1.引言

入侵检测(Intrusion Detection)是指通过对计算机网络或者计算机系统中的行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,以便发现计算机或者网络系统中是否存在违反安全策略的行为或遭到攻击的迹象。其作用含有威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

入侵检测系统(Intrusion Detection System)是入侵检测对网络传输自动进行检测和分析的软件或硬件系统,能够帮助系统识别入侵、攻击和异常数据流量,从而避免病毒、黑客的攻击。基于网络的入侵检测方法有:统计方法、神经网络、数据挖掘、免疫学方法等,以及一些新提出的基于网络的分析入侵检测方法。这也要求入侵检测技术不断改进更新,近年来,入侵检测技术有新的发展趋势:网络检测点由点向面发展,即一个主要的发展趋势是采用分布式系统,在网络上放置多个检测器,共享信息,并通过信息的分发交流,协同工作,提高系统响应的实时性。

2.入侵检测发展史

入侵检测的发展可分为五个阶段:①第一阶段,提出入侵检测的概念。②第二阶段,提出入侵检测系统的抽象模型。③第三阶段,根据入侵检测的抽象模型创建了第一个入侵检测系统IDES(Intrusion Detection Expert System)。④第四阶段,开发出了第一个真正意义上的入侵检测系统NSM(Network Security Monitor)。⑤第五阶段,广泛推广和应用入侵检测系统,接着近年来在入侵检测系统上后续的创新研究。

由1980年James P .Anderson提出的一份技术报告中,在报告中首次详细的提出了入侵检测的概念。

1987年Dorothy Denning提出了入侵检测系统的抽象模型IDES,并且奠定了入侵检测技术领域的两大方向:误用检测和异常检测。

由于1988年发生的Morris Internet蠕虫事件,引发了对系统的开发热潮,Teresa Lunt等根据Denning提出的模型创建了IDES,但此时该系统还较简单。

1990年 Herberlein 等人在原模型的基础上开发出了第一个的入侵检测系统NSM,并且首次监测数据采用实时数据流而非存档信息作为来源。1994年Mark Crosbie等提出使用自治代理以提高IDS的可伸缩性、可维护性、效率和容错性。

1997年入侵检测系统正式进入主流网络安全产品阶段。并在这个时期,入侵检测被视为了防火墙的有益补充。进入21世纪后,蠕虫病毒泛滥,由于此类病毒的特性,防火墙无法控制和发现蠕虫传播,但入侵检测倒是能有利的对此类病毒做出应对方法。继而入侵检测系统收到了人们的广泛推广和应用。至今为止,人们在入侵检测技术上的创新研究已经逐渐成熟。

3.入侵检测系统功能及分类

3.1 系统特点

一个完整的入侵检测系统功能结构包含事件提取、入侵分析、入侵响应三部分。也要满足五个主要功能要求:①实时性要求;②可扩展性要求;③适应性要求;④安全性与可用性要求;⑤有效性要求。

3.2 系统分类

对入侵检测技术的分类方法有很多。按数据监测方法可分为异常检测,误用检测。

异常检测:此方法主要是根据计算机系统中现有的模式库对收集到的数据信息进行匹配,是否与现有模式库有重大偏差,如果有,则判定为有攻击。常用方法有量化分析、统计分析和神经网络。

误用检测:该方法则是与异常检测相反,误用检测是收集非正常操作的行为特征建立特征库,把收集到的数据与特征库中的各种攻击进行比较。常用方法有简单的模式匹配、专家系统和状态转移法。

按监测数据所用的数据来源的不同,可分为(1)基于主机的入侵检测系统(HIDS)、(2)基于网络的入侵检测系统(NIDS)、(3)基于混合数据源的检测系统(HIDS+NIDS)

基于主机的数据来源主要是:被检测系统的操作系统事件日志、应用程序的事件日志、系统调用日志、端口调用和安全审计日志。

基于网络的数据来源是网络上的数据包,该方式可提供试试的网络行为检测,有较好的隐蔽性。但缺点是无法实现对加密信道和基于加密信道的应用层协议数据的解密,导致对某些网络攻击的检测率较低。

