IDS技术在网络安全中的应用.docx

1、IDS技术在网络安全中的应用学号：10312060106院系：诒华学院 成绩： 西安翻译学院XIAN FANYI UNIVERSITY毕业论文题 目：IDS技术在网络安全中的应用专 业： 计算机网络技术 班 级： 103120601 姓 名： 龚首道 指导教师： 朱滨忠 2013年5月目 录1 入检测技术发展历史 - 1 -1.1 什么是入侵检测技术 - 1 -1.2 入侵检测应用场景 - 3 -2 入侵检测技术在维护计算机网络安全中的使用 - 6 -2.1 基于网络的入侵检测 - 6 -2.2 关于主机的入侵检测 - 7 -3 入侵检测技术存在问题 - 7 -4 总结 - 8 -参考文献 -

2、 9 -IDS技术在网络安全中的应用龚首道（诒华学院计算机网络技术专业 103120601）摘要：目前，互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事多政府部门、商业和教育机构等都受到了不同程度的侵害，甚至造成了极大的经济损失。随着互联网技术的不断发展，网络安全问题日益突出。网络入侵行为经常发生，网络攻击的方式也呈现出多样性和隐蔽性的特征。很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测系统IDS（Intrusion Detection Systems），本文阐述了IDS的发展历程和它的缺陷，以及其在现网中的应用

3、情况。关键词：网络安全、网络攻击、黑客、IDS1 入检测技术发展历史1.1 什么是入侵检测技术说到网络安全防护，最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备；防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。对于目前复杂的网络安全来说，单纯的防火墙技术已不能完全阻止网络攻击，如：无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现，80%的网络攻击来自于网络内部，而防火墙不能提供实时入侵检测能力，对于病毒等束手无策。因此，很多组织致力于提出更多更强大的主动策略和方

4、案来增强网络的安全性，其中一个有效的解决途径就是入侵检测系统IDS，即入侵检测系统，其英文全称为：Intrusion Detection System。入侵检测系统是依照一定的安全策略，通过软件和硬件对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。图2 IDS 通用模型IDS诞生于1980年，到目前为止已经有30余年的历史，在这30余年中，IDS的发展经过了4个阶段。 第一阶段：概念诞生。IDS这个概念诞生于1980年4月，James P.Andrson为美国空军做了一份题为Computer Se

5、curity Threat Monitoring and Surveillance（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。第二阶段：模型发展。从1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。该模型由六个部分组成：主题、对象、审计记录、轮廓特征、异常记录、活动规则

6、，如图3所示。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。1988年，SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出了IDES。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。图3 IDES结构框架第三阶段：百家争鸣。1990年是入侵检测系统发展史上一个分水岭。加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（Network Security Monitor）。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况

7、下监控异常主机，从此以后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。第四阶段：继续演进。IDS在90年代形成的IDS两大阵营的基础上，有了长足的发展，形成了更多技术及分类。除了根据检测数据的不同分为主机型和网络型入侵检测系统外，根据采用的检测技术，入侵检测系统可以分为基于异常的入侵检测（Anomaly Detection，AD）和基于误用（特征）的入侵检测（Misuse Detection，MD）。早期的IDS仅仅是一个监听系统或者提供有限的数据分析功能，而新一代IDS更是增加了应用层数据分析的能力；同时，其配合防火墙进行联动，形成功能互补，可更有

8、效的阻断攻击事件。现有的入侵检测技术的分类及相关关系如图4所示。 图4 入侵检测系统分类1.2 入侵检测应用场景与防火墙不同，IDS是一个监听设备，无需网络流量流经它，便可正常工作，即IDS采用旁路部署方式接入网络。IDS与防火墙的优劣对比如下1.2.1 IDS的优势：(1) IDS是旁路设备，不影响原有链路的速度； (2)由于具有庞大和详尽的入侵知识库，可以提供非常准确的判断识别，漏报和误报率远远低于防火墙； (3)对日志记录非常详细，包括：访问的资源、报文内容等； (4)无论IDS工作与否，都不会影响网络的连通性和稳定性；(5)能够检测未成功的攻击行为；(6)可对内网进行入侵检测等。1.2

9、.2 IDS的劣势：(1)检测效率低，不能适应高速网络检测；(2)针对IDS自身的攻击无法防护； (3)不能实现加密、杀毒功能； (4)检测到入侵，只进行告警，而无阻断等。 IDS和防火墙均具备对方不可代替的功能，因此在很多应用场景中，IDS与防火墙共存，形成互补。根据网络规模的不同，IDS有三种部署场景：小型网络中，IDS旁路部署在Internet接入路由器之后的第一台交换机上，如图5所示；图5 小型网络部署中型网络中，采用图6的方式部署；图6 中型网络部署大型网络采用图7的方式部署。图7 大型网络部署2 入侵检测技术在维护计算机网络安全中的使用2.1 基于网络的入侵检测 基于网络的入侵检测

