新建
上传
首页
助手
最?/div>
资料?/div>
工具

 

入侵检测技术综?/p>

 

胡征?/p>

1

   

Shirochin V.P.

2 

乌克兰国立科技大学

 

 

摘要

  Internet

蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在

信息利用和资源共享上带来了很大的便利。由

Internet

来传递和处理各种生活信息,早已成为人们重要的沟通方?/p>

之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技

?/p>

-

入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它?/p>

发展趋势及主要的

IDS

公司和产品?/p>

 

关键?/p>

 

入侵检?/p>

 

入侵检测系?/p>

 

网络安全

 

防火?/p>

 

1 

引言

 

随着个人、企业和政府机构日益依赖?/p>

Internet

进行通讯,协作及销售。对安全解决方案的需求急剧增长。这

些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问?/p>

虽然防火墙及强大的身份验证能够保

护系统不受未经授权访问的侵扰?/p>

但是它们对专业黑客或恶意的经授权用户却无能为力?/p>

企业经常在防火墙系统上投

入大量的资金,在

Internet

入口处部署防火墙系统来保证安全,

 

依赖防火墙建立网络的组织往往是“外紧内松”,

无法阻止内部人员所做的攻击

,

对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据

统计,全?/p>

80%

以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部

人员所做的攻击,防火墙形同虚设?/p>

 

入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并?/p>

用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻

击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被

认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻

击和误操作的实时保护

,

大大提高了网络的安全?/p>

[1]

?/p>

 

2  

入侵检测的概念、模?/p>

 

入侵检测(

Intrusion Detection

?/p>

ID

?/p>

, 

顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计

算机系统中若干关键点的信息,

检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象?/p>

进行入侵检测的?/p>

件与硬件的组合便是入侵检测系统(

Intrusion Detection System,IDS

)?/p>

 

入侵检测的研究最早可以追溯到詹姆斯·安德森

[1]

?/p>

1980

年为美国空军做的题为《计算机安全威胁监控与监

视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁

分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检?/p>

系统设计及开发的基础

 , 

他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点?/p>

 

Denning[2]

?/p>

1987

年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包

或信息的收集?/p>

检测可能的入侵行为?/p>

并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处?/p>

措施。为了达成这个目的,入侵检测系统应包含

3

个必要功能的组件:信息来源、分析引擎和响应组件?/p>

 

●信息来源(

Information Source

):为检测可能的恶意攻击?/p>

IDS

所检测的网络或系统必须能提供足够的信?/p>

?/p>

IDS

,资料来源收集模组的任务就是要收集这些信息作?/p>

IDS

分析引擎的资料输入?/p>

 

●分析引擎(

Analysis Engine

):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件?/p>

 

●响应模组(

Response 

Component

):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主

动通知系统管理员、中断入侵者的连接和收集入侵信息等?/p>

 

3 

入侵检测系统的分类

 

入侵检测系统依照信息来源收集方式的不同?/p>

可以分为基于主机

?/p>

Host-Based 

IDS

?/p>

的和基于网络

?/p>

Network-Based 

IDS

);另外按其分析方法可分为异常检测(

Anomaly 

Detection,AD

)和误用检测(

Misuse 

Detection,MD

),其分?/p>

架构如图

1

所示:

 

?/p>

 

1. 

入侵检测系统分类架构图

 

入侵检测系统(

IDS

?/p>

 

网络型(

Network-Based

?/p>

 

误用检测(

MD

?/p>

 

异常检?/p>

(AD) 

主机?/p>

(Host-based ) 

Ͼλ
新建
上传
首页
助手
最?/div>
资料?/div>
工具

 

入侵检测技术综?/p>

 

胡征?/p>

1

   

Shirochin V.P.

2 

乌克兰国立科技大学

 

 

摘要

  Internet

蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在

信息利用和资源共享上带来了很大的便利。由

Internet

来传递和处理各种生活信息,早已成为人们重要的沟通方?/p>

之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技

?/p>

-

入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它?/p>

发展趋势及主要的

IDS

公司和产品?/p>

 

关键?/p>

 

入侵检?/p>

 

入侵检测系?/p>

 

网络安全

 

防火?/p>

 

1 

引言

 

随着个人、企业和政府机构日益依赖?/p>

Internet

进行通讯,协作及销售。对安全解决方案的需求急剧增长。这

些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问?/p>

虽然防火墙及强大的身份验证能够保

护系统不受未经授权访问的侵扰?/p>

但是它们对专业黑客或恶意的经授权用户却无能为力?/p>

企业经常在防火墙系统上投

入大量的资金,在

Internet

入口处部署防火墙系统来保证安全,

 

依赖防火墙建立网络的组织往往是“外紧内松”,

无法阻止内部人员所做的攻击

,

对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据

统计,全?/p>

80%

以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部

人员所做的攻击,防火墙形同虚设?/p>

 

