【文章內(nèi)容簡介】 SRI）的 于 1986 年首次提出一種入侵檢測模型 [2]，該模型的檢測方法就是建立用戶正常行為的描述模型，并以此同當前用戶活動的審計記錄進行比較，如果有較大偏差，則表示有異?；顒影l(fā)生 。這是一種基于統(tǒng)計的檢測方法。隨著技術(shù)的發(fā)展，后來人們又提出了 于規(guī)則的檢測方法。結(jié)合這兩種方法的優(yōu)點，人們設(shè)計出很多入侵檢測的模型。通用入侵檢測構(gòu)架 （ Common Intrusion Detection Framework 簡稱 CIDF）組織，試圖將現(xiàn)有的 入侵檢測系統(tǒng)標準化， CIDF 闡述了一個入侵檢測系統(tǒng)的通用模型（一般稱為 CIDF模型）。它將一個入侵檢測系統(tǒng)分為以下四個組件： 事件產(chǎn)生器 (Event Generators) 事件分析器 (Event analyzers) 響應單元 (Response units) 事件數(shù)據(jù)庫 (Event databases) 它將需要分析的數(shù)據(jù)通稱為事件，事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機的系統(tǒng)日志中的 信息。事件產(chǎn)生器的目的是從整個計算機環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器 分析得到的事件并產(chǎn)生分 析結(jié)果。響應單元則是對分析結(jié)果做出反應的功能單元，它可以做出切斷連接、 修改文件屬性等強烈反應。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱，它可以是復雜的數(shù)據(jù) 庫也可以是簡單的文本文件。 入侵檢測系統(tǒng)分類 現(xiàn)有的 IDS的分類，大都基于信息源和分析方法。為了體現(xiàn)對 IDS從布局、采集、分析、響應等 各個層次及系統(tǒng)性研究方面的問題，在這里采用五類標準：控制策略、同步技術(shù)、信息源、分析方法、 響應方式。 按照控制策略分類 控制策略描述了 IDS的各元素是如何控制的，以及 IDS的輸入和輸出是如何管理的。 按照控 制策略 IDS可以劃分為，集中式 IDS、部分分布式 IDS和全部分布式 IDS。在集中式 IDS中，一個中 央節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。在部分分布式 IDS中，監(jiān)控和探測是由本地的一個控 制點控制，層次似的將報告發(fā)向一個或多個中心站。在全分布式 IDS中，監(jiān)控和探測是使用一種叫 “ 代理 ” 的方法，代理進行分析并做出響應決策。 按照同步技術(shù)分類 同步技術(shù)是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技術(shù)劃分， IDS XXXXXXX 畢業(yè)論文（設(shè)計） 6 劃分為間隔批任務處理型 IDS和實時連續(xù)性 IDS。在間隔批任務處理型 IDS中 ，信息源是以文件的 形式傳給分析器，一次只處理特定時間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時將結(jié)果反饋給用戶。很多 早期的基于主機的 IDS都采用這種方案。在實時連續(xù)型 IDS中，事件一發(fā)生，信息源就傳給分析引 擎，并且立刻得到處理和反映。實時 IDS是基于網(wǎng)絡(luò) IDS首選的方案。 按照信息源分類 按照信息源分類是目前最通用的劃分方法，它分為基于主機的 IDS、基于網(wǎng)絡(luò)的 IDS和分布式IDS。 基于主機的 IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊?；谥鳈C 的 IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并 分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊。分布式 IDS，能夠同時 分析來自主機系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個部件組成，采用分布式結(jié)構(gòu)。 按照分析方法分類 按照分析方法 IDS劃分為濫用檢測型 IDS和異常檢測型 IDS。濫用檢測型的 IDS中，首先 建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫，當收集到的信息與庫中的原型相符合 時則報警。任何不符合特定條件的活動將會被認為合法，因此這樣的系統(tǒng)虛警率很低。異常檢 測型 IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正?；蛘咚? 望的系統(tǒng)和用戶活動 規(guī)律 而被檢測出來。