入侵检测系统研究论文

《科技传播》杂志国家级科技学术期刊中英文目录知网 万方全文收录随着对网络安全问题的理解日益深入，入侵检测技术得到了迅速的发展，应用防护的概念逐渐被人们所接受，并应用到入侵检测产品中。而在千兆环境中，如何解决应用防护和千兆高速网络环境中数据包线速处理之间的矛盾，成为网络安全技术发展一个新的挑战。 入侵检测技术的演进。 入侵检测系统(IDS， Intrusion Detection System)是近十多年发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。IDS产品被认为是在防火墙之后的第二道安全防线在攻击检测、安全审计和监控等方面都发挥了重要的作用。 但在入侵检测产品的使用过程中，暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出，并且严重影响了产品发挥实际的作用。Gartner在2003年一份研究报告中称入侵检测系统已经“死”了。Gartner认为IDS不能给网络带来附加的安全，反而会增加管理员的困扰，建议用户使用入侵防御系统(IPS， Intrusion Prevention System)来代替IDS。Gartner公司认为只有在线的或基于主机的攻击阻止(实时拦截)才是最有效的入侵防御系统。 从功能上来看，IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。因此，从实用效果上来看，和IDS相比入侵防御系统IPS向前发展了一步，能够对网络起到较好的实时防护作用。 近年来，网络攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析，目前对网络的攻击有70%以上是集中在应用层，并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果，比如用户帐号丢失和公司机密泄漏等。因此，对具体应用的有效保护就显得越发重要。从检测方法上看，IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等技术。这些检测技术的特点是主要针对已知的攻击类型，进行基于攻击特征串的匹配。但对于应用层的攻击，通常是利用特定的应用程序的漏洞，无论是IDS还是IPS都无法通过现有的检测技术进行防范。 为了解决日益突出的应用层防护问题，继入侵防御系统IPS之后，应用入侵防护系统(AIP，Application Intrusion Prevention)逐渐成为一个新的热点，并且正得到日益广泛的应用。 应用入侵防护 对应用层的防范通常比内网防范难度要更大，因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口，如web的80端口。这样，黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计，所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足，对特定应用进行有效保护。 所谓应用入侵防护系统AIP，是用来保护特定应用服务(如web和数据库等应用)的网络设备，通常部署在应用服务器之前，通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。 在对应用层的攻击中，大部分时通过HTTP协议(80端口)进行。在国外权威机构的一次网络安全评估过程中发现，97%的web站点存在一定应用协议问题。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范，但其应用层的漏洞仍可被利用进而受到入侵和攻击。因此对于web等应用协议，应用入侵防护系统AIP应用比较广泛。通过制订合理的安全策略，AIP能够对以下类型的web攻击进行有效防范： 恶意脚本 Cookie投毒 隐藏域修改 缓存溢出 参数篡改 强制浏览 Sql插入 已知漏洞攻击 应用入侵防护技术近两年刚刚出现，但发展迅速。Yankee Group预测在未来的五年里， AIP将和防火墙，入侵检测和反病毒等安全技术一起，成为网络安全整体解决方案的一个重要组成部分。 千兆解决方案 应用入侵防护产品在保护企业业务流程和相关数据方面发挥着日益重要的作用，同时随着网络带宽的不断增加，只有在适合千兆环境应用的高性能产品才能够满足大型网络的需要。 