【正文】 是狼就要練好牙，是羊就要練好腿。防火墻只能對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無(wú)能為力。“入侵管理（IMS）”概念的提出與相應(yīng)的產(chǎn)品與服務(wù)出現(xiàn)，則可以幫助用戶建立一個(gè)動(dòng)態(tài)的縱深防御體系，把握整體網(wǎng)絡(luò)安全全局。精確定位的可視化可以幫助管理人員及時(shí)定位問(wèn)題區(qū)域，良好的定位還可以通過(guò)聯(lián)運(yùn)接口和其它安全設(shè)備進(jìn)行合作抑制攻擊的繼續(xù)。首先，大規(guī)模部署是實(shí)施入侵管理的基礎(chǔ)條件，一個(gè)有組織的完整系統(tǒng)通過(guò)規(guī)模部署的作用，要遠(yuǎn)遠(yuǎn)大于單點(diǎn)系統(tǒng)簡(jiǎn)單的疊加，IMS對(duì)于網(wǎng)絡(luò)安全監(jiān)控有著同樣的效用，可以實(shí)現(xiàn)從宏觀的安全趨勢(shì)分析到微觀的事件控制。為避免成為瓶頸，IPS系統(tǒng)必須具有線速處理數(shù)據(jù)的能力，能夠提供與2層或者3層交換機(jī)相同的速度，而這一點(diǎn)取決于IPS的軟件和硬件加速裝置。雖然仍然無(wú)法做到完全不誤報(bào)漏報(bào)，但是相對(duì)于IDS已經(jīng)提高了一大步。針對(duì)不同的攻擊行為，IPS需要不同的過(guò)濾器。目前，大部分IPS根據(jù)協(xié)議進(jìn)行數(shù)據(jù)包分類，未來(lái)將提供具體到根據(jù)用戶或應(yīng)用程序進(jìn)行數(shù)據(jù)包分流的功能，通過(guò)對(duì)數(shù)據(jù)包設(shè)置不同的優(yōu)先級(jí)，優(yōu)化數(shù)據(jù)流的處理。例如，分析器可以根據(jù)它對(duì)目標(biāo)系統(tǒng)的了解，進(jìn)行數(shù)據(jù)包的分片重組，還可以處理協(xié)議分析或校正異常等，從而識(shí)別規(guī)避攻擊。 第三階段：入侵管理系統(tǒng)（IMS），IMS技術(shù)實(shí)際上包含了IDS、IPS的功能，并通過(guò)一個(gè)統(tǒng)一的平臺(tái)進(jìn)行統(tǒng)一管理，從系統(tǒng)的層次來(lái)解決入侵行為。作為對(duì)防火墻有益的補(bǔ)充，IDS（入侵檢測(cè)系統(tǒng)）能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。標(biāo)記在審計(jì)記錄的驅(qū)動(dòng)下，從初始狀態(tài)向最終狀態(tài)(標(biāo)識(shí)入侵發(fā)生的狀態(tài))逐步前進(jìn)。NetSTATIt4I系統(tǒng)采用了這種技術(shù)。使用基于規(guī)則語(yǔ)言的專家系統(tǒng)具有局限性:處理海量數(shù)據(jù)時(shí)效率低、缺乏處理序列數(shù)據(jù)的能力、無(wú)法處理判斷的不確定性、維護(hù)規(guī)則庫(kù)很困難等。主要缺陷在于對(duì)具體系統(tǒng)的依賴性太強(qiáng)，不但系統(tǒng)移植性不好，維護(hù)工作量大，而且將具體入侵手段抽象成知識(shí)也很困難。神經(jīng)網(wǎng)絡(luò)使用以下方法來(lái)標(biāo)識(shí)異常的事件:改變單元的狀態(tài)、改變連接的權(quán)值、添加或刪除連接。至于統(tǒng)計(jì)的抽樣周期可以從短到幾分鐘到長(zhǎng)達(dá)幾個(gè)月甚至更長(zhǎng)。啟發(fā)式門限檢測(cè)是對(duì)門限檢測(cè)的改進(jìn)，對(duì)于包含大量用戶和目標(biāo)環(huán)境的系統(tǒng)來(lái)說(shuō)，可以大幅度地提高檢測(cè)的準(zhǔn)確性。但由于用戶的行為有很大的不確定性，很難對(duì)其行為確定正常范圍，因此門限值的確定也比較困難，出錯(cuò)的概率比較大時(shí)，它只能說(shuō)明系統(tǒng)發(fā)生了異常的情況，并不能指出系統(tǒng)遭受了什么樣的攻擊，這給系統(tǒng)管理員采取應(yīng)對(duì)措施帶來(lái)了一定困難。為了提高準(zhǔn)確性，入侵檢測(cè)又引入了數(shù)據(jù)挖掘、人工智能、遺傳算法等技術(shù)。6. NIDS自身安全性問(wèn)題。擴(kuò)展性問(wèn)題。但NIDS也有一些缺陷，因此也面臨著一些挑戰(zhàn)：?jiǎn)吸c(diǎn)錯(cuò)誤問(wèn)題。攻擊者或有權(quán)限的用戶可以插入、修改或刪除審計(jì)記錄，借此逃避HIDS檢測(cè)。并且，HIDS還可以綜合多個(gè)數(shù)據(jù)源進(jìn)行進(jìn)一步的分析，利用數(shù)據(jù)挖掘等技術(shù)來(lái)發(fā)現(xiàn)入侵。另外，還可以按策略配置響應(yīng)，分別采取立即、緊急、適時(shí)、本地的長(zhǎng)期和全局的長(zhǎng)期等行為。盡管如此，完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外，時(shí)就認(rèn)為有入侵發(fā)生。數(shù)據(jù)分析的方法較多，如模式匹配、協(xié)議分析、行為分析和統(tǒng)計(jì)分析等。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來(lái)表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。獲得數(shù)據(jù)之后，需要對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單處理，如流數(shù)據(jù)的解碼、字符編碼的轉(zhuǎn)換等等。有很強(qiáng)的抗攻擊能力，能抵御破壞，能夠監(jiān)測(cè)自身以確保不被攻擊者修改。