【文章內(nèi)容簡介】 技術(shù)在維護(hù)計算機(jī)網(wǎng)絡(luò)安全中的使用....錯誤！未定義書簽。 基于網(wǎng)絡(luò)的入侵檢測....................................10 關(guān)于主機(jī)的入侵檢測....................錯誤！未定義書簽。3 入侵檢測技術(shù)存在問題........................錯誤！未定義書簽。4 總結(jié)........................................錯誤！未定義書簽。參考文獻(xiàn)......................................錯誤！未定義書簽。IDS技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用摘 要目前，互聯(lián)網(wǎng)安全面臨嚴(yán)峻的形勢。因特網(wǎng)上頻繁發(fā)生的大規(guī)模網(wǎng)絡(luò)入侵和計算機(jī)病毒泛濫等事多政府部門、商業(yè)和教育機(jī)構(gòu)等都受到了不同程度的侵害，甚至造成了極大的經(jīng)濟(jì)損失。隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題日益突出。網(wǎng)絡(luò)入侵行為經(jīng)常發(fā)生，網(wǎng)絡(luò)攻擊的方式也呈現(xiàn)出多樣性和隱蔽性的特征。很多組織致力于提出更多更強(qiáng)大的主動策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性，其中一個有效的解決途徑就是入侵檢測系統(tǒng)IDS（Intrusion Detection Systems），本文闡述了IDS的發(fā)展歷程和它的缺陷，以及其在現(xiàn)網(wǎng)中的應(yīng)用情況。關(guān)鍵詞：網(wǎng)絡(luò)安全、網(wǎng)絡(luò)攻擊、黑客、IDSAbstractCurrently, Internet security is facing a grim network intrusions and puter viruses on the Internet frequent flooding and other things and more government departments, business and educational institutions are all subject to varying degrees of abuse, and even caused great economic the continuous development of Internet technology, network security issues bee increasingly intrusion occurs frequently, the way cyber attacks also showing the diversity and hidden organizations mitted to put forward more robust proactive strategies and programs to enhance the security of the network, which is an effective way to solve the intrusion detection system IDS(Intrusion Detection Systems), this paper describes the development process of IDS and its flaws, as well as its application in the current : network security, network attacks, hackers, IDS第一章 入檢測技術(shù)發(fā)展歷史說到網(wǎng)絡(luò)安全防護(hù)，最常用的設(shè)備是防火墻。防火墻是通過預(yù)先定義規(guī)則并依據(jù)規(guī)則對訪問進(jìn)行過濾的一種設(shè)備；防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務(wù)類型(如 Security Threat Monitoring and Surveillance》（計算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告，第一次詳細(xì)闡述了入侵檢測概念。他提出了一種對計算機(jī)系統(tǒng)風(fēng)險和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認(rèn)為是入侵檢測的開山之作。第二階段：模型發(fā)展。從1984年到1986年，喬治敦大學(xué)的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型，取名為IDES（入侵檢測專家系統(tǒng)）。