网络安全技术

2012年计算机网络安全技术论文

报告标题： 计算机网络入侵检测技术

院 系： 信息传播系 班 级： 09电教1w 学生姓名： 蒋 玲 学 号： 09143104 完成日期： 2012年 5月

2012年 5 月

计算机网络入侵检测技术

摘要：随着Internet的迅猛发展和网络社会的到来，网络将会无所不在的影响社会的政治、经济、文化、军事和社会生活等各个方面，网络安全以成为世界各国共同关注的焦点。入侵检测是保护计算机系统安全的重要手段。攻击分类研究对于系统地分析计算机系统脆弱性和攻击利用的技术方法有着重要的意义，这有助于构造扫高效的入侵检测方法。入侵检测系统通过监视计算机系统或网络中发生的事件，并对他们进行分析，能够发现入侵和威胁等异常事件并且对其做出反应。它在不影响网络性能的情况下能对网络进行监测，从而提供对呢不攻击、外部攻击和误操作的实时保护，最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用，是安全防御体系的一个重要组成部分。本文主要介绍了计算机网络入侵检测技术的概念和检测方法，以及有关入侵监测的目的，入侵监测的分类，对基于网络和基于主机的两种入侵检测技术做了详细论述。最后简单介绍了国内外入侵监测系统的产品的一些情况和未来入侵监测系统的发展方向。 关键词：防火墙；入侵检测系统；攻击；安全隐患

Computer network intrusion detection technology

Abstract：Along with the Internet rapid growth , the network will omni presently influence the society on politics, economics,culture,military and social life etc.The network security has become the focus of every country. Attack detection is an important approach to enhancing computer system security. The study of attack classification has asignficant role to analyze computer system vulnerability and technique used for attack and can help to build effective detection methods .Invade to examine the system to passs to keep watch on the calculastor system or network in the affairs of the occurrence, and carry on the analysis to them, can discover to invade and threaten to wsait the excrescent affairs and as to it’s do a reaction. It can carry on the monitor to the network under the condition of not affect the network function ,thus providing afsainst the inner part attack stone,the exterior attack stones to operate with mistake of solid hour protect,guarantee the sustem safety most significantly.It raised the function that can’t act for in safety defends of the system to constitute the part. This paper mainly introduces the computer network intrusion detection technology of the concept, function and detection methods, as well as the relevant intrusion detection, the purpose of the intrusion detection system function, the classification of intrusion detection based on network and host-based intrusion detection technology both made in detail. Finally introduced the invasion of the monitoring system and some of the situation and future product development direction of intrusion detection system. Keywords: a fire wall、Instrusion Detection System、Attack、Safety Elements

网络安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题，也是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术等多种学科的边缘学科。科技进步在造福人类的同时，也带来了新的危害。

在网络技术日新月异的今天，基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

一、防范网络攻击的常用方法

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。

然而，防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现，50％的攻击都将来自于网络内部。

(3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。代写毕业论文 而这一点，对于层出不穷的网络攻击技术来说是至关重要的。

因此，在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷，引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。

二、计算机入侵检测技术概述

计算机网络的发展让计算机之间、局域网络之间的连接更加的紧密，特别是英特奈特网络的访问逐步拓展到涉密领域，越来越多的系统都有可能遭到外部的入侵和攻击。在这些攻击主要通过挖掘操作系统和应用服务程序的漏洞来实现入侵。因此网络服务系统应满足用户系统的保密性、完整性、可用性要求，所以在实际的应用中系统中应有个独立的系统负责对非法入侵进行检测，并检测同时采取相应的措施控制事件扩大，即发现已经入侵也可以发现未知的入侵，通过学习分析入侵手段而提高自身的防护能力。