第三种检测方式则是前两种方式的混合,也被称为分布式入侵检测系统。对于前两种传统的单机IDS,它综合了前两种检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况,且具有一些明显的优势,①可检测大范围的攻击行为;②提高了检测的准确度;③提高检测的效率;④协调响应措施。

现在分布式入侵检测系统已是入侵检测系统未来应用发展的必然趋势。

4.入侵检测技术现存问题以及发展趋势

4.1入侵检测技术中的问题

近年来,我国信息化技术飞速发展,但是和发达国家相比较,我国信息化技术还不够完善、入侵检测技术有待提高。在对信息进行实时检测的过程中,对部分信息会出现错认或漏认的情况,使得对信息进行处理时不够彻底。其次,在不同的网络环境下也会使入侵检测技术的发挥受到限制影响。因此,我国当前形势下,计算机网络入侵检测技术水平仍然有待提高,存在检测不完善的问题。现在我国入侵检测技术手段过于单一,在进行检测过程中,只能通过特征检测的方法对威胁信息进行筛选和处理。

在当前我国信息化技术迅速发展的背景下,我国对威胁信息的甄别和检测主要是通过特征检测的方法来进行的。此类方法在面对简单网络入侵时,还能正常处理。一旦面临复杂多变的网络安全入侵情况,此类方法的局限性将会显露无遗,无法对其进行有效的防御和处理。对待复杂多变的网络入侵,需要建立在计算机大量的数据计算上,此过程会耗费大量的时间,才能检测出计算机是否被入侵。这就使得计算机网络入侵检测的效率大大降低,根本无法满足网络安全的发展需要,难以为公众的生活和生产提供安全的网络保障。

4.2 入侵检测技术发展趋势

4.2.1入侵检测系统的标准化

即使 IDS 经历了多年的发展,且近年来因与机器学习等新技术的结合又在网络与信息安全领域受到广泛的关注,但到目前为止,依旧没有一个被研究人员广泛认可的国际标准。目前,只有CIDF 和IDWG 两个组织在进行 IDS 的标准化工作,从体系结构、通信机制、消息格式等各方面进行 IDS 规范化,但进展缓慢,尚没有出现被广泛接受的标准。因此下一代 IDS 的方向是拥有标准的接口。

4.2.2 入侵检测系统的高效智能化

目前,黑客攻击技术层出不穷,检测技术难以跟上攻击技术的更新速度,且入侵方式多样,信息加密等都能给检测带来很大的困难,所以对入侵进行高效率的检测也是 IDS 的研究热点。另外,尽管与神经网络、数据挖掘等技术相结合的入侵检测方法越来越多,但大都不够成熟,仍需在 IDS 的智能化方面深入的研究。

4.2.3 入侵检测系统的评测方法

面对功能越来越复杂的IDS,用户需对IDS 资源占用,以及自身抗攻击性、可靠性、适应性、准确性进行评价。设计公用的IDS 测试方法和测试平台实现对 IDS 的检测亦是IDS的另一重要研究方向。

4.2.4 与其他网络安全技术相结合

IDS 的功能主要是发现入侵行为并进行简单的报警处理,但不能及时阻止攻击如切断网络连接等,这对一个功能完善的安全系统是远远不够的。因此为解决实际网络安全需求需将 IDS 与弱点分析,防火墙,应急响应等系统相融合,以形成一个全方位的安全保障系统。

入侵检测技术概述笔记相关推荐

  1. 【计算机网络学习笔记18】防火墙技术、入侵检测技术

    [计算机网络学习笔记18]防火墙技术.入侵检测技术 一.防火墙 防火墙 (firewall) :一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降 ...

  2. 信息安全工程师笔记-入侵检测技术原理与应用

    入侵检测:通过收集操作系统.系统程序.应用程序.网络包信息,发现系统中违背安全策略或危及系统安全的行为. 具有入侵检测功能的系统称为入侵检测系统,简称为IDS. 通用入侵检测模型 通用入侵检测框架模型 ...

