure IDS和金诺网安KIDS。 随着入侵检测产品日益在规模庞大的企业中应用，分布式技术也开始融入到入侵检测产品中来。同时，集中管理多个传感器的中央控制台也在不断地完善。目前，绝大多数的入侵检测产品，尤其是企业级产品都具有分布式结构。 产品重要指标 在入侵检测产品中，有几个重要的性能指标值得重视，比如网络入侵检测系统负载能力，网络入侵检测系统是非常消耗资源的，但很少有厂商公布自己的pps (packet per second)参数。 网络入侵检测系统可支持的网络类型也是应该考虑的。目前，国内的入侵检测厂商还只是支持以太网和快速以太网。 网络入侵检测系统运行在什么操作系统平台上，网络入侵检测系统的运行平台一般以Unix为主，也有少数使用专有设备或基于Windows平台的入侵检测系统。