传统的软件形式的应用入侵防护产品受性能的限制，只能应用在中小型网络中；基于x86架构的硬件产品无法达到千兆流量的要求；近年来，网络处理器(NP)在千兆环境中得到了日益广泛的应用，但NP的优势主要在于网络层以下的包处理上，若进行内容处理则会导致性能的下降。 通过高性能内容处理芯片和网络处理芯片相结合形式，为千兆应用入侵防护产品提供了由于的解决方案。其设计特点是采用不同的处理器实现各自独立的功能，由网络处理芯片实现网络层和传输层以下的协议栈处理，通过高速内容处理芯片进行应用层的协议分析和内容检查。从而实现了千兆流量线速转发和高速内容处理的完美结合，真正能够为用户提供千兆高性能的应用防护解决方案。 在上面系统框架中，包处理引擎收到数据包后，首先由网络处理器进行传输层以下的协议栈处理，并将数据包还原成数据流。接下来由内容处理器对数据流进行应用协议处理，根据控制器设定的安全策略对各种应用攻击进行检测和过滤。只有符合安全策略要求的数据流才会被发送到服务器，攻击包则被丢弃。 在高性能的千兆解决方案中，能够实现网络层到应用层的多层次立体防护体系。对于面向大型web应用，产品通过多种功能的集成实现有效的应用防护： Web应用入侵防护。通过系统内置的网络内容处理芯片，对web请求和回应流量进行细致的分析。根据内置的规则及启发式的安全策略，有效防范各种针对web应用的攻击行为。 DOS攻击的防护。系统通过网络处理芯片，对Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、Ping Sweep等网络层的拒绝服务攻击进行过滤的防范，有效保护服务器。 访问控制。通过硬件的ACL匹配算法，系统能够在实现线速转发的同时对数据包进行实时的访问控制。 中科网威在新一代千兆应用入侵防护产品设计中采用了上述解决方案，实现了千兆流量下的线速处理。系统以透明模式接入网络，在增强安全性的同时，网络性能不会受到任何影响，真正实现了应用层内容处理和千兆高性能的完美结合。

入侵检测技术论文篇二 浅析入侵检测技术 摘 要 入侵检测系统是一个能够对网络或计算机系统的活动进行实时监测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络安全管理提供有价值的信息。 关键词 入侵检测 信号分析 模型匹配 分布式 中图分类号：TP393 文献标识码：A 随着计算机技术尤其是网络技术的发展，计算机系统已经从独立的主机发展到复杂的、互连的开放式系统。这给人们在信息利用和资源共享上带来了无与伦比的便利，但又面临着由于入侵而引发的安全问题。传统的安全防御策略( 如访问控制机制、防火墙技术等)均属于静态的安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。由于静态的安全技术自身存在着不可克服的缺点，促发了人们在研究过程中新的探索，从而引出入侵检测这一安全领域的新课题的诞生。入侵检测是动态安全技术的最核心技术之一，是防火墙的合理补充，是安全防御体系的一个重要组成部分。 1 入侵检测系统( IDS) 执行的主要任务 所谓IDS就是一个能够对网络或计算机系统的活动进行实时监测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络安全管理提供有价值的信息。IDS 执行的主要任务是：监视、分析用户及系统活动;对系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 2 入侵检测的步骤 信息收集 入侵检测的第一步是信息收集。内容包括系统、网络、数据及用户活动的状态和行为。 入侵检测利用的信息一般来自以下4方面：系统和网络日志文件：目录和文件中的不期望的改变; 程序执行中的不期望行为;物理形式的入侵信息。这包括两个方面的内容：一是未授权的对网络硬件的连接;二是对物理资源的未授权访问。 信号分析 对上述4 类收集到的有关系统、网络、数据及用户活动的状态和行为等信息， 一般通过3 种技术手段进行分析：模式匹配、统计分析和完整分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。 响应 入侵检测系统在发现入侵后会及时做出响应， 包括切断网络连接、记录事件和报警等。响应一般分为主动响应和被动响应两种类型。