浅析入侵检测技术现状发展

2016-08-11丁涛

大科技 2016年5期

关键词：应用层攻击行为网络安全

丁涛

（湖北工业大学湖北武汉 430068）

浅析入侵检测技术现状发展

丁涛

（湖北工业大学湖北武汉 430068）

网络的安全问题一直是人们关注的焦点，在这个背景下，对于入侵检测的概念、功能构成、目的、分类，作了介绍，然后对于基于网络和主机的入侵检测技术做了细论。最后又简单介绍了国内外入侵监测系统的产品的一些情况和未来入侵监测系统的发展方向。

网络安全；入侵检测

引文

入侵检测有别于其他的防御方式，其他的防御都是被动的，不会根据具体行为来决定安全对策，而入侵检测则主动的多，它不仅能发现已知的攻击行为，未知的也能发现并学习分析入侵手段进而有针对性的对其防范。所以，入侵检测将是极为有效的一种防范手段。

1 现在网络安全隐患

对网络的安全性保护事业自网络诞生以来就从未停止过。网络是一把双刃剑，在实现连接信息方便人们生活工作的同时，暗含的信息安全隐患问题也日益突出。虽然现在已经有了一些安全防护措施来保驾护航，还有一个有效的方式就是入侵检测。入侵检测有别于其他的防御方式，其他的防御都是被动的，不会根据具体行为来决定安全对策，而入侵检测则主动的多，它不仅能发现已知的攻击行为，未知的也能发现并学习分析入侵手段进而有针对性的对其防范。所以，入侵检测将是极为有效的一种防范手段。

2 入侵检测的定义

传统的防火墙是一种被动的防护技术，通常是网络安全的第一道屏障。大量的事实证明，目前的网络环境下单纯的被动防护方法是远远不够的，还要配合实时入侵检测和主动响应策略。对计算机和网络资源的恶意使用行为进行识别和相应处理的系统所采用的技术就是入侵检测技术，不仅能防范来自于外网的攻击也能限制内网内用户的非法行为。

3 入侵检测的实现

要实现入侵检测我们主要对用户及系统活动执行监视分析、审计系统构造时的弱点、对已知的攻击行为进行识别和报警、统计并分析异于往常的各种行为和各类模式、对系统和文件数据的完整性进行有效评估和识别其他的安全危害动作。

4 入侵检测的系统功能构成

下面用图示的方式展示一下入侵检测是如何进行的，从图中我们可以看到它的工作原理，其中至少要有对事件的提取、对入侵行为的分析、和入侵行为的反应和远程管理四部分功能。

图1 入侵检测工作原理图

对入侵行为的分析就是先对提取的数据进行分析继而区分开正常访问行为和非正常访问行为，然后定位入侵者，继而触发入侵响应功能，对入侵行为有所反应。单个的入侵检测系统不足以实现全范围的检测控制，这是由于它的检测能力和检测范围有限的原因。所以更多的会使用分布监视集中管理的结构，将网络和系统分段、分部分，让多个检测单元分布其上，通过远程管理集结在一个站点上进行管理和监控。

5 入侵检测的分类

入侵检测的分类有两种——基于主机型和基于网络型，他们是根据信息源的不同分化出来的。

5.1 基于主机的入侵检测系统

事件、系统和WindowsNT下的安全记录以及Unix环境下的系统记录都可以被这种系统所检测。IDS记录了很多的攻击行为的特征，当有类似的行为被识别时，比如文件修改或删除行为IDS就可以对它进行识别，识别出来就作出相应的处理措施。定期检验可执行文件和关键系统文件可以很好地防范对这二者的入侵行为，它的有效性取决于所设定的期限长短。比如若在特定的端口被访问时，现在的IDS主要监听端口的活动，所以就会立即报警管理员就可以及时作出反应，从而避免被入侵。

5.2 基于网络的入侵检测系统

网卡可以监视并分析经过的各种数据流，通过对网络上的网卡来分析网络数据包就是基于网络的入侵检测系统。统计分析、模式匹配等技术都被他的分析模块用来识别是否是攻击行为。如果通过这些方式识别出了攻击行为就会报警，也会切断用户的网络连接来保护系统不被损害将损失降到最小。当然，不同的入侵检测系统会有不同的反应方式，但一般都具有三种技能：切断连接、报警、记录相关信息。

再一种就是将以上两种相结合的集成入侵检测系统。两种方案各有所长，互补性也很强，一般厂家基于对安全性的考虑都会同时采用二者。这样IDS防范外部攻击的同时，基于主机的入侵检测系统又可以弥补不得不与Internet外部网络进行交互的DNS、Email和Web服务器正常使用，所以两者兼备防患于未然是必须的。