IDS技术在网络安全中的应用.docx
《IDS技术在网络安全中的应用.docx》由会员分享,可在线阅读,更多相关《IDS技术在网络安全中的应用.docx(9页珍藏版)》请在冰豆网上搜索。
IDS技术在网络安全中的应用
学号:
10312060106
院系:
诒华学院
成绩:
西安翻译学院
XI’ANFANYIUNIVERSITY
毕业论文
题目:
IDS技术在网络安全中的应用
专业:
计算机网络技术
班级:
103120601
姓名:
龚首道
指导教师:
朱滨忠
2013年5月
目录
1入检测技术发展历史-1-
1.1什么是入侵检测技术-1-
1.2入侵检测应用场景-3-
2入侵检测技术在维护计算机网络安全中的使用-6-
2.1基于网络的入侵检测-6-
2.2关于主机的入侵检测-7-
3入侵检测技术存在问题-7-
4总结-8-
参考文献-9-
IDS技术在网络安全中的应用
龚首道
(诒华学院计算机网络技术专业103120601)
摘要:
目前,互联网安全面临严峻的形势。
因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。
随着互联网技术的不断发展,网络安全问题日益突出。
网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。
很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(IntrusionDetectionSystems),本文阐述了IDS的发展历程和它的缺陷,以及其在现网中的应用情况。
关键词:
网络安全、网络攻击、黑客、IDS
1入检测技术发展历史
1.1什么是入侵检测技术
说到网络安全防护,最常用的设备是防火墙。
防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:
来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如WWW或是FTP)。
对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:
无法解决木马后门问题、不能阻止网络内部人员攻击等。
据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。
因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS,即入侵检测系统,其英文全称为:
IntrusionDetectionSystem。
入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。
IDS通用模型如图2所示。
图2IDS通用模型
IDS诞生于1980年,到目前为止已经有30余年的历史,在这30
余年中,IDS的发展经过了4个阶段。
第一阶段:
概念诞生。
IDS这个概念诞生于1980年4月,JamesP.Andrson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测概念。
他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。
这份报告被公认为是入侵检测的开山之作。
第二阶段:
模型发展。
从1984年到1986年,乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。
该模型由六个部分组成:
主题、对象、审计记录、轮廓特征、异常记录、活动规则,如图3所示。
它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。
1988年,SRI/CSL的TeresaLunt等人改进了Denning的入侵检测模型,并开发出了IDES。
该系统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检测。
图3IDES结构框架
第三阶段:
百家争鸣。
1990年是入侵检测系统发展史上一个分水岭。
加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)。
该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异常主机,从此以后,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:
基于网络的IDS和基于主机的IDS。
第四阶段:
继续演进。
IDS在90年代形成的IDS两大阵营的基础上,有了长足的发展,形成了更多技术及分类。
除了根据检测数据的不同分为主机型和网络型入侵检测系统外,根据采用的检测技术,入侵检测系统可以分为基于异常的入侵检测(AnomalyDetection,AD)和基于误用(特征)的入侵检测(MisuseDetection,MD)。
早期的IDS仅仅是一个监听系统或者提供有限的数据分析功能,而新一代IDS更是增加了应用层数据分析的能力;同时,其配合防火墙进行联动,形成功能互补,可更有效的阻断攻击事件。
现有的入侵检测技术的分类及相关关系如图4所示。
图4入侵检测系统分类
1.2入侵检测应用场景
与防火墙不同,IDS是一个监听设备,无需网络流量流经它,便可正常工作,即IDS采用旁路部署方式接入网络。
IDS与防火墙的优劣对比如下
1.2.1IDS的优势:
(1)IDS是旁路设备,不影响原有链路的速度;
(2) 由于具有庞大和详尽的入侵知识库,可以提供非常准确的判断识别,漏报和误报率远远低于防火墙;
(3) 对日志记录非常详细,包括:
访问的资源、报文内容等;
(4) 无论IDS工作与否,都不会影响网络的连通性和稳定性;
