【正文】 是狼就要練好牙，是羊就要練好腿。防火墻只能對進出網(wǎng)絡(luò)的數(shù)據(jù)進行分析，對網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無能為力?！叭肭止芾恚↖MS）”概念的提出與相應的產(chǎn)品與服務(wù)出現(xiàn)，則可以幫助用戶建立一個動態(tài)的縱深防御體系，把握整體網(wǎng)絡(luò)安全全局。精確定位的可視化可以幫助管理人員及時定位問題區(qū)域，良好的定位還可以通過聯(lián)運接口和其它安全設(shè)備進行合作抑制攻擊的繼續(xù)。首先，大規(guī)模部署是實施入侵管理的基礎(chǔ)條件，一個有組織的完整系統(tǒng)通過規(guī)模部署的作用，要遠遠大于單點系統(tǒng)簡單的疊加，IMS對于網(wǎng)絡(luò)安全監(jiān)控有著同樣的效用，可以實現(xiàn)從宏觀的安全趨勢分析到微觀的事件控制。為避免成為瓶頸，IPS系統(tǒng)必須具有線速處理數(shù)據(jù)的能力，能夠提供與2層或者3層交換機相同的速度，而這一點取決于IPS的軟件和硬件加速裝置。雖然仍然無法做到完全不誤報漏報，但是相對于IDS已經(jīng)提高了一大步。針對不同的攻擊行為，IPS需要不同的過濾器。目前，大部分IPS根據(jù)協(xié)議進行數(shù)據(jù)包分類，未來將提供具體到根據(jù)用戶或應用程序進行數(shù)據(jù)包分流的功能，通過對數(shù)據(jù)包設(shè)置不同的優(yōu)先級，優(yōu)化數(shù)據(jù)流的處理。例如，分析器可以根據(jù)它對目標系統(tǒng)的了解，進行數(shù)據(jù)包的分片重組，還可以處理協(xié)議分析或校正異常等，從而識別規(guī)避攻擊。 第三階段：入侵管理系統(tǒng)（IMS），IMS技術(shù)實際上包含了IDS、IPS的功能，并通過一個統(tǒng)一的平臺進行統(tǒng)一管理，從系統(tǒng)的層次來解決入侵行為。作為對防火墻有益的補充，IDS（入侵檢測系統(tǒng)）能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。標記在審計記錄的驅(qū)動下，從初始狀態(tài)向最終狀態(tài)(標識入侵發(fā)生的狀態(tài))逐步前進。NetSTATIt4I系統(tǒng)采用了這種技術(shù)。使用基于規(guī)則語言的專家系統(tǒng)具有局限性:處理海量數(shù)據(jù)時效率低、缺乏處理序列數(shù)據(jù)的能力、無法處理判斷的不確定性、維護規(guī)則庫很困難等。主要缺陷在于對具體系統(tǒng)的依賴性太強，不但系統(tǒng)移植性不好，維護工作量大，而且將具體入侵手段抽象成知識也很困難。神經(jīng)網(wǎng)絡(luò)使用以下方法來標識異常的事件:改變單元的狀態(tài)、改變連接的權(quán)值、添加或刪除連接。至于統(tǒng)計的抽樣周期可以從短到幾分鐘到長達幾個月甚至更長。啟發(fā)式門限檢測是對門限檢測的改進，對于包含大量用戶和目標環(huán)境的系統(tǒng)來說，可以大幅度地提高檢測的準確性。但由于用戶的行為有很大的不確定性，很難對其行為確定正常范圍，因此門限值的確定也比較困難，出錯的概率比較大時，它只能說明系統(tǒng)發(fā)生了異常的情況，并不能指出系統(tǒng)遭受了什么樣的攻擊，這給系統(tǒng)管理員采取應對措施帶來了一定困難。為了提高準確性，入侵檢測又引入了數(shù)據(jù)挖掘、人工智能、遺傳算法等技術(shù)。6. NIDS自身安全性問題。擴展性問題。但NIDS也有一些缺陷，因此也面臨著一些挑戰(zhàn)：單點錯誤問題。攻擊者或有權(quán)限的用戶可以插入、修改或刪除審計記錄，借此逃避HIDS檢測。并且，HIDS還可以綜合多個數(shù)據(jù)源進行進一步的分析，利用數(shù)據(jù)挖掘等技術(shù)來發(fā)現(xiàn)入侵。另外，還可以按策略配置響應，分別采取立即、緊急、適時、本地的長期和全局的長期等行為。盡管如此，完整性檢測方法還應該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外，時就認為有入侵發(fā)生。數(shù)據(jù)分析的方法較多，如模式匹配、協(xié)議分析、行為分析和統(tǒng)計分析等。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進行簡單處理，如流數(shù)據(jù)的解碼、字符編碼的轉(zhuǎn)換等等。有很強的抗攻擊能力，能抵御破壞，能夠監(jiān)測自身以確保不被攻擊者修改。入侵檢測 (Intrusion Detection)可以被定義為識別出正在發(fā)生的入侵企圖或已經(jīng)發(fā)生的入侵活動的過程。