网络论文精选10篇(5)

1.入侵检测的概念及功能

入侵就是指任何试图危及信息资源的机密性、完整性和可用性的行为。而入侵检测就是对入侵行为的发觉，它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。通常入侵检测系统(Intrusion Detection System， IDS)是由软件和硬件组成的。入侵检测是防火墙的合理补充，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。另外，它也扩展了系统管理员的安全管理能力，有助于提高信息安全基础结构的完整性，是对原有安全系统的一个重要补充。入侵检测系统收集计算机系统和网络的信息，并对这些信息加以分析，对被保护的系统进行安全审计、监控、攻击识别并做出实时的反应。

入侵检测的主要功能包括：(1)监视、分析用户及系统活动；(2)系统构造和弱点的审计；(3)映已知进攻的活动模式并进行相关人士报警；(4)模式的统计分析；(5)要系统和数据文件的完整性；(6)的审计跟踪管理，并识别用户违反安全策略的行为。

2.入侵检测的信息来源

对于入侵检测系统而言，输入数据的选择是首先需要解决的问题，目前的入侵检测系统的数据来源主要包括：(1)操作系统的审计记录；(2)系统日志；(3)应用程序日志；(4)基于网络数据的信息源；(4)来自其他安全产品的数据源。

3.入侵检测系统的基本模型

在入侵检测系统的发展过程中，大致经历了集中式、层次式和集成式三个阶段，代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。

3.1 通用入侵检测模型

Denning于1987年最早提出一个通用的入侵检测模型(如图2.1所示)。

该模型由6个部分组成：(1) 主体(Subject);(2) 对象(Object);(3) 审计记录(Audit Records);(4) 活动简档(Activity Profile);(5) 异常记录(Anomaly Record);(6)活动规则。

3.2 IDM模型

Steven Snapp在设计和开发分布式入侵检测系统DIDS时，提出一个层次化的入侵检测模型，简称IDM。该模型将入侵检测分为六个层次，分别为：数据(data)、事件(event)、主体(subject)、上下文(context)、威胁(threat)、安全状态(security state)。

IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。也就是说，它给出了将分散的原始数据转换为高层次有关入侵和被监测环境的全部安全假设过程。通过把收集到的分散数据进行加工抽象和数据关联操作，IDM构造了一台虚拟的机器环境，这台机器由所有相连的主机和网络组成。将分布式系统看成一台虚拟计算机的观点简化了跨越单机入侵行为的识别。IDM也应用于只有单台计算机的小型网络。

3.3 SNMP-IDSM模型

随着网络技术的飞速发展，网络攻击手段也越来越复杂，攻击者大都是通过合作的方式来攻击某个目标系统，而单独的IDS难以发现这种类型的入侵行为。然而，如果IDS系统也能够像攻击者那样合作，就有可能检测到入侵者。这样就要有一种公共的语言和统一的数据表达格式，能够让IDS系统之间顺利交换信息，从而实现分布式协同检测。北卡罗莱那州立大学的Felix Wu等人从网络管理的角度考虑IDS模型，突出了基于SNMP的IDS模型，简称SNMP-IDSM.。

SNMP-IDSM以SNMP为公共语言来实现IDS系统之间的消息交换和协同检测，它定义了IDS-MIB，使得原始事件和抽象事件之间关系明确，并且易于扩展。SNMP-IDSM定义了用来描述入侵事件的管理信息库MIB，并将入侵事件分析为原始事件(Raw Event)和抽象事件(Abstract Event)两层结构。原始事件指的是引起安全状态迁移的事件或者是表示单个变量迁移的事件，而抽象事件是指分析原始事件所产生的事件。原始事件和抽象事件的信息都用四元组来描述。

4.入侵检测的分类和分析方法

4.1入侵检测的分类

通过对现有的入侵检测系统和技术研究，可对入侵检测系统进行如下分类：

根据目标系统的类型可以将入侵检测系统分为两类：

(1) 基于主机(Host-Based)的IDS。通常，基于主机的。入侵检测系统可以监测系统事件和操作系统下的安全记录以及系统记录。当有文件发生变化时，入侵检测系统就将新的记录条目与攻击标记相比较，看它们是否匹配。 (2) 基于网络(Network-Based)的IDS。该系统使用原始网络数据包作为数据源，利用一个运行在混杂模式下的网络适配器来实时监测并分析通过网络的所有通信业务。

根据入侵检测系统分析的数据来源，数据源可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等，可以将入侵检测系统分为基于不同分析数据源的入侵检测系统。

根据入侵检测方法可以将入侵检测系统分为两类：

(1) 异常IDS。该类系统利用被监控系统正常行为的信息作为检测系统中入侵、异常活动的依据。

(2) 误用IDS。误用入侵检测系统根据已知入侵攻击的信息(知识、模式)来检测系统的入侵和攻击。

根据检测系统对入侵攻击的响应方式，可以将入侵检测系统分为两类：

(1) 主动的入侵检测系统。它在检测出入侵后，可自动的对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者)退出系统以及关闭相关服务等对策和响应措施。

(2) 被动的入侵检测系统。它在检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则有系统管理员完成。

根据系统各个模块运行的分步方式，可以将入侵检测系统分为两类：

(1) 集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，这种方式适用于网络环境比较简单的情况。

(2) 分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上，一般而言，分布性主要体现在数据收集模块上，如果网络环境比较复杂、数据量比较大，那么数据分析模块也会分布，一般是按照层次性的原则进行组织。

当前众多的入侵检测系统和技术，基本上是根据检测方法、目标系统、信息数据源来设计的。

4.2 入侵检测的分析方法

从入侵检测的角度来说，分析是指对用户和系统活动数据进行有效的组织、整理及特征提取，以鉴别出感兴趣的攻击。这种行为的鉴别可以实时进行，也可以事后分析，在很多情况下，事后的进一步分析是为了寻找行为的责任人。入侵检测的方法主要由误用检测和异常检测组成。

误用检测对于系统事件提出的问题是：这个活动是恶意的吗？误用检测涉及到对入侵指示器已知的具体行为的解码信息，然后为这些指示器过滤事件数据。要想执行误用检测，需要有一个对误用行为构成的良好理解，有一个可靠的用户活动记录，有一个可靠的分析活动事件的方法。

异常检测需要建立正常用户行为特征轮廓，然后将实际用户行为和这些特征轮廓相比较，并标示正常的偏离。异常检测的基础是异常行为模式系统误用。轮廓定义成度量集合。度量衡量用户特定方面的行为。每一个度量与一个阈值相联系。异常检测依靠一个假定：用户表现为可预测的、一致的系统使用模式。

有些入侵检测方法既不是误用检测也不属异常检测的范围。这些方案可应用于上述两类检测。它们可以驱动或精简这两种检测形式的先行活动，或以不同于传统的影响检测策略方式。这类方案包括免疫系统方法、遗传算法、基于代理检测以及数据挖掘技术。

5.入侵检测系统的局 …… 此处隐藏：4112字，全部文档内容请下载后查看。喜欢就下载吧 ……