入侵檢測技術研究現狀分析

理論研究

作者：毛頡

入侵檢測技術作為網絡安全防護技術的重要組成部分，已經成為網絡安全領域研究的熱點，對入侵檢測係統的定義、分類進行了介紹，並重點對入侵檢測技術的現狀進行了分析和總結。

入侵檢測網絡安全技術

1引言

隨著信息時代的到來，電子商務、電子政務，網絡改變人們的生活，人類已經進入信息化社會。計算機係統與網絡的廣泛應用，使網絡安全問題成為日益矚目的焦點。單純的安全保護措施並不能保障係統的絕對安全，入侵檢測技術作為網絡安全防護技術的重要組成部分，已經成為網絡安全領域研究的熱點。

2入侵檢測的概念

入侵檢測（Intrusion Detection），顧名思義，是指對入侵行為的發現。入侵檢測技術是通過從計算機網絡或計算機係統中的若幹關鍵點收集信息並對其進行分析，從中發現網絡或係統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。

入侵檢測係統（IDS）則是指一套監控和識別計算機係統或網絡係統中發生的事件，根據規則進行入侵檢測和響應的軟件係統或軟件與硬件組合的係統。

3入侵檢測技術分析

3.1入侵檢測的分類

關於入侵檢測係統的分類大體可分為四類：

（1）根據入侵檢測的數據來源的不同，入侵檢測係統可以分為基於主機的入侵檢測係統、基於網絡的入侵檢測係統、混合式入侵檢測係統等。基於主機的入侵檢測係統往往以係統日誌、應用程序日誌等作為數據源，保護所在的係統。基於網絡的入侵檢測係統通過在共享網段上對通信數據進行偵聽采集數據，分析可疑現象，能夠實現對整個網段的監控、保護。混合式入侵檢測係統采用上述兩種數據來源，能夠同時分析來自主機係統的審計日誌和網絡數據流。

（2）根據入侵檢測體係結構的不同，將入侵檢測係統分為集中式入侵檢測係統和分布式入侵檢測係統。集中式IDS由一個集中的入侵檢測服務器和運行於各個主機上的簡單的審計程序組成，審計數據由分散的主機審計程序收集後傳送到檢測服務器，由服務器對這些數據進行分析，適用於小型網絡中的入侵檢測。分布式IDS的各個組件分布在網絡中不同的計算機上，一般來說分布性主要體現在數據收集和數據分析模塊上。

（3）根據入侵檢測係統所采用的技術不同分為異常檢測、誤用檢測和混合型檢測。誤用檢測是利用已知的攻擊特點或係統漏洞，直接對入侵行為進行特征化描述，建立某種或某類己經發生過的入侵的特征行為模式庫，如果發現當前行為與某個入侵模式一致，就表示發生了這種入侵。異常檢測是建立計算機係統中正常行為的模式庫，然後根據采集的數據，如果數據特征與正常行為的特征相比，出現明顯的偏差，則認為是異常。

（4）根據響應方式可分為：主動響應和被動響應兩種。

3.2入侵檢測主要技術

（1）概率統計方法

概率統計首要做的就是建立一個統計特征輪廓，它通常由對主體特征屬性變量進行統計概率分布以及偏差等來描述的。譬如：CPU的使用，I/O的使用，使用地點及時間，郵件使用，編輯器使用，編譯器使用，所創建、刪除、訪問或改變的目錄及文件，網絡上活動等。這種方法的優點在於能夠檢測出未知的入侵行為，同時缺點也很明顯：誤報、漏報率高。