论文部分内容阅读
摘要:随着计算机入侵现象的日益增多,引发了大家对网络安全的重视。而入侵检测系统能对网络进行实时监控并及时预警,得到了大家的关注与研究。文中概括了入侵检测系统的概念,对入侵检测系统的发展和分类进行分析比对,最后对入侵检测系统的现状进行调查和综合分析,让大家更深入地认识入侵检测系统的现状及未来发展方向。
关键词: 入侵检测系统;分类;现状;分析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)22-5061-03
计算机的广泛应用以及网络的大范围普及,使得入侵计算机的现象日益增多,人们对网络安全问题也越来越重视。怎样能提前检测到计算机被入侵,同时还能对此入侵行为进行预警,来保护计算机系统安全呢?这是大家急待解决的问题。正因为此,越来越多的人加入到这一研究领域上来,研究提出了入侵检测系统。
1 入侵检测系统现状分析
1.1 什么是入侵检测系统
入侵检测系统,简称为IDS,是从英文Intrusion Detection System而得来的。它是一种能对网络内部或者网络进出进行实时监控的系统。一时发现有攻击企图或攻击行为等一些非常行为,IDS会相应的发出警告或提示,来保证网络安全。由于传统的防火墙一般都采用静态防御措施,缺乏主动的实时的预警功能,对于深层攻击也力不从心。而IDS却可以对入侵行为做出积极的实时响应,对那些绕过防火墙的攻击,可以轻松截获,所以有人说IDS是在防火墙之后的第二道安全大门,它是对防火墙的有效补充。举例来说,若防火墙是这个房屋的门禁系统,那么IDS就相当于是这个房屋的监视系统。
1.2入侵检测系统的发展
IDS最早出现在1980年4月, 在本领域大家将在1980年由James P. Anderson发表的篇名为《Computer Security Threat Monitoring and Surveillance》的文章作为入侵检测概念的最早起源。但这只仅仅一个概念的起步,到80年代中后期在论文《An Intrusion Detection Model》中,Dorothy Denning等人给出了入侵检测专家系统,简称为IDES,如图1,被认为是入侵检测的抽象模型。由此IDS发展成为IDES,奠定了入侵检测的两大研究方向为异常检测和滥用检测。
到了1990年,Herberlein等在IDES模型的基础上研究发明了NSM,这是被大家认为是真正意义上的首个入侵检测系统。在此之后,各大知名厂商加快对入侵检测系统的研究,相继出现了入侵检测的商业产品,IDS逐步进入到网络安全方向的商业产品阶段。
1.3入侵检测系统的分类
自从入侵检测技术开始应用之后,入侵检测系统即IDS被应用在各个领域,主要是用来对网络进行监测。大家根据不同的分类标准,把入侵检测系统分成了各不相同的类别[1]。
1.3.1根据检测对象来分:
检测对象,即要检测的数据来源,根据IDS所要检测的对象的不同,可将其分为基于主机的IDS和基于网络的IDS。
基于主机的IDS,Host-based IDS,行业上称之为HIDS,系统获取数据的来源是主机。它主要是从系统日志、应用程序日志等渠道来获取数据,进行分析来判断是否有入侵行为,来保护系统主机的安全。
基于网络的IDS,Network-based IDS,行业上称之为NIDS,系统获取数据的来源是网络数据包。它主要是用来监测整个网络中所传输的数据包并进行检测与分析,并加以识别,若发现有可疑情况即入侵行为立即报警,来保护网络中正在运行的各台计算机。
1.3.2根据系统工作方式来分
根据系统的工作方式来分,可以将入侵检测系统分成是在离线入侵检测系统和线入侵检测系统两种。
在线入侵检测简称为IPS,一旦发现有入侵的可能就会立即采取措施,立即把入侵者与主机的连接断开,并收集证据和实施数据恢复。这个在线入侵检测的过程是在循环不停歇地进行着的。
离线入侵检测,判断用户是否具有入侵行为是依据计算机系统对用户操作所做的历史审计记录,如果发现有入侵就断开连接,并即时将入侵证据进行记录和同时进行数据恢复。