主动响应由用户驱动或系统本身自动执行， 可对入侵者采取行动、修正系统环境或收集有用信息;被动响应则包括告警和通知、简单网络管理协议( SNMP) 陷阱和插件等。 3 常用的入侵检测方法 基于用户行为概率统计模型的入侵检测方法 这种入侵检测方法是基于对用户历史行为建模， 以及在早期的证据或模型的基础上， 审计系统实时的检测用户对系统的使用情况， 根据系统内部保存的用户行为概率统计模型进行检测， 当发现有可疑的用户行为发生时， 保持跟踪并监测、记录该用户的行为。 基于神经网络的入侵检测方法 这种方法是利用神经网络技术进行入侵检测。因此， 这种方法对用户行为具有学习和自适应功能， 能够根据实际检测到的信息有效地加以处理并作出入侵可能性的判断。 基于专家系统的入侵检测技术 该技术根据安全专家对可疑行为进行分析的经验来形成一套推理规则， 然后在此基础上建立相应的专家系统， 由此专家系统自动对所涉及的入侵行为进行分析该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。 4 入侵检测技术的发展方向 分布式入侵检测与通用入侵检测架构 传统的IDS一般局限于单一的主机或网络架构， 对异构系统及大规模的网络的监测明显不足， 同时不同的IDS 系统之间不能协同工作， 为解决这一问题， 需要分布式入侵检测技术与通用入侵检测架构。 智能化的入侵检测 入侵方法越来越多样化与综合化， 尽管已经有智能体、神经网络与遗传算法在入侵检测领域的应用研究， 但是这只是一些尝试性的研究工作， 需要对智能化的IDS 加以进一步地研究以解决其自学习与自适应能力。 入侵检测的评测方法 用户需对众多的IDS 系统进行评价， 评价指标包括IDS 检测范围、系统资源占用、IDS 系统自身的可靠性。从而设计通用的入侵检测测试与评估方法和平台， 实现对多种IDS 系统的检测已成为当前IDS 的另一重要研究与发展领域。 与其它网络安全技术相结合 结合防火墙、PKIX、安全电子交易SET 等新的网络安全与电子商务技术，提供完整的网络安全保障。 入侵检测作为一种积极主动的安全防护技术， 提供了对内部攻击、外部攻击和误操作的实时保护， 在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发， 入侵检测理应受到人们的高度重视， 这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内， 随着上网的关键部门、关键业务越来越多， 迫切需要具有自主版权的入侵检测产品。入侵检测产品仍具有较大的发展空间， 从技术途径来讲， 除了完善常规的、传统的技术( 模式识别和完整性检测) 外， 应重点加强统计分析的相关技术研究。入侵检测是保护信息系统安全的重要途径， 对网络应用的发展具有重要意义与深远影响。研究与开发自主知识产权的IDS 系统将成为我国信息安全领域的重要课题。 参考文献 [1]耿麦香.网络入侵检测技术研究综述[J].网络安全技术与应用，2004(6). [2]王福生.数据挖掘技术在网络入侵检测中的应用[J].现代情报，2006(9). [3]蒋萍.网络入侵检测技术[J].郑州航空工业管理学院学报，2003(3). 看了“入侵检测技术论文”的人还看： 1. 关于入侵检测技术论文 2. 计算机网络入侵检测技术论文 3. 论文网络病毒检测技术论文 4. 安全防范技术论文 5. 计算机网络安全技术论文赏析

基于Windows入侵检测系统的研究与设计——检测模块设计时间:2010-10-20 12:35来源:未知 作者:admin 摘 要当今是信息时代，互联网正在给全球带来翻天覆地的变化。随着Internet在全球的飞速发展，网络技术的日益普及，网络安全问题也显得越来越突出。计算机网络安全是一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失高达数百亿美．引 言课题背景及意义当今网络技术的迅速发展，网络成为人们生活的重要组成部分，与此同时，黑客频频入侵网络，网络安全问题成为人们关注的焦点。传统安全方法是采用尽可能多地禁止策略进行防御，例如各种杀毒软件、防火墙、身份认证、访问控制等，这些对防止非法入侵都起到了一定的作用，从系统安全管理的角度来说，仅有防御是不够好的，还应采取主动策略。