入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并?/p>

用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻

击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被

认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻

击和误操作的实时保护

,

大大提高了网络的安全?/p>

[1]

?/p>

 

2  

入侵检测的概念、模?/p>

 

入侵检测(

Intrusion Detection

?/p>

ID

?/p>

, 

顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计

算机系统中若干关键点的信息,

检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象?/p>

进行入侵检测的?/p>

件与硬件的组合便是入侵检测系统(

Intrusion Detection System,IDS

)?/p>

 

入侵检测的研究最早可以追溯到詹姆斯·安德森

[1]

?/p>

1980

年为美国空军做的题为《计算机安全威胁监控与监

视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁

分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检?/p>

系统设计及开发的基础

 , 

他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点?/p>

 

Denning[2]

?/p>

1987

年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包

或信息的收集?/p>

检测可能的入侵行为?/p>

并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处?/p>

措施。为了达成这个目的,入侵检测系统应包含

3

个必要功能的组件:信息来源、分析引擎和响应组件?/p>

 

●信息来源(

Information Source

):为检测可能的恶意攻击?/p>

IDS

所检测的网络或系统必须能提供足够的信?/p>

?/p>

IDS

,资料来源收集模组的任务就是要收集这些信息作?/p>

IDS

分析引擎的资料输入?/p>

 

●分析引擎(

Analysis Engine

):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件?/p>

 

●响应模组(

Response 

Component

):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主

动通知系统管理员、中断入侵者的连接和收集入侵信息等?/p>

 

3 

入侵检测系统的分类

 

入侵检测系统依照信息来源收集方式的不同?/p>

可以分为基于主机

?/p>

Host-Based 

IDS

?/p>

的和基于网络

?/p>

Network-Based 

IDS

);另外按其分析方法可分为异常检测(

Anomaly 

Detection,AD

)和误用检测(

Misuse 

Detection,MD

),其分?/p>

架构如图

1

所示:

 

?/p>

 

1. 

入侵检测系统分类架构图

 

入侵检测系统(

IDS

?/p>

 

网络型(

Network-Based

?/p>

 

误用检测(

MD

?/p>

 

异常检?/p>

(AD) 

主机?/p>

(Host-based ) 

">
新建
上传
首页
助手
最?/div>
资料?/div>
工具

 

入侵检测技术综?/p>

 

胡征?/p>

1

   

Shirochin V.P.

2 

乌克兰国立科技大学

 

 

摘要

  Internet

蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在

信息利用和资源共享上带来了很大的便利。由

Internet

来传递和处理各种生活信息,早已成为人们重要的沟通方?/p>

之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技

?/p>

-

入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它?/p>

发展趋势及主要的

IDS

公司和产品?/p>

 

关键?/p>

 

入侵检?/p>

 

入侵检测系?/p>

 

网络安全

 

防火?/p>

 

1 

引言

 

随着个人、企业和政府机构日益依赖?/p>

Internet

进行通讯,协作及销售。对安全解决方案的需求急剧增长。这

些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问?/p>

虽然防火墙及强大的身份验证能够保

护系统不受未经授权访问的侵扰?/p>

但是它们对专业黑客或恶意的经授权用户却无能为力?/p>

企业经常在防火墙系统上投

入大量的资金,在

Internet

入口处部署防火墙系统来保证安全,

 

依赖防火墙建立网络的组织往往是“外紧内松”,

无法阻止内部人员所做的攻击

,

对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据

统计,全?/p>

80%

以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部

人员所做的攻击,防火墙形同虚设?/p>

 

入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并?/p>

用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻

击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被

认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻

击和误操作的实时保护

,

大大提高了网络的安全?/p>

[1]

?/p>

 

2  

入侵检测的概念、模?/p>

 

入侵检测(

Intrusion Detection

?/p>

ID

?/p>

, 

顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计

算机系统中若干关键点的信息,

检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象?/p>

进行入侵检测的?/p>

件与硬件的组合便是入侵检测系统(

Intrusion Detection System,IDS

)?/p>

 

入侵检测的研究最早可以追溯到詹姆斯·安德森

[1]

?/p>

1980

年为美国空军做的题为《计算机安全威胁监控与监

视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁

分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检?/p>

系统设计及开发的基础

 , 

他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点?/p>

 

Denning[2]

?/p>

1987

年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包

或信息的收集?/p>

检测可能的入侵行为?/p>

并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处?/p>

措施。为了达成这个目的,入侵检测系统应包含

3

个必要功能的组件:信息来源、分析引擎和响应组件?/p>

 

●信息来源(

Information Source

):为检测可能的恶意攻击?/p>

IDS

所检测的网络或系统必须能提供足够的信?/p>

?/p>

IDS

,资料来源收集模组的任务就是要收集这些信息作?/p>

IDS

分析引擎的资料输入?/p>

 

●分析引擎(

Analysis Engine

):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件?/p>

 

●响应模组(

Response 

Component

):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主

动通知系统管理员、中断入侵者的连接和收集入侵信息等?/p>

 

3 

入侵检测系统的分类

 

入侵检测系统依照信息来源收集方式的不同?/p>

可以分为基于主机

?/p>

Host-Based 

IDS

?/p>

的和基于网络

?/p>

Network-Based 

IDS

);另外按其分析方法可分为异常检测(

Anomaly 

Detection,AD

)和误用检测(

Misuse 

Detection,MD

),其分?/p>

架构如图

1

所示:

 

?/p>

 

1. 