  3. 文献笔记02 网络入侵检测技术综述(信息安全学报)

    文章目录 网络入侵检测技术综述 大纲 一.入侵检测系统分类 1.基于数据来源划分 2.基于检测技术划分 二.基于传统机器学习的入侵检测 1.入侵数据处理 2.监督机器学习技术 3.无监督机器学习技术 ...

  4. 信安教程第二版-第10章入侵检测技术原理与应用

    第10章 入侵检测技术原理与应用 10.1 入侵检测概述 193 10.1.1 入侵检测概念 193 10.1.2 入侵检测模型 193 10.1.3 入侵检测作用 194 10.2 入侵检测技术 1 ...

  5. 信息安全-入侵检测技术原理与应用

    一.入侵检测概述 1.1 入侵检测概念 入侵应与受害目标相关联,该受害目标可以是一个大的系统或单个对象 判断与目标相关的操作是否为入侵的依据:对目标的操作是否超出了目标的安全策略范围 入侵:指违背访问 ...

  6. 信息安全软考 第十章 入侵检测技术原理应用

    入侵检测概述 入侵检测技术 ※ 入侵检测系统组成与分类 ※ 入侵检测系统主要产品与技术指标 入侵检测应用 ※ ※    命题规则:上午选择题2分左右,下午案例题结合其他知识考5-8分    入侵检测是 ...

  7. 【软考信安】入侵检测技术原理应用

    入侵检测概述 入侵的判定:对目标的操作超出目标的安全策略范围. 入侵检测系统(IDS) 通用入侵检测框架模型(CIDF) 组成:事件产生器.事件分析器.响应单元和事件数据库. 入侵检测技术

  8. 第10章 入侵检测技术原理与应用

    第10章 入侵检测技术原理与应用 10.1 入侵检测概述 10.1.1 入侵检测概念 入侵检测通过收集操作系统.应用程序.系统程序.网络包等信息发现系统中违背安全策略活危机系统安全的行为.IDS 10 ...

  9. 第七讲 入侵检测技术

    概念:入侵检测 入侵检测通用框架(IDWG CIDF CVE) 理解:入侵检测原理.入侵检测系统分类.误用检测和异常检测的区别及特点 运用举例: 能够依据具体的应用场景,选择恰当的入侵检测系统部署方法 ...

最新文章

  1. php常用的技术有哪些,php常用技术
  2. 无论你在学什么语言,都能有小姐姐来陪着你一起学习!
  3. 一个使用:focus-within伪类实现的button选中动画效果
  4. 《C++ Primer 5th》笔记(5 / 19):语句
  5. 应用框架的设计与实现学习手札系列(持续更新)
  6. String与StringBuffer和StringBuilder的根本区别
  7. CentOS 7操作系统之Docker安装
  8. cpout引脚是干什么的_FPGA中差分信号的定义和使用(一)
  9. 拼多多回应“轩尼诗假酒”案:实际售出3单 9月已关闭店铺
  10. Top 10 盘点:2019 Java 开发者必学的测试框架、工具和库!
  11. 使用PowerDesinger 正向工程
  12. Calling startActivity() from outside of an Activity context requires the FLAG_ACTIVITY_NEW_TASK
  13. 360 android root权限获取root,360 N5 root过程详解
  14. hotmail手机端_hotmail邮箱登陆手机版 参见http://help.
  15. flume Consolidation
  16. 华米科技诚意之作:Amazfit GTR 2e 亮相CES电子展
  17. 如何对电脑屏幕进行监控?
  18. Gitkraken收费问题解决
  19. 让键盘发出老婆的声音,键盘按键提示音工具
  20. day02——Java基础概念

热门文章

  1. Python 考试编程题
  2. 需要了解下Android的Recovery模式
  3. 视频后期合成软件:NUKE 12 for Mac(支持m1)
  4. 函数式编程思想:不变性
  5. 计算机培训中学语文研修计划,语文教师信息技术个人研修计划
  6. Excel 提取 Word中的数据到Excel表格中
  7. canvas字体样式
  8. html文本框禁止汉字,html 文本框屏蔽非法字符
  9. 千方科技与关联方约37亿完成对宇视科技100%收购
  10. B站35岁女副总裁嫁给24岁男主播!厉害啊