文档介绍：入侵和入侵检测技术发展综述
卢涛1,马力2
摘要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,上的计算机暴露在愈来愈频繁的攻击中。本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程。文章以历史和实践的观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程。
关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史
1 引言
自从计算机问世以来,安全问题就一直存在。的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。
入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动。本文主要讨论入侵和入侵检测技术从20世纪70年代初到今天的发展历程。这个概念出自James ,随后的30多年中,概念本身几乎没有改变。
2 入侵行为的概念、分类和演化
从最早期的计算机安全开始,人们就密切关注恶意使用者破坏保护机制的可能性。早期系统多为多用户批处理系统。这个时期,主要的威胁来自系统的合法使用者,他们企图得到未经授权的材料。到了20世纪70年代,分时系统和其他的多用户系统已成气候,Willis H Ware主持的计算机安全防御科学特别工作
小组提供了一项报告,为处理多级数据的计算机系统的发展奠定了基础。但这篇报告并没有受到应有的重视,直到70年代中期,人们才开始进行构建多级安全体系的系统研究。
1980年4月,詹姆斯·安德森(James )puter SecurityThreatMonitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念,并首先为入侵和入侵检测提出了一个统一的架构,这是该领域的开山之作。他在论文中给出了入侵和入侵检测技术方面的概念:
威胁(Threat) 可能存在有预谋的、未经认可的尝试:
①存取数据;
②操控数据;
③使系统不可靠或无法使用。
危险(Risk) 意外的和不可预知的数据暴露,或者,由于硬件故障、软件设计的不完整和不正确所造成的违反操作完整性的问题。
脆弱性(Vulnerability) 已知的或可疑的硬件或软件设计中的缺陷;使系统暴露的操作;意外暴露自己信息的操作。攻击(Attack) 实施威胁的明确的表达或行为。
渗透/入侵(ration)一个成功的攻击;(未经认可的)获得对文件和程序的使用,或对计算机系统的控制。
威胁概念中的③包括DOS(Denial Of Service)“拒绝服务攻击”。盗用计算资源也属于这个类别之内。
一般来说,外部入侵者的首要工作是进入系统。所