入侵检测系统分类架构图

 

入侵检测系统(

IDS

?/p>

 

网络型(

Network-Based

?/p>

 

误用检测(

MD

?/p>

 

异常检?/p>

(AD) 

主机?/p>

(Host-based ) 

Ͼλ">
Ͼλ
Ŀ

入侵检测技术综?- 百度文库
新建
上传
首页
助手
最?/div>
资料?/div>
工具

 

入侵检测技术综?/p>

 

胡征?/p>

1

   

Shirochin V.P.

2 

乌克兰国立科技大学

 

 

摘要

  Internet

蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在

信息利用和资源共享上带来了很大的便利。由

Internet

来传递和处理各种生活信息,早已成为人们重要的沟通方?/p>

之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技

?/p>

-

入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它?/p>

发展趋势及主要的

IDS

公司和产品?/p>

 

关键?/p>

 

入侵检?/p>

 

入侵检测系?/p>

 

网络安全

 

防火?/p>

 

1 

引言

 

随着个人、企业和政府机构日益依赖?/p>

Internet

进行通讯,协作及销售。对安全解决方案的需求急剧增长。这

些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问?/p>

虽然防火墙及强大的身份验证能够保

护系统不受未经授权访问的侵扰?/p>

但是它们对专业黑客或恶意的经授权用户却无能为力?/p>

企业经常在防火墙系统上投

入大量的资金,在

Internet

入口处部署防火墙系统来保证安全,

 

依赖防火墙建立网络的组织往往是“外紧内松”,

无法阻止内部人员所做的攻击

,

对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据

统计,全?/p>

80%

以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部

人员所做的攻击,防火墙形同虚设?/p>

 

入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并?/p>

用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻

击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被

认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻

击和误操作的实时保护

,

大大提高了网络的安全?/p>

[1]

?/p>

 

2  

入侵检测的概念、模?/p>

 

入侵检测(

Intrusion Detection

?/p>

ID

?/p>

, 

顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计

算机系统中若干关键点的信息,

检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象?/p>

进行入侵检测的?/p>

件与硬件的组合便是入侵检测系统(

Intrusion Detection System,IDS

)?/p>

 

入侵检测的研究最早可以追溯到詹姆斯·安德森

[1]

?/p>

1980

年为美国空军做的题为《计算机安全威胁监控与监

视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁

分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检?/p>

系统设计及开发的基础

 , 

他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点?/p>

 

Denning[2]

?/p>

1987

年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包

或信息的收集?/p>

检测可能的入侵行为?/p>

并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处?/p>

措施。为了达成这个目的,入侵检测系统应包含

3

个必要功能的组件:信息来源、分析引擎和响应组件?/p>

 

●信息来源(

Information Source

):为检测可能的恶意攻击?/p>

IDS

所检测的网络或系统必须能提供足够的信?/p>

?/p>

IDS

,资料来源收集模组的任务就是要收集这些信息作?/p>

IDS

分析引擎的资料输入?/p>

 

●分析引擎(

Analysis Engine

):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件?/p>

 

●响应模组(

Response 

Component

):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主

动通知系统管理员、中断入侵者的连接和收集入侵信息等?/p>

 

3 

入侵检测系统的分类

 

入侵检测系统依照信息来源收集方式的不同?/p>

可以分为基于主机

?/p>

Host-Based 

IDS

?/p>

的和基于网络

?/p>

Network-Based 

IDS

);另外按其分析方法可分为异常检测(

Anomaly 

Detection,AD

)和误用检测(

Misuse 

Detection,MD

),其分?/p>

架构如图

1

所示:

 

?/p>

 

1. 

入侵检测系统分类架构图

 

入侵检测系统(

IDS

?/p>

 

网络型(

Network-Based

?/p>

 

误用检测(

MD

?/p>

 

异常检?/p>

(AD) 

主机?/p>

(Host-based ) 



ļ׺.doc޸Ϊ.docĶ

  • ϴ»ϴ
  • 100ָ¯紵úĿо
  • 2015꿼ʾ
  • еڶҽԺϢĿͬ
  • ѧword
  • 2015-2020йͿҵгͶǰо - ͼ
  • TD-LTE̼ȳϸϸ
  • javaдĴWord ĵ (2)
  • 㷢[2009]24ֹھҵſй֪ͨ

վ

԰ Ͼλ
ϵͷ779662525#qq.com(#滻Ϊ@)