入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息，查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，提供对内部攻击、外部攻击和误操作的实时保护。 本文首先介绍了网络入侵检测的基本原理和实现入侵检测的技术。随后重点介绍了基于Windows入侵检测系统中检测模块的设计与实现。即网络数据包的捕获与分析过程的设计与实现。 网络安全面临的威胁入侵的来源可能是多种多样的，比如说，它可能是企业心怀不满的员工、网络黑客、甚至是竞争对手。攻击者可能窃听网络上的信息，窃取用户口令、数据库信息，还可以篡改数据库内容，伪造用户身份，否认自己的签名。更为严重的是攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒，直到整个网络陷入瘫痪。用密码编码学和网络安全的观点，我们把计算机网络面临的威胁归纳为以下四种：截获（interception）：攻击者从网络上窃听他人的通信内容。中断（interruption）：攻击者有意中断他人在网络上的通信。篡改（modification）：攻击者故意篡改网络上传播的报文。伪造（fabrication）：攻击者伪造信息在网络上传送。这四种威胁可以划分为两大类，即被动攻击和主动攻击。在上述情况中，截获信息的攻击称为被动攻击，而更改信息和拒绝客户使用资源的攻击称为主动攻击。在被动攻击中攻击者只是观察和窃取数据而不干扰信息流，攻击不会导致对系统中所含信息的任何改动，而且系统的操作和状态也不会被改变，因此被动攻击主要威胁信息的保密性。主动攻击则意在篡改系统中所含信息或者改变系统的状态及操作。因此主动攻击主要威胁信息的完整性、可用性和真实性。 网络安全隐患的来源网络安全隐患主要来自于四个方面：（1）网络的复杂性。网络是一个有众多环节构成的复杂系统。由于市场利润、技术投入、产品成本、技术规范等等问题，不同供应商提供的环节在安全性上不尽相同，使得整个网络系统的安全成度被限制在安全等级最低的那个环节上。（2）网络的飞速发展。由于网络的发展，提供新的网络服务，增加网络的开放性和互联性，必然将更多环节纳入系统中，新加入的环节又增加了系统的复杂性，引发了网络的不安定性。（3）软件质量问题。软件质量难以评估是软件的一个特性。现实中，即使是正常运行了很长时间的软件，也会在特定的情况下出现漏洞。现代网络已经是软件驱动的发展模式，对软件的更多依赖性加大了软件质量对网络安全的负面影响。同时，市场的激烈竞争，促使商家需要更快地推出产品，软件的快速开发也增大了遗留更多隐患的可能性。（4）其他非技术因素。包括技术人员在网络配置管理上的疏忽或错误，网络实际运行效益和安全投入成本间的平衡抉择，网络用户的安全管理缺陷等等。由于存在更多的安全威胁和安全隐患，能否成功的阻止网络黑客的入侵、保证计算机和网络系统的安全和正常的运行便成为网络管理员所面临的一个重要问题。 网络安全技术如今已有大量的研究机构、社会团体、商业公司和政府部门投入到网络安全的研究中，并将此纳入到一个被称为信息安全的研究领域。网络安全技术主要包括基于密码学的安全措施和非密码体制的安全措施，前者包括：数据加密技术、身份鉴别技术等。后者则有：防火墙、路由选择、反病毒技术等。（1）数据加密技术数据加密是网络安全中采用的最基本的安全技术，目的是保护数据、文件、口令以及其他信息在网络上的安全传输，防止窃听。网络中的数据加密，除了选择加密算法和密钥外，主要问题是加密的方式以及实现加密的网络协议层次和密钥的分配管理。按照收发双方密钥是否相同，可分为对称密码算法和非对称密码算法即公钥密码算法两种。对称密码算法有保密度高，加密速度快的优点，但其密钥的分发则是一个比较复杂的问题。比较著名的对称密码算法有：美国的DES和欧洲的IDEA等。在公钥密码中，收发双方使用的密钥各不相同，密钥的管理比较方便。比较著名的公钥密码算法有：ECC、RSA等，其中RSA算法应用最为广泛。（2）鉴别技术鉴别技术可以验证消息的完整性，有效的对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同，鉴别技术可分为消息源鉴别和通信双方互相鉴别，按照鉴别内容的不同，鉴别技术可分为用户身份鉴别和消息内容鉴别，鉴别的方法有很多种，主要有通过用户标识和口令、报文鉴别、数字签名等方式。（3）访问控制技术访问控制是从计算机系统的处理能力方面对信息提供保护机制，它按照事先确定的规则决定主体对客体的访问是否合法。