文档介绍：软件导刊
第9卷%第1期
2010年 1月 Software Guide Jan. 2010
关于入侵检测技术及其应用的研究
牛承珍
(山西工程职业技术学院计算机工程系,山西太原 030027)
摘要:分析了入侵检测技术的基本原理,阐述了入侵检测的基本知识与概念、功能与模型,在此基础上提出了一种
入侵检测系统在计算机网络中应用的基本方案。该方案介绍了一种多维入侵检测系统,它提高了网络入侵检测的准
确性,然而对计算机本身的性能几乎没有影响,从而有力地保障了计算机网络的安全与稳定。
关键词:入侵检测;入侵检测系统;IDS
中图分类号: 文献标识码:A 文章编号:1672-7800(2010)01-0137-03
同当前用户活动的审计记录进行比较,如果有较大偏差,则表
入侵检测系统介绍
1 示有异常活动发生。这是一种基于统计的检测方法。随着技术
的发展,后来又提出了基于规则的检测方法。结合这两种方法
入侵检测(Intrusion Detection,ID),顾名思义,是对入侵行
的优点,人们设计出很多入侵检测的模型。通用入侵检测构架
为的发觉。它通过对计算机系统或计算机网络中的若干关键点
(Common Intrusion Detection Framework 简称 CIDF)组织,试图
收集信息并对其进行分析,从中发现网络或系统中是否有违反
将现有的入侵检测系统标准化,CIDF 阐述了一个入侵检测系
安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件
统的通用模型。如图 1 所示。它将一个入侵检测系统分为以下
的组合便是入侵检测系统(Intrusion Detection System,IDS)。在
4 个组件: ①事件产生器(Event Generators); ②事件分析器
本质上,入侵检测系统是一个典型的“窥探设备”。它不跨接多
(Event analyzers);③响应单元(Response units);④事件数据库
个物理网段,无须转发任何流量,而只需在网络上被动的、无声
(Event databases)。
息的收集它所关心的报文即可。
它将需要分析的数据通称为事件,事件可以是基于网络的
(1)IDS 功能与模型
数据包也可以是基于主机的系统日志中的信息。事件产生器的
一个合格的入侵检测系统能大大简化安全管理员的工作,
目的是从整个计算机环境中获得事件,并向系统其它部分提供
保证网络安全地运行。具体讲,入侵检测的功能有如下 5 点:①
此事件。事件分析器分析得到的事件并产生分析结果。响应单
监视、分析用户及系统活动;②审计系统构造和弱点;③识别、
元则是对分析结果做出反应的功能单元, 它可以做出切断连
反映已知进攻的活动模式,向相关人员报警;④统计分析异常
接、修改文件属性等强烈反应。事件数据库是存放各种中间和
行为模式;评估重要系统和数据文件的完整性;⑤审计、跟踪管
最终数据的地方的通称,它可以是复杂的数据库也可以是简单
理操作系统,识别用户违反安全策略的行为。
的文本文件。
入侵检测一般分为 3 个步骤:信息收集、数据分析、响应。
(2)I