1.3.3根据每个模块运行的分布方式来分
这种分类标准是按照系统的每一个模块的运行的分布方式的不同来进行划分,可以把IDS分为集中式入侵检测系统和分布式入侵检测系统[2]。
集中式入侵检测系统,比较单一,效率较高,它是在一台主机上进行所有操作,如数据的捕获、数据的分析、系统的响应等均在一台主机上进行。
分布式入侵检测系统,比较复杂。在该系统中,网络范围较大且数据流量较大,在布置IDS时会考虑到在不同的层次、不同的区域、多个点上进行布置,这样就能更全方位地保护网络安全[3]。
1.4入侵检测系统的现状及分析
现如今,国外的一些研究机构对入侵检测的相关研究水平较高,普渡大学、加州大学的Davis分校等在此领域的研究处于国际领先高度。国外的一些知名的厂商如Cisco等对于此的研究也很深入。对于IDS的研究国内的起步相比于国外就要晚一些,虽晚但发展很快,特别是在近些年来发展犹为突飞猛进,许多国内厂商转战到入侵检测领域上来,而且还纷纷推出了自己的网络安全产品,如中科网威的“天眼”入侵检测系统、启明星辰的SkyBell(天阗)和绿盟网络入侵检测系统等,可以说IDS进入发展成长的迅猛期[4]。
IDS虽然有了二十多年的发展,同时也取得了一定的进展,研究出现了百余种不同的检测技术和方法,但是还存在着很多问题,特别是在入侵检测技术方面[5]。目前市场上的入侵检测产品大多存在着以下几方面的问题: 1)准确性有待提高
由于当前入侵检测系统采用的检测技术,如协议分析、模式匹配等,存在着这样那样的缺陷,此外还由于各种攻击方法的不断更新,使得误报率和漏报率较高,入侵检测的准确性有待进一步提高[6]。
2)响应能力需要提高
一旦检测系统发现有入侵行为,需要及时做出响应,但由于目前入侵检测系统的精力主要是在入侵行为的检测方面,虽然检测到入侵,但往往不会主动对攻击者采取响应措施,使得管理无法立即采取相应行动,而使得攻击者有机可乘。因此,需要提高入侵检测系统的响应能力,变被动为主动。
3)体系结构需要完善
在体系结构上,当今许多的入侵检测系统还不是很完善,架构单一,对大规模的网络的监测效果不好,存在着很多问题,因此,要在确保在安全的基础上实现相应的功能扩展,满足多元化及开放化等需求[7]。
4)性能要提高
随着网络的高速发展以及交换技术的更新,现有的入侵检测系统已明显力不从心。在大范围及高流量的网络中经常出现丢包现象,甚至导致瘫痪,因此,新的检测方法、新的检测模型、新的入侵检测技术的研究与探索刻不容缓。
除此之外,入侵检测系统要充分满足用户需求,还要可随时追踪系统环境的改变,适应性强;系统即便出现崩溃,也要确保可以进行保留,有较强的容错能力[8];能保护自身的系统安全,不易被欺骗,安全性能高。IDS系统本身是在不断发展和变化的,期待其实现历史性的突破。
2 结束语
IDS经过了一段时期的发展,虽然存在着若干问题,但我们不能否认IDS系统为我们的网络安全所起到的重要作用。IDS系统本身是在不断发展和变化的,期待其实现历史性的突破。
参考文献:
[1] 杨英鹏.基于多代理的网络入侵检测系统的设计与实现研究[D].西安:西安电子科技大学,2003.
[2] 陈东彬.入侵检测技术研究与实现[D].镇江:江苏大学,2004.
[3] 曹秀莲.入侵检测[EB/OL].[2010-11-17]. http://wenku.baidu.com/view/996b74aad1f34693daef3e83.html.
[4] CNNIC.中国互联网络发展状况统计报告[EB/OL].[2009-03-10].http://www.docin.com/p-10281808.html#documentinfo.
[5] 许大卫.基于主机入侵检测的先进智能方法研究[D].无锡:江南大学,2010.
[6] 李志清.基于模式匹配和协议分析的入侵检测系统研究[D].广州:广东工业大学,2007.
[7] 张自亮.分布式大规模入侵检测系统研究-体系结构及入侵检测系统评测[D]. 北京:北京邮电大学,2003.