入侵檢測(cè) (Intrusion Detection)可以被定義為識(shí)別出正在發(fā)生的入侵企圖或已經(jīng)發(fā)生的入侵活動(dòng)的過(guò)程。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，能夠同時(shí)對(duì)內(nèi)部入侵，外部入侵和誤操作提供及時(shí)的保護(hù)，能夠在系統(tǒng)受到危害之前及時(shí)地記錄和響應(yīng)入侵為系統(tǒng)管理員提供可靠的入侵記錄。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來(lái)越高，入侵檢測(cè)系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供完全服務(wù)，必將進(jìn)一步受到人們的高度重視。關(guān)鍵詞：網(wǎng)絡(luò)，網(wǎng)絡(luò)安全，入侵檢測(cè) 學(xué)習(xí)參考目 錄第1章 緒論 1 1 1第2章 入侵檢測(cè)系統(tǒng)概述 2 2 3 3第3章 入侵檢測(cè)系統(tǒng)的分類 7 根據(jù)檢測(cè)的數(shù)據(jù)源分類 7 9第4章 入侵檢測(cè)技術(shù)的發(fā)展 14 14 IPS研究與分析 15——IMS 17 技術(shù)展望 19結(jié) 論 20參考文獻(xiàn) 21致 謝 22第一章 緒論近年來(lái)，互聯(lián)網(wǎng)技術(shù)在國(guó)際上得到了長(zhǎng)足的發(fā)展，網(wǎng)絡(luò)環(huán)境變得越來(lái)越負(fù)載，網(wǎng)絡(luò)本身的安全性問(wèn)題也就顯得更為重要。因此研究高效的網(wǎng)絡(luò)安全防護(hù)和檢測(cè)技術(shù)，開(kāi)發(fā)實(shí)用的安全監(jiān)測(cè)系統(tǒng)具有重大的研究，時(shí)間和商業(yè)意義。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。有盡可能小的系統(tǒng)開(kāi)銷，避免影響系統(tǒng)(IDS所處環(huán)境)內(nèi)其它組件正常操作。然后將處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID 改變、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。模式匹配就是將采集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。例如，本來(lái)都默認(rèn)用GUEST 帳號(hào)登錄的，突然用ADMINI 帳號(hào)登錄。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開(kāi)啟完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。第三章 入侵檢測(cè)系統(tǒng)的分類同任何事物的分類相似，采用不同的標(biāo)準(zhǔn)，就會(huì)得到不同的分類結(jié)果，入侵檢測(cè)系統(tǒng)也是如此。但是，HIDS也有自身的缺陷，主要有以下幾點(diǎn)：1, 影響系統(tǒng)性能。實(shí)時(shí)性較差。目前大多數(shù)的商業(yè)NIDS都采用了一個(gè)中央控制部件，它用于管理各個(gè)探測(cè)器的工作，以及對(duì)各個(gè)探測(cè)器產(chǎn)生的事件信息進(jìn)行相關(guān)分析以此來(lái)檢測(cè)分布式協(xié)同攻擊。NIDS通過(guò)將網(wǎng)卡設(shè)置成混雜模式來(lái)被動(dòng)監(jiān)聽(tīng)網(wǎng)絡(luò)通訊。所有NIDS的攻擊檢測(cè)都是基于被動(dòng)協(xié)議分析的。但是，入侵檢測(cè)技術(shù)還沒(méi)有達(dá)到盡善盡美的程度，該領(lǐng)域的許多問(wèn)題還有待解決。異常檢測(cè)中常用的方法有:量化分析、統(tǒng)計(jì)分析和神經(jīng)網(wǎng)絡(luò)。舉例來(lái)說(shuō)，傳統(tǒng)的門限設(shè)檢測(cè)規(guī)則是:一個(gè)小時(shí)內(nèi)，如果登錄失敗的次數(shù)大于3次，就認(rèn)為出現(xiàn)異常:而啟發(fā)式門限檢測(cè)將這個(gè)規(guī)則定義為:登錄失敗的次數(shù)大于一個(gè)異常數(shù)，就會(huì)發(fā)出警報(bào)?；诮y(tǒng)計(jì)性特征輪廓的異常檢測(cè)器，通過(guò)對(duì)系統(tǒng)審計(jì)中的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理，并與描述主體行為的統(tǒng)計(jì)性特征輪廓進(jìn)行比較，然后根據(jù)二者的偏差是否超過(guò)指定的門限來(lái)進(jìn)一步判斷、處理。同時(shí)也具有對(duì)所定義的正常模式進(jìn)行逐步修正的功能。另外，檢測(cè)范圍受已知知識(shí)的局限，尤其是難以檢測(cè)出內(nèi)部人員的入侵行為，如合法用戶的泄漏，因?yàn)檫@類入侵行為并沒(méi)有利用系統(tǒng)脆弱性。狀態(tài)轉(zhuǎn)移將入侵過(guò)程看作一個(gè)狀態(tài)變遷序列，導(dǎo)致系統(tǒng)從初始的安全狀態(tài)轉(zhuǎn)變到被危害狀態(tài)。狀態(tài)轉(zhuǎn)移分析使用有限狀態(tài)機(jī)模型來(lái)表示入侵過(guò)程。處于各個(gè)狀態(tài)時(shí)，標(biāo)記的顏色用來(lái)表示事件所處的系統(tǒng)環(huán)境。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)