10、方式有基于硬件的，也有基于软件的，不过二者的任务流程是相反的。它们将网络接口的形式设置为混杂形式，以便于对全部流经该网段的数据 停止时实监控，将其做出剖析，再和数据库中预定义的具有攻击特征做出比拟，从而将无害的攻击数据包辨认出来，做出呼应，并记载日志。 2.1.1 入侵检测的体系构造网络入侵检测的体系构造通常由三局部组成，辨别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包停止监视，找出 攻击信息并把相关的数据发送至管理器；Console的次要作用是担任搜集代理处的信息，显示出所受攻击的信息，把找出的攻击信息及相关数据发送至管理 器；Manager的次要作

11、用则是呼应配置攻击正告信息，控制台所发布的命令也由Manager来执行，再把代理所收回的攻击正告发送至控制台。2.1.2 入侵检测的任务形式 基于网络的入侵检测，要在每个网段中部署多个入侵检测代理，依照网络构造的不同，其代理的衔接方式也各不相反。假如网段的衔接方式为总线式的集线器，则把 代理与集线器中的某个端口相衔接即可；假如为替换式以太网替换机，由于替换机无法共享媒价，因而只采用一个代理对整个子网停止监听的方法是无法完成的。因 而可以应用替换机中心芯片中用于调试的端口中，将入侵检测系统与该端口相衔接。或许把它放在数据流的关键出入口，于是就可以获取简直全部的关键数据。2.1.3 攻击呼应及晋级

12、攻击特征库、自定义攻击特征假如入侵检测系统检测出歹意攻击信息，其呼应方式有多种，例如发送电子邮件、记载日志、告诉管理员、查杀进程、切断会话、告诉管理员、启动触发器开端执行 预设命令、取消用户的账号以及创立一个报告等等。晋级攻击特征库可以把攻击特征库文件经过手动或许自动的方式由相关的站点中下载上去，再应用控制台将其实 时添加至攻击特征库中。而网络管理员可以依照单位的资源情况及其使用情况，以入侵检测系统特征库为根底来自定义攻击特征，从而对单位的特定资源与使用停止维护。2.2 关于主机的入侵检测通常对主机的入侵检测会设置在被重点检测的主机上，从而对本主机的系统审计日志、网络实时衔接等信息做出智能化的

13、剖析与判别。假如开展可疑状况，则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以详细完成以下功用：1 对用户的操作系统及其所做的一切行为停止全程监控；2 继续评价系统、使用以及 数据的完好性，并停止自动的维护；3 创立全新的平安监控战略，实时更新；4 关于未经受权的行为停止检测，并收回报警，同时也可以执行预设好的呼应措施；5 将一切日志搜集起来并加以维护，留作后用。 基于主机的入侵检测系统关于主机的维护很片面细致，但要在网路中片面部署本钱太高。并且基于主机的入侵检测系统任务时 要占用被维护主机的处置资源，所以会降低被维护主机的功能。3 入侵检测技术存在问题虽然入侵检测技术有其优越

14、性，但是现阶段它还存在着一定的缺乏，次要表现在以下几个方面：第一，局限性：由于网络入侵检测系统只对与其间接衔接的网段通讯做出检测，而不在同一网段的网络包则无法检测，因而假如网络环境为替换以太网，则其监测范围就会表现出一定的局限性，假如装置多台传感器则又添加了系统的本钱。第二，目前网络入侵检测系统普通采有的是特征检测的办法，关于一些普通的攻击来讲能够比拟无效，但是一些复杂的、计算量及剖析日子均较大的攻击则无法检测。第三，监听某些特定的数据包时能够会发生少量的剖析数据，会影响系统的功能。第四，在处置会话进程的加密成绩时，关于网络入侵检测技术来讲绝对较难，现阶段经过加密通道的攻击绝对较少，但是此成绩

15、会越来越突出。第五，入侵检测系统本身不具有阻断和隔离网络攻击的才能，不过可以与防火墙停止联动，发现入侵行为后经过联动协议告诉防火墙，让防火墙采取隔离手腕。4 总结现阶段的入侵检测技术绝对来讲还存在着一定的缺陷，很多单位在处理网络入侵相关的安全问题时都采用基于主机与基于网络相结合的入侵检测系统。当然入侵检测 技术也在不时的开展，数据发掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家系统滥用检测、形态转换剖析滥用检测等入侵检测技术也越来越成熟。总 之、用户要进步计算机网络系统的平安性，不只仅要靠技术支持，还要依托本身良好的维护与管理。参考文献1 雷震甲.网络工程师教程M.北京：清华大学出版社，20062 陈应明.计算机网络与应用M.冶金工业出版社，20053 谢希仁.计算机网络(第二版)M.北京:电子工业出版社，20014 佟洋.网络入侵检测系统模型的研究D.东北师范大学，20035 杜会森,万俊伟网.络安全关键技术J.飞行器测控学报，2002年04期西安翻译学院诒华学院毕业论文（设计）评语表姓 名龚首道班 级103120601学 号10312060116论文题目IDS技术在网络安全中的应用专 业计算机网络技术成 绩指导教师评语：指导教师签字：年 月 日