[8] 安全管理网.论信息安全在电力生产中的应用[EB/OL].[2012-08-18].http://www.safehoo.com/Essay/Electric/201208/281935.shtml.
关键词: 入侵检测系统;分类;现状;分析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)22-5061-03
计算机的广泛应用以及网络的大范围普及,使得入侵计算机的现象日益增多,人们对网络安全问题也越来越重视。怎样能提前检测到计算机被入侵,同时还能对此入侵行为进行预警,来保护计算机系统安全呢?这是大家急待解决的问题。正因为此,越来越多的人加入到这一研究领域上来,研究提出了入侵检测系统。
1 入侵检测系统现状分析
1.1 什么是入侵检测系统
入侵检测系统,简称为IDS,是从英文Intrusion Detection System而得来的。它是一种能对网络内部或者网络进出进行实时监控的系统。一时发现有攻击企图或攻击行为等一些非常行为,IDS会相应的发出警告或提示,来保证网络安全。由于传统的防火墙一般都采用静态防御措施,缺乏主动的实时的预警功能,对于深层攻击也力不从心。而IDS却可以对入侵行为做出积极的实时响应,对那些绕过防火墙的攻击,可以轻松截获,所以有人说IDS是在防火墙之后的第二道安全大门,它是对防火墙的有效补充。举例来说,若防火墙是这个房屋的门禁系统,那么IDS就相当于是这个房屋的监视系统。
1.2入侵检测系统的发展
IDS最早出现在1980年4月, 在本领域大家将在1980年由James P. Anderson发表的篇名为《Computer Security Threat Monitoring and Surveillance》的文章作为入侵检测概念的最早起源。但这只仅仅一个概念的起步,到80年代中后期在论文《An Intrusion Detection Model》中,Dorothy Denning等人给出了入侵检测专家系统,简称为IDES,如图1,被认为是入侵检测的抽象模型。由此IDS发展成为IDES,奠定了入侵检测的两大研究方向为异常检测和滥用检测。
到了1990年,Herberlein等在IDES模型的基础上研究发明了NSM,这是被大家认为是真正意义上的首个入侵检测系统。在此之后,各大知名厂商加快对入侵检测系统的研究,相继出现了入侵检测的商业产品,IDS逐步进入到网络安全方向的商业产品阶段。
1.3入侵检测系统的分类
自从入侵检测技术开始应用之后,入侵检测系统即IDS被应用在各个领域,主要是用来对网络进行监测。大家根据不同的分类标准,把入侵检测系统分成了各不相同的类别[1]。
1.3.1根据检测对象来分:
检测对象,即要检测的数据来源,根据IDS所要检测的对象的不同,可将其分为基于主机的IDS和基于网络的IDS。
基于主机的IDS,Host-based IDS,行业上称之为HIDS,系统获取数据的来源是主机。它主要是从系统日志、应用程序日志等渠道来获取数据,进行分析来判断是否有入侵行为,来保护系统主机的安全。
基于网络的IDS,Network-based IDS,行业上称之为NIDS,系统获取数据的来源是网络数据包。它主要是用来监测整个网络中所传输的数据包并进行检测与分析,并加以识别,若发现有可疑情况即入侵行为立即报警,来保护网络中正在运行的各台计算机。
1.3.2根据系统工作方式来分
根据系统的工作方式来分,可以将入侵检测系统分成是在离线入侵检测系统和线入侵检测系统两种。
在线入侵检测简称为IPS,一旦发现有入侵的可能就会立即采取措施,立即把入侵者与主机的连接断开,并收集证据和实施数据恢复。这个在线入侵检测的过程是在循环不停歇地进行着的。
离线入侵检测,判断用户是否具有入侵行为是依据计算机系统对用户操作所做的历史审计记录,如果发现有入侵就断开连接,并即时将入侵证据进行记录和同时进行数据恢复。
1.3.3根据每个模块运行的分布方式来分
这种分类标准是按照系统的每一个模块的运行的分布方式的不同来进行划分,可以把IDS分为集中式入侵检测系统和分布式入侵检测系统[2]。
