|
|
|
<p class="MsoNormal" align="center" style="MARGIN: 0cm 0cm 0pt; TEXT-ALIGN: center;"><strong><span style="FONT-SIZE: 15pt; FONT-FAMILY: 宋体; mso-bidi-font-size: 10.5pt; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman';">入侵检测技术综述</span></strong><span lang="EN-US" style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;"><br/></span><span style="FONT-FAMILY: 宋体; mso-bidi-font-size: 10.5pt; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">胡征兵<sup><span lang="EN-US">1</span></sup><span lang="EN-US"><span style="mso-spacerun: yes;"> </span></span></span><span lang="EN-US" style="mso-bidi-font-size: 10.5pt;"><font face="Times New Roman">Shirochin V.P.</font><sup><font face="Times New Roman">2<br/></font></sup></span><span style="FONT-FAMILY: 宋体; mso-bidi-font-size: 10.5pt; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'; mso-bidi-font-weight: bold;">乌克兰国立科技大学</span><span lang="EN-US" style="mso-bidi-font-size: 10.5pt; mso-bidi-font-weight: bold;"><p></p></span></p><p class="MsoNormal" align="center" style="MARGIN: 0cm 0cm 0pt; TEXT-ALIGN: center;"><sup><span lang="EN-US" style="mso-bidi-font-size: 10.5pt; mso-bidi-font-weight: bold;"><p><font face="Times New Roman"> </font></p></span></sup></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19pt; LINE-HEIGHT: 12pt; mso-char-indent-count: 2.0; mso-line-height-rule: exactly;"><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">摘要<span lang="EN-US"><span style="mso-spacerun: yes;"> </span>Internet</span>蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由<span lang="EN-US">Internet</span>来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术<span lang="EN-US">-</span>入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的<span lang="EN-US">IDS</span>公司和产品。</span></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19pt; LINE-HEIGHT: 12pt; mso-char-indent-count: 2.0; mso-line-height-rule: exactly;"><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">关键词 入侵检测 入侵检测系统 网络安全防火墙</span></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; LINE-HEIGHT: 12pt; mso-line-height-rule: exactly;"><b><span lang="EN-US" style="FONT-SIZE: 12pt; FONT-FAMILY: 宋体; mso-bidi-font-size: 9.5pt; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">1 </span></b><b><span style="FONT-SIZE: 12pt; FONT-FAMILY: 宋体; mso-bidi-font-size: 9.5pt; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">引言<span lang="EN-US"><p></p></span></span></b></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19pt; LINE-HEIGHT: 12pt; mso-char-indent-count: 2.0; mso-line-height-rule: exactly;"><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">随着个人、企业和政府机构日益依赖于<span lang="EN-US">Internet</span>进行通讯,协作及销售。对安全解决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投入大量的资金,在<span lang="EN-US">Internet</span>入口处部署防火墙系统来保证安全, 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击<span lang="EN-US">,</span>对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球<span lang="EN-US">80%</span>以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。<span lang="EN-US"><p></p></span></span></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19pt; LINE-HEIGHT: 12pt; mso-char-indent-count: 2.0; mso-line-height-rule: exactly;"><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护<span lang="EN-US">,</span>大大提高了网络的安全性<span lang="EN-US">[1]</span>。<span lang="EN-US"><p></p></span></span></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; LINE-HEIGHT: 12pt; mso-line-height-rule: exactly;"><b><span lang="EN-US" style="FONT-SIZE: 12pt; FONT-FAMILY: 宋体; mso-bidi-font-size: 9.5pt; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">2<span style="mso-spacerun: yes;"> </span></span></b><b><span style="FONT-SIZE: 12pt; FONT-FAMILY: 宋体; mso-bidi-font-size: 9.5pt; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">入侵检测的概念、模型<span lang="EN-US"><p></p></span></span></b></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19pt; LINE-HEIGHT: 12pt; mso-char-indent-count: 2.0; mso-line-height-rule: exactly;"><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">入侵检测(<span lang="EN-US">Intrusion Detection</span>,<span lang="EN-US">ID</span>)<span lang="EN-US">, </span>顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(<span lang="EN-US">Intrusion Detection System,IDS</span>)。<span lang="EN-US"><p></p></span></span></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19pt; LINE-HEIGHT: 12pt; mso-char-indent-count: 2.0; mso-line-height-rule: exactly;"><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">入侵检测的研究最早可以追溯到詹姆斯<span lang="EN-US">·</span>安德森<span lang="EN-US">[1]</span>在<span lang="EN-US">1980</span>年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础<span lang="EN-US"> , </span>他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。<span lang="EN-US"><p></p></span></span></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19pt; LINE-HEIGHT: 12pt; mso-char-indent-count: 2.0; mso-line-height-rule: exactly;"><span lang="EN-US" style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">Denning[2]</span><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">在<span lang="EN-US">1987</span>年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵检测系统应包含<span lang="EN-US">3</span>个必要功能的组件:信息来源、分析引擎和响应组件。<span lang="EN-US"><p></p></span></span></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19.5pt; LINE-HEIGHT: 12pt; mso-line-height-rule: exactly;"><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">●信息来源(<span lang="EN-US">Information Source</span>):为检测可能的恶意攻击,<span lang="EN-US">IDS</span>所检测的网络或系统必须能提供足够的信息给<span lang="EN-US">IDS</span>,资料来源收集模组的任务就是要收集这些信息作为<span lang="EN-US">IDS</span>分析引擎的资料输入。<span lang="EN-US"><p></p></span></span></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19.5pt; LINE-HEIGHT: 12pt; mso-line-height-rule: exactly;"><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">●分析引擎(<span lang="EN-US">Analysis Engine</span>):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。<span lang="EN-US"><p></p></span></span></p><p class="MsoNormal" style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 19pt; LINE-HEIGHT: 12pt; mso-char-indent-count: 2.0; mso-line-height-rule: exactly;"><span style="FONT-SIZE: 9.5pt; FONT-FAMILY: 宋体; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt;">●响应模组(<span lang="EN-US">Response Component</span>):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。<span lang="EN-US"><p></p></span></span></p><p></p><p>
i6Ows8nJ.doc
(459 KB, 下载次数: 20)
<br/></p><p></p> |
|
公安备案号:42011102001150
IP卡
狗仔卡
发表于 2006-4-5 11:24:04
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
转播
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