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。入侵檢測作為一種積極主動的安全防護技術(shù)，能夠同時對內(nèi)部入侵，外部入侵和誤操作提供及時的保護，能夠在系統(tǒng)受到危害之前及時地記錄和響應入侵為系統(tǒng)管理員提供可靠的入侵記錄。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來越高，入侵檢測系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供完全服務(wù)，必將進一步受到人們的高度重視。關(guān)鍵詞：網(wǎng)絡(luò)，網(wǎng)絡(luò)安全，入侵檢測 學習參考目 錄第1章 緒論 1 1 1第2章 入侵檢測系統(tǒng)概述 2 2 3 3第3章 入侵檢測系統(tǒng)的分類 7 根據(jù)檢測的數(shù)據(jù)源分類 7 9第4章 入侵檢測技術(shù)的發(fā)展 14 14 IPS研究與分析 15——IMS 17 技術(shù)展望 19結(jié) 論 20參考文獻 21致 謝 22第一章 緒論近年來，互聯(lián)網(wǎng)技術(shù)在國際上得到了長足的發(fā)展，網(wǎng)絡(luò)環(huán)境變得越來越負載，網(wǎng)絡(luò)本身的安全性問題也就顯得更為重要。因此研究高效的網(wǎng)絡(luò)安全防護和檢測技術(shù)，開發(fā)實用的安全監(jiān)測系統(tǒng)具有重大的研究，時間和商業(yè)意義。網(wǎng)絡(luò)安全是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。有盡可能小的系統(tǒng)開銷，避免影響系統(tǒng)(IDS所處環(huán)境)內(nèi)其它組件正常操作。然后將處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID 改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容。操作包括計算、文件傳輸、設(shè)備和其它進程，以及與網(wǎng)絡(luò)間其它進程的通訊。模式匹配就是將采集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。例如，本來都默認用GUEST 帳號登錄的，突然用ADMINI 帳號登錄。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進行全面地掃描檢查。第三章 入侵檢測系統(tǒng)的分類同任何事物的分類相似，采用不同的標準，就會得到不同的分類結(jié)果，入侵檢測系統(tǒng)也是如此。但是，HIDS也有自身的缺陷，主要有以下幾點：1, 影響系統(tǒng)性能。實時性較差。目前大多數(shù)的商業(yè)NIDS都采用了一個中央控制部件，它用于管理各個探測器的工作，以及對各個探測器產(chǎn)生的事件信息進行相關(guān)分析以此來檢測分布式協(xié)同攻擊。NIDS通過將網(wǎng)卡設(shè)置成混雜模式來被動監(jiān)聽網(wǎng)絡(luò)通訊。所有NIDS的攻擊檢測都是基于被動協(xié)議分析的。但是，入侵檢測技術(shù)還沒有達到盡善盡美的程度，該領(lǐng)域的許多問題還有待解決。異常檢測中常用的方法有:量化分析、統(tǒng)計分析和神經(jīng)網(wǎng)絡(luò)。舉例來說，傳統(tǒng)的門限設(shè)檢測規(guī)則是:一個小時內(nèi)，如果登錄失敗的次數(shù)大于3次，就認為出現(xiàn)異常:而啟發(fā)式門限檢測將這個規(guī)則定義為:登錄失敗的次數(shù)大于一個異常數(shù)，就會發(fā)出警報?；诮y(tǒng)計性特征輪廓的異常檢測器，通過對系統(tǒng)審計中的數(shù)據(jù)進行統(tǒng)計處理，并與描述主體行為的統(tǒng)計性特征輪廓進行比較，然后根據(jù)二者的偏差是否超過指定的門限來進一步判斷、處理。同時也具有對所定義的正常模式進行逐步修正的功能。另外，檢測范圍受已知知識的局限，尤其是難以檢測出內(nèi)部人員的入侵行為，如合法用戶的泄漏，因為這類入侵行為并沒有利用系統(tǒng)脆弱性。狀態(tài)轉(zhuǎn)移將入侵過程看作一個狀態(tài)變遷序列，導致系統(tǒng)從初始的安全狀態(tài)轉(zhuǎn)變到被危害狀態(tài)。狀態(tài)轉(zhuǎn)移分析使用有限狀態(tài)機模型來表示入侵過程。處于各個狀態(tài)時，標記的顏色用來表示事件所處的系統(tǒng)環(huán)境。IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)