集中式入侵检测系统,比较单一,效率较高,它是在一台主机上进行所有操作,如数据的捕获、数据的分析、系统的响应等均在一台主机上进行。
分布式入侵检测系统,比较复杂。在该系统中,网络范围较大且数据流量较大,在布置IDS时会考虑到在不同的层次、不同的区域、多个点上进行布置,这样就能更全方位地保护网络安全[3]。
1.4入侵检测系统的现状及分析
现如今,国外的一些研究机构对入侵检测的相关研究水平较高,普渡大学、加州大学的Davis分校等在此领域的研究处于国际领先高度。国外的一些知名的厂商如Cisco等对于此的研究也很深入。对于IDS的研究国内的起步相比于国外就要晚一些,虽晚但发展很快,特别是在近些年来发展犹为突飞猛进,许多国内厂商转战到入侵检测领域上来,而且还纷纷推出了自己的网络安全产品,如中科网威的“天眼”入侵检测系统、启明星辰的SkyBell(天阗)和绿盟网络入侵检测系统等,可以说IDS进入发展成长的迅猛期[4]。
IDS虽然有了二十多年的发展,同时也取得了一定的进展,研究出现了百余种不同的检测技术和方法,但是还存在着很多问题,特别是在入侵检测技术方面[5]。目前市场上的入侵检测产品大多存在着以下几方面的问题: 1)准确性有待提高
由于当前入侵检测系统采用的检测技术,如协议分析、模式匹配等,存在着这样那样的缺陷,此外还由于各种攻击方法的不断更新,使得误报率和漏报率较高,入侵检测的准确性有待进一步提高[6]。
2)响应能力需要提高
一旦检测系统发现有入侵行为,需要及时做出响应,但由于目前入侵检测系统的精力主要是在入侵行为的检测方面,虽然检测到入侵,但往往不会主动对攻击者采取响应措施,使得管理无法立即采取相应行动,而使得攻击者有机可乘。因此,需要提高入侵检测系统的响应能力,变被动为主动。
3)体系结构需要完善
在体系结构上,当今许多的入侵检测系统还不是很完善,架构单一,对大规模的网络的监测效果不好,存在着很多问题,因此,要在确保在安全的基础上实现相应的功能扩展,满足多元化及开放化等需求[7]。
4)性能要提高
随着网络的高速发展以及交换技术的更新,现有的入侵检测系统已明显力不从心。在大范围及高流量的网络中经常出现丢包现象,甚至导致瘫痪,因此,新的检测方法、新的检测模型、新的入侵检测技术的研究与探索刻不容缓。
除此之外,入侵检测系统要充分满足用户需求,还要可随时追踪系统环境的改变,适应性强;系统即便出现崩溃,也要确保可以进行保留,有较强的容错能力[8];能保护自身的系统安全,不易被欺骗,安全性能高。IDS系统本身是在不断发展和变化的,期待其实现历史性的突破。
2 结束语
IDS经过了一段时期的发展,虽然存在着若干问题,但我们不能否认IDS系统为我们的网络安全所起到的重要作用。IDS系统本身是在不断发展和变化的,期待其实现历史性的突破。
参考文献:
[1] 杨英鹏.基于多代理的网络入侵检测系统的设计与实现研究[D].西安:西安电子科技大学,2003.
[2] 陈东彬.入侵检测技术研究与实现[D].镇江:江苏大学,2004.
[3] 曹秀莲.入侵检测[EB/OL].[2010-11-17]. http://wenku.baidu.com/view/996b74aad1f34693daef3e83.html.
[4] CNNIC.中国互联网络发展状况统计报告[EB/OL].[2009-03-10].http://www.docin.com/p-10281808.html#documentinfo.
[5] 许大卫.基于主机入侵检测的先进智能方法研究[D].无锡:江南大学,2010.
[6] 李志清.基于模式匹配和协议分析的入侵检测系统研究[D].广州:广东工业大学,2007.
[7] 张自亮.分布式大规模入侵检测系统研究-体系结构及入侵检测系统评测[D]. 北京:北京邮电大学,2003.
[8] 安全管理网.论信息安全在电力生产中的应用[EB/OL].[2012-08-18].http://www.safehoo.com/Essay/Electric/201208/281935.shtml.