(5) 能够检测未成功的攻击行为;
(6) 可对内网进行入侵检测等。
1.2.2IDS的劣势:
(1) 检测效率低,不能适应高速网络检测;
(2) 针对IDS自身的攻击无法防护;
(3) 不能实现加密、杀毒功能;
(4) 检测到入侵,只进行告警,而无阻断等。
IDS和防火墙均具备对方不可代替的功能,因此在很多应用场景中,IDS与防火墙共存,形成互补。
根据网络规模的不同,IDS有三种部署场景:
小型网络中,IDS旁路部署在Internet接入路由器之后的第一台交换机上,如图5所示;
图5小型网络部署
中型网络中,采用图6的方式部署;
图6中型网络部署
大型网络采用图7的方式部署。
图7大型网络部署
2入侵检测技术在维护计算机网络安全中的使用
2.1基于网络的入侵检测
基于网络的入侵检测方式有基于硬件的,也有基于软件的,不过二者的任务流程是相反的。
它们将网络接口的形式设置为混杂形式,以便于对全部流经该网段的数据停止时实监控,将其做出剖析,再和数据库中预定义的具有攻击特征做出比拟,从而将无害的攻击数据包辨认出来,做出呼应,并记载日志。
2.1.1入侵检测的体系构造
网络入侵检测的体系构造通常由三局部组成,辨别为Agent、Console以及Manager。
其中Agent的作用是对网段内的数据包停止监视,找出攻击信息并把相关的数据发送至管理器;Console的次要作用是担任搜集代理处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的次要作用则是呼应配置攻击正告信息,控制台所发布的命令也由Manager来执行,再把代理所收回的攻击正告发送至控制台。
2.1.2入侵检测的任务形式
基于网络的入侵检测,要在每个网段中部署多个入侵检测代理,依照网络构造的不同,其代理的衔接方式也各不相反。
假如网段的衔接方式为总线式的集线器,则把代理与集线器中的某个端口相衔接即可;假如为替换式以太网替换机,由于替换机无法共享媒价,因而只采用一个代理对整个子网停止监听的方法是无法完成的。
因而可以应用替换机中心芯片中用于调试的端口中,将入侵检测系统与该端口相衔接。
或许把它放在数据流的关键出入口,于是就可以获取简直全部的关键数据。
2.1.3攻击呼应及晋级攻击特征库、自定义攻击特征
假如入侵检测系统检测出歹意攻击信息,其呼应方式有多种,例如发送电子邮件、记载日志、告诉管理员、查杀进程、切断会话、告诉管理员、启动触发器开端执行预设命令、取消用户的账号以及创立一个报告等等。
晋级攻击特征库可以把攻击特征库文件经过手动或许自动的方式由相关的站点中下载上去,再应用控制台将其实时添加至攻击特征库中。
而网络管理员可以依照单位的资源情况及其使用情况,以入侵检测系统特征库为根底来自定义攻击特征,从而对单位的特定资源与使用停止维护。
2.2关于主机的入侵检测
通常对主机的入侵检测会设置在被重点检测的主机上,从而对本主机的系统审计日志、网络实时衔接等信息做出智能化的剖析与判别。
假如开展可疑状况,则入侵检测系统就会有针对性的采用措施。
基于主机的入侵检测系统可以详细完成以下功用:
1对用户的操作系统及其所做的一切行为停止全程监控;
2继续评价系统、使用以及数据的完好性,并停止自动的维护;
3创立全新的平安监控战略,实时更新;
4关于未经受权的行为停止检测,并收回报警,同时也可以执行预设好的呼应措施;
5将一切日志搜集起来并加以维护,留作后用。
基于主机的入侵检测系统关于主机的维护很片面细致,但要在网路中片面部署本钱太高。
并且基于主机的入侵检测系统任务时要占用被维护主机的处置资源,所以会降低被维护主机的功能。
3入侵检测技术存在问题
虽然入侵检测技术有其优越性,但是现阶段它还存在着一定的缺乏,次要表现在以下几个方面:
第一,局限性:
由于网络入侵检测系统只对与其间接衔接的网段通讯做出检测,而不在同一网段的网络包则无法检测,因而假如网络环境为替换以太网,则其监测范围就会表现出一定的局限性,假如装置多台传感器则又添加了系统的本钱。
第二,目前网络入侵检测系统普通采有的是特征检测的办法,关于一些普通的攻击来讲能够比拟无效,但是一些复杂的、计算量及剖析日子均较大的攻击则无法检测。
第三,监听某些特定的数据包时能够会发生少量的剖析数据,会影响系统的功能。
第四,在处置会话进程的加密成绩时,关于网络入侵检测技术来讲绝对较难,现阶段经过加密通道的攻击绝对较少,但是此成绩会越来越突出。
第五,入侵检测系统本身不具有阻断和隔离网络攻击的才能,不过可以与防火墙停止联动,发现入侵行为后经过联动协议告诉防火墙,让防火墙采取隔离手腕。
4总结
现阶段的入侵检测技术绝对来讲还存在着一定的缺陷,很多单位在处理网络入侵相关的安全问题时都采用基于主机与基于网络相结合的入侵检测系统。
当然入侵检测技术也在不时的开展,数据发掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家系统滥用检测、形态转换剖析滥用检测等入侵检测技术也越来越成熟。
总之、用户要进步计算机网络系统的平安性,不只仅要靠技术支持,还要依托本身良好的维护与管理。
参考文献
[1]雷震甲.网络工程师教程[M].北京:
清华大学出版社,2006
[2]陈应明.计算机网络与应用[M].冶金工业出版社,2005
[3]谢希仁.计算机网络(第二版)[M].北京:
电子工业出版社,2001
[4]佟洋.网络入侵检测系统模型的研究[D].东北师范大学,2003
[5]杜会森,万俊伟网.络安全关键技术[J].飞行器测控学报,2002年04期
西安翻译学院
诒华学院毕业论文(设计)评语表
姓名
龚首道
班级
103120601
学号
10312060116
论文题目
IDS技术在网络安全中的应用
专业
计算机网络技术
成绩
指导教师评语:
指导教师签字:
年月日
升级会员 