当一个主体试图非法使用一个未经授权的资源时，访问机制将拒绝这一企图，并将这一时间记录到系统日志中。访问控制技术的主要任务是保证网络资源不被非法使用和访问，它是保证网络安全的重要策略之一。（4）防火墙技术防火墙是一个或一组网络设备，其工作方式是将内联网络与因特网之间或者与其他外联网络间互相隔离，通过加强访问控制，阻止区域外的用户对区域内的资源的非法访问，使用防火墙可以进行安全检查、记录网上安全事件等，在维护网络安全作用中起着重要的作用。（5）反病毒技术计算机病毒是一段具有极强破坏性的恶意代码，它可以将自身纳入其他程序中，以此来进行隐藏，复制和传播，从而破坏用户文件，数据甚至硬件。从广义上讲，它还包括逻辑炸弹、特洛伊木马和系统陷阱等。计算机病毒的主要传播途径有：文件传输、软盘拷贝、电子邮件等。网络反病毒技术主要包括检查病毒和杀出病毒。虽然网络安全已经超越了纯技术领域，但网络安全技术仍然是解决网络安全最重要的基础和研究方向。 本文研究内容本文共分为五个部分，各部分内容如下：第一部分，主要介绍了课题提出的背景、意义、安全隐患、现有的安全技术等，强调了入侵检测的重要性。第二部分，主要介绍了入侵检测相关的基础知识、发展趋势等与本文相关的理论。第三部分，对整个系统的设计做了概述，介绍了系统的整体框架、开发及运行环境等。第四部分，详细介绍了检测模块的设计与实现以及系统集成后的运行结果。其中包括检测模块的设计思想、工作原理以及核心代码的分析等。第五部分，是对整个系统的测试与分析的总结。主要测试了检测模块实现的各种功能。2. 入侵检测基础当我们无法完全防止入侵时，那么只能希望系统在受到攻击时，能尽快检测出入侵，而且最好是实时的，以便可以采取相应的措施来对付入侵，这就是入侵检测系统要做的，它从计算机网络中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统（IDS，Intrusion Detection System）正是一种采取主动策略的网络安全防护措施，它从系统内部和各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击，同时还对入侵行为做出紧急响应。入侵检测被认为是防火墙之后的第二道安全闸门。 入侵检测的定义可以看到入侵检测的作用就在于及时地发现各种攻击以及攻击企图并作出反应。我们可以给入侵检测做一个简单的定义，入侵检测就是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。即入侵检测（Intrusion Detection）是检测和识别系统中未授权或异常现象，利用审计记录，入侵检测系统应能识别出任何不希望有的活动，这就要求对不希望的活动加以限定，一旦当它们出现就能自动地检测。一个完整的入侵检测系统必须具备下列特点：经济性：为了保证系统安全策略的实施而引入的入侵检测系统必须不能妨碍系统的正常运行（如系统性能）。时效性：必须及时的发现各种入侵行为，理想情况是在事前发现攻击企图，比较现实的情况则是在攻击行为发生的过程中检测到。安全性：入侵检测系统自身必须安全，如果入侵检测系统自身的安全性得不到保障，首先意味着信息的无效，而更严重的是入侵者控制了入侵检测系统即获得了对系统的控制权。可扩展性：可扩展性有两方面的意义。第一是机制与数据的分离，在现有机制不变的前提下能够对新的攻击进行检测。第二是体系结构的可扩展性，在必要的时候可以在不对系统的整体结构进行修改的前提下对检测手段进行加强，以保证能检测到新的攻击。 入侵检测与P2DR模型P2DR模型是一个动态的计算机系统安全理论模型。它的指导实现比传统静态安全方案有突破性提高。PDR是Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)的缩写，特点是动态性和基于时间的特性。P2DR模型阐述了这样一个结论：安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。入侵检测技术就是实现P2DR模型中”Detection”部分的主要技术手段。在P2DR模型中，安全策略处于中心地位，但是从另一个角度来看，安全策略也是制定入侵检测中检测策略的一个重要信息来源，入侵检测系统需要根据现有的安全策略信息来更好地配置系统模块参数信息。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。