所以它需要一個記錄合法活動的數(shù)據(jù)庫，由于庫的有 限性使得虛警率比較高。 按照響應方式分類 按照響應方式 IDS劃分為主動響應 IDS和被動響應 IDS。當特定的入侵被檢測到時，主動 IDS會采用以下三種響應：收集輔助信息；改變環(huán)境以堵住導致入侵發(fā)生的漏洞；對攻擊 者采取行動（這是一種不被推薦的做法，因為行為有點過激）。被動響應 IDS則是將信息提供給 系統(tǒng)用戶，依靠管理員在這一信息的基礎(chǔ)上采取進一步的行動 。 IDS IDS 的評價標準 目前的入侵檢測技術(shù)發(fā)展迅速，應用的技術(shù)也很廣泛，如何來評價 IDS的優(yōu)缺點就顯得非常重 要。評價 IDS的優(yōu)劣主要有這樣幾個方面 [5]：（ 1）準確性。準確性是指 IDS不會標記環(huán)境中的一個 合法行為為異常或入侵。（ 2）性能。 IDS的性能是指處理審計事件的速度。對一個實時 IDS來說， 必須要求性能良好。（ 3）完整性。完整性是指 IDS能檢測出所有的攻擊。（ 4）故障容錯（ fault tolerance）。當被保護系統(tǒng)遭到攻擊和毀壞時，能迅速恢復系統(tǒng)原有的數(shù)據(jù)和功能。（ 5）自身抵抗 攻擊能力。這一點很重要，尤其是 “ 拒絕服務 ” 攻擊。因為多數(shù)對目標系統(tǒng)的攻擊都是采用首先用 “ 拒絕服務 ” 攻擊摧毀 IDS，再實施對系統(tǒng)的攻擊。（ 6）及時性（ Timeliness）。一個 IDS必須盡快 地執(zhí)行和傳送它的分析結(jié)果，以便在系統(tǒng)造成嚴重危害之前能及時做出反應，阻止攻擊者破壞審計 數(shù)據(jù)或 IDS本身。 除了上述幾個主要方面，還應該考慮以下幾個方面：（ 1） IDS運行時，額外的計算機資源的開銷；（ 2） 誤警報率／漏 警報率的程度；（ 3）適應性和擴展性；（ 4）靈活性；（ 5）管理的開銷；（ 6）是否便于 XXXXXXX 畢業(yè)論文（設(shè)計） 7 使用和配置。 IDS 的發(fā)展趨勢 隨著入侵檢測技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應用到實踐中。入侵檢測系統(tǒng)的典型代表是（國 際互聯(lián)網(wǎng)安全系統(tǒng)公司）公司的 RealSecure。目前較為著名的商用入侵檢測產(chǎn)品還有： NAI 公 司的 CyberCop Monitor、 Axent 公司的 NetProwler、 CISCO 公司的 Netranger、 CA 公司 Sessionwall－ 3 等。國內(nèi)的該類產(chǎn)品較少，但發(fā)展很快，已有總參北方所、中科 網(wǎng)威、啟明星 辰等公司推出產(chǎn)品。 人們在完善原有技術(shù)的基礎(chǔ)上，又在研究新的檢測方法，如數(shù)據(jù)融合技術(shù)，主動的自主代 理方法，智能技術(shù)以及免疫學原理的應用等。其主要的發(fā)展方向可概括為： （ 1） 大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術(shù)一般只局限于單一的主機或網(wǎng)絡(luò)框架， 顯然不能適應大規(guī)模網(wǎng)絡(luò)的監(jiān)測，不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展 大規(guī)模的分布式入侵檢測技術(shù)。 （ 2） 寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)，各種寬帶接入手段層 出不窮，如何實現(xiàn)高速網(wǎng)絡(luò)下的實時入侵檢測成為一個現(xiàn)實的問題。 （ 3）入侵檢測的數(shù)據(jù)融合技術(shù)。目前的 IDS 還存在著很多缺陷。首先，目前的技術(shù)還不能對 付訓練有素的黑客的復雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對大量的數(shù)據(jù)處理， 非但無助于解決問題，還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列問題的好方法。 （ 4）與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻，病毒防護以及電子商務技術(shù)，提供完整的網(wǎng)絡(luò)安 全保障。 ①如果選中的是位于導航結(jié)構(gòu)最底層的網(wǎng)頁（在其下沒有子網(wǎng)頁），將彈出“刪除網(wǎng) 頁”對話框，若只需從導航結(jié)構(gòu)中刪除網(wǎng)頁，可選擇“將本網(wǎng)頁從導航結(jié)構(gòu)中刪除”單選項， 并單擊“確 定”按鈕。 ② 如果選擇的是導航結(jié)構(gòu)中的中層網(wǎng)頁（其中包含子網(wǎng)頁，其本身是另一個網(wǎng)頁的子網(wǎng)頁）， 將彈出“刪除網(wǎng)頁”對話框。單擊“確定”按鈕。 ③ 選擇的是當前站點的主頁，