該模型由六個部分組成：主題、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則，如圖3所示。它獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提供了一個通用的框架。1988年，SRI/CSL的Teresa Lunt等人改進(jìn)了Denning的入侵檢測模型，并開發(fā)出了IDES。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)，分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測。圖3 IDES結(jié)構(gòu)框架第三階段：百家爭鳴。1990年是入侵檢測系統(tǒng)發(fā)展史上一個分水嶺。（Network Security Monitor）。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異常主機(jī)，從此以后，入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。第四階段：繼續(xù)演進(jìn)。IDS在90年代形成的IDS兩大陣營的基礎(chǔ)上，有了長足的發(fā)展，形成了更多技術(shù)及分類。除了根據(jù)檢測數(shù)據(jù)的不同分為主機(jī)型和網(wǎng)絡(luò)型入侵檢測系統(tǒng)外，根據(jù)采用的檢測技術(shù)，入侵檢測系統(tǒng)可以分為基于異常的入侵檢測（Anomaly Detection，AD）和基于誤用（特征）的入侵檢測（Misuse Detection，MD）。早期的IDS僅僅是一個監(jiān)聽系統(tǒng)或者提供有限的數(shù)據(jù)分析功能，而新一代IDS更是增加了應(yīng)用層數(shù)據(jù)分析的能力；同時，其配合防火墻進(jìn)行聯(lián)動，形成功能互補(bǔ)，可更有效的阻斷攻擊事件?，F(xiàn)有的入侵檢測技術(shù)的分類及相關(guān)關(guān)系如圖4所示。圖4 入侵檢測系統(tǒng)分類與防火墻不同，IDS是一個監(jiān)聽設(shè)備，無需網(wǎng)絡(luò)流量流經(jīng)它，便可正常工作，即IDS采用旁路部署方式接入網(wǎng)絡(luò)。IDS與防火墻的優(yōu)劣對比如下 IDS的優(yōu)勢：(1)IDS是旁路設(shè)備，不影響原有鏈路的速度；(2)由于具有龐大和詳盡的入侵知識庫，可以提供非常準(zhǔn)確的判斷識別，漏報和誤報率遠(yuǎn)遠(yuǎn)低于防火墻；(3)對日志記錄非常詳細(xì)，包括：訪問的資源、報文內(nèi)容等；(4)無論IDS工作與否，都不會影響網(wǎng)絡(luò)的連通性和穩(wěn)定性；(5)能夠檢測未成功的攻擊行為；(6)可對內(nèi)網(wǎng)進(jìn)行入侵檢測等。 IDS的劣勢：(1)檢測效率低，不能適應(yīng)高速網(wǎng)絡(luò)檢測；(2)針對IDS自身的攻擊無法防護(hù)；(3)不能實現(xiàn)加密、殺毒功能；(4)檢測到入侵，只進(jìn)行告警，而無阻斷等。IDS和防火墻均具備對方不可代替的功能，因此在很多應(yīng)用場景中，IDS與防火墻共存，形成互補(bǔ)。根據(jù)網(wǎng)絡(luò)規(guī)模的不同，IDS有三種部署場景：小型網(wǎng)絡(luò)中，IDS旁路部署在Internet接入路由器之后的第一臺交換機(jī)上，如圖5所示；圖5 小型網(wǎng)絡(luò)部署中型網(wǎng)絡(luò)中，采用圖6的方式部署；圖6 中型網(wǎng)絡(luò)部署大型網(wǎng)絡(luò)采用圖7的方式部署。圖7 大型網(wǎng)絡(luò)部署 基于網(wǎng)絡(luò)的入侵檢測第二章 入侵檢測技術(shù)在維護(hù)計算機(jī)網(wǎng)絡(luò)安全中的使用基于網(wǎng)絡(luò)的入侵檢測方式有基于硬件的，也有基于軟件的，不過二者的任務(wù)流程是相反的。它們將網(wǎng)絡(luò)接口的形式設(shè)置為混雜形式，以便于對全部流經(jīng)該網(wǎng)段的數(shù)據(jù) 停止時實監(jiān)控，將其做出剖析，再和數(shù)據(jù)庫中預(yù)定義的具有攻擊特征做出比擬，從而將無害的攻擊數(shù)據(jù)包辨認(rèn)出來，做出呼應(yīng)，并記載日志。網(wǎng)絡(luò)入侵檢測的體系構(gòu)造通常由三局部組成，辨別為Agent、Console以及Manager。其中Agent的作用是對網(wǎng)段內(nèi)的數(shù)據(jù)包停止監(jiān)視，找出 攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器；Console的次要作用是擔(dān)任搜集代理處的信息，顯示出所受攻擊的信息，把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理 器；Manager的次要作用則是呼應(yīng)配置攻擊正告信息，控制臺所發(fā)布的命令也由Manager來執(zhí)行，再把代理所收回的攻擊正告發(fā)送至控制臺