文档介绍：文章编号:1009-8119(2005)07-0038-03
入侵检测技术研究综述
宋普选应锦鑫
(北京理工大学计算机系, 北京 100081)
摘要对入侵监测技术和入侵监测系统进行了研究和阐述。入侵监测技术和入侵监测系统的概念,对入侵监测系统按获得数据的方法和监测方法进行了详细的分类,描述了一种入侵监测系统的系统模型,叙述了入侵监测的技术途径,介绍了对入侵监测系统面临的问题和发展趋势。
关键词入侵监测,特征监测,异常监测
A Summary of Intrusion Detection Technology
Song Puxuan Ying Jinxin
(Dept. puter Science, Beijing Institute of Technology, Beijing 10081, China)
Abstract This paper describes the research of Intrusion Detection technology and Intrusion Detection System. The concept and history of Intrusion Detection is first introduced, then a classification of IDS is presented based on two methods. Next the system module of IDS is explained, and the technical approaches are detailed analyzed. Finally the challenge and future trend of IDS is discussed.
Keywords Intrusion detection,Signature-based detection,Anomaly detection
随着网络技术快速发展和网络应用环境不断普及的同时,安全问题也越来越突出,引起各界关注。由于TCP/IP协议族本身缺乏相应的安全机制,加上各种操作系和应用软件存在各种漏洞,使得整个网络的安全问题不可避免。
现有的安全机制通过访问控制,例如口令和防火墙技术,来保护计算机和网络不受非法和未经授权用户的使用。然而,如果这些访问措施被泄露或者被绕过,则可能导致巨大的损失和系统运行的崩溃。在传统的加密和防火墙技术已不能完全满足安全需求的同时,入侵检测技术作为一种新的安全手段,正越来越受到重视。
1. 入侵检测(Intrusion Detection)的概念
1980年,Anderson首次提出了入侵检测的概念。他将入侵行为划分为外部闯入、内部授权、用户的越权使用和滥用等三种类型,并提出用审计追踪监视入侵威胁。1987年,Denning首次提出异常检测抽象模型,将入侵检测作为一种计算机系统的安全防御措施。美国国际计算机安全协会(ICSA)对入侵检测的定义是:入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
入侵检测具有监视分析用户和系统的行为、审计系统配置及漏洞、评估敏感系统和数据的完整性、识别攻击行