文档介绍:: .
浅析网络入侵检测技术与发展
摘要:入侵检测作为一门新兴的安全技术,是网络安全系统中的重要组成部分。本文阐 述了入侵检测的定义、入侵检测系统的分类和入侵检测技术的实施方法,并对入侵检测技术 的未来发展等做了介绍和分析。
Intrusion detection, as a newly emerging security technology, is playing an important role of whole security system on the Internet. Definition of Intrusion detection, classification of Intrusion detection system (IDS) and how to implement the intrusion detection technology are expatiated in this paper. Besides, the future development of the Intrusion detection technology and other related information are also included in this article.
关键词:网络安全;入侵检测;发展
随着计算机与网络应用的迅速发展,计算机与网络已经成为了当今人们日常生活中不可 或缺的组成部分。政府、商务、金融、媒体……面对网络应用范围的不断扩大,其遭到的攻 击和破坏也在与日俱增。攻击者有能力攻破许多现已开发的网络安全防护技术,也可能攻破 任何将要开发的新技术。所以,在这种环境下,快速的网络入侵检测对整个网络的安全起着 尤为重要的作用。
一、 入侵检测的定义及相关概念
入侵检测是从系统(网络)的关键点采集信息并分析信息,查看系统(网络)中是否有 违法安全策略的行为,从而保证系统(网络)的安全性,完整性和可用性。入侵检测被认为 是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供 对内部攻击、外部攻击和误操作的实时保护。
对于入侵检测而言的网络攻击可以分为4类:
1. 检查单IP包(包括TCP、UDP)首部即可发觉的攻击,如winnuke> ping of death、 、吝分 OS detection、source routing 等。
2. 检查单IP包,但同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞,缓存溢 出攻击等。
3. 通过检测发生频率才能发觉的攻击,如端口扫描、SYNFlood, smurf攻击等。
4. 利用分片进行的攻击,如teadrop, nestea, jolt等。此类攻击利用了分片组装算法的 种种漏洞。若要检查此类攻击,必须提前(在IP层接受或转发时,而不是在向上层发送时) 作组装尝试。分片不仅可用来攻击,还可用来逃避未对分片进行组装尝试的入侵检测系统的 检测。
入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应(被动响应和主动响应)。
入侵检测系统执行的主要任务包括:监视、分析用户及系统活