从入侵检测系统的角度看，首先是对入侵进行检测，而此技术的关键点就是信息的采集和分析，即“观察”整个系统是否存在“违法”的操作行为，并保证系统的安全性、完整性等。入侵检测是从网络中的若干关键信息中进行分析，此时将采集信息与安全策略进行比对，如果违反了安全策略则认为其是一种入侵行为。并发出警报，一方面告知用户，一方面启动系统入侵响应机制，这样就可有效的保护系统。入侵检测技术是防火墙后的另一个系统安全性技术，其核心技术就是在不影响网络正常性能下对网络安全进行监测。。

三、入侵检测系统分类

入侵检测系统根据其检测数据来源分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。

1.基于网络的入侵检测系统

基于网络的入侵检测系统通过网络监视来实现数据提取。在Internet中，局域网普遍采用IEEE 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式，任何一台主机发送的数据包，都会在所经过的子网中进行广播，也就是说，任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下，主机的网卡对每一个到达的数据包进行过滤，只将目的地址是本机的或广播地址的数据包放入接收缓冲区，而将其他数据包丢弃，因此，正常情况下网络上的主机表现为只关心与本机有关的数据包，但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略，使网卡能够接收经过本网段的所有数据包，无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式，目前绝大部分网卡都提供这种设置，因此，在需要的时候，对网卡进行合理的设置就能获得经过本网段的所有通信信息，从而实现网络监视的功能。在其他网络环境下，虽然可能不采用广播的方式传送报文，但目前很多路由设备或交换机都提供数据报文监视功能。

2.基于主机的入侵检测系统

基于主机的入侵检测系统将检测模块驻留在被保护系统上，通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。

基于主机的入侵检测系统可以有若干种实现方法：检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。

基于主机日志的安全审计，通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高，分析代价小，分析速度快的特点，能够迅速并准确地定位入侵者，并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是：首先它在一定程度上依赖于系统的可靠性，它要求系统本身应该具备基本的安全功能并具有合理的设置，然后才能提取入侵信息；即使进行了正确的设置，对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去，从而不被发觉；并且主机的日志能够提供的信息有限，有的入侵手段和途径不会在日志中有所反映，日志系统对有的入侵行为不能做出正确的响应，例如利用网络协议栈的漏洞进行的攻击，通过ping命令发送大数据包，造成系统协议栈溢出而死机，或是利用ARP欺骗来伪装成其他主机进行通信，这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。

四、入侵检测技术的发展方向

近年对入侵检测技术有几个主要发展方向:

(1)分布式入侵检测与通用入侵检测架构。传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。

(2)应用层入侵检测。许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测如WEB之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

（3)智能的入侵检测。入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击、和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立

体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品阶段。或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，我认为，除了完善常规的，传统的技术外，应重点加强统计分析的相关技术研究，一个理想的安全模型就是前面叙述的那样，在客户的网络安装入侵检测系统检测部分Sensor，监控中心能够建设在网络安全公司，由专业的安全技术人员实时观测分析数据，实时的解决安全问题，企业和安全公司搞好互动。入侵检测的技术在不断发展，相信不久的将来人们一定能够利用好入侵检测系统这一强大的安全工具。

五、总结

现阶段的入侵检测技术相对来说还存在着一定的缺陷，很多单位在解决网络入侵相关的安全问题时都采用基于主机与基于网络相结合的入侵检测系统。当然入侵检测技术也在不断的发展，数据挖掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家系统滥用检测、状态转换分析滥用检测等入侵检测技术也越来越成熟。总之、用户要提高计算机网络系统的安全性，不仅仅要靠技术支持，还要依靠自身良好的维护与管理。

参考文献:

[1] 何文彬，关于网络入侵检测技术的研究. 2011.14 [2] 蒋健春，冯登国，网络入侵检测技术原理与技术. 2001.7 [3] 沈清，连一峰，王航，系统安全与入侵检测技术. 2002.3 [4] 苏畅，入侵检测技术现状及发展趋势. 2011.02 [5] 张婷，浅谈入侵检测及网络安全技术. 2011.12

[6] 赵志强，谢利涛，马桂云，计算机防火墙分类与运用. 2011.09