畢業(yè)論文-網(wǎng)絡(luò)入侵檢測發(fā)展現(xiàn)狀及應用研究

1、<p><b>　　XXXX學校</b></p><p><b>　　本科畢業(yè)論文</b></p><p>　　論文題目：網(wǎng)絡(luò)入侵檢測發(fā)展現(xiàn)狀及應用研究</p><p>　　學生姓名： </p><p>　　學號：

2、 </p><p>　　專業(yè)： 計算機科學與技術(shù) </p><p>　　指導教師： </p><p>　　學 院： </p><p><b>　　年 月 日</b

3、></p><p>　　畢業(yè)論文（設(shè)計）內(nèi)容介紹</p><p><b>　　目 錄</b></p><p><b>　　摘要1</b></p><p>　　Abstract1</p><p><b>　　1. 引 言2</b></p

4、><p>　　2. 入侵檢測的定義及系統(tǒng)功能構(gòu)成2</p><p>　　3. 入侵檢測系統(tǒng)分類3</p><p>　　3.1 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)3</p><p>　　3.2 基于主機的入侵檢測系統(tǒng)3</p><p>　　3.3 異常檢測IDS4</p><p>　　3.4 誤

5、用檢測IDS5</p><p>　　4. 網(wǎng)絡(luò)入侵檢測應用</p><p>　　..................................................................................................................................................7</p&g

6、t;<p>　　5. 網(wǎng)絡(luò)入侵檢測發(fā)展方向9</p><p>　　6. 網(wǎng)絡(luò)入侵檢測系統(tǒng)存在的問題9</p><p>　　7. 結(jié)束語........................................................................................................................

7、.......10</p><p>　　8.參考文獻..............................................................11</p><p>　　網(wǎng)絡(luò)入侵檢測發(fā)展現(xiàn)狀及應用研究</p><p>　　摘要：網(wǎng)絡(luò)入侵的直接危害就是破壞了系統(tǒng)的機密性、完整性和可用性。入侵者的企圖不同，對系統(tǒng)安全特性的破壞也就不同，但

8、不管是破壞了哪一個特性，都會對系統(tǒng)和網(wǎng)絡(luò)安全構(gòu)成嚴重威脅。隨著基于雇員的攻擊行為和產(chǎn)品自身問題的增多，所以能夠在防火墻內(nèi)部監(jiān)測非法的活動的入侵檢測系統(tǒng)變得越來越必要。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，如何使信息網(wǎng)絡(luò)系統(tǒng)不受病毒和黑客的入侵，已成為政府機構(gòu)信息化健康發(fā)展所要考慮的重要事情之一。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)入侵；危害；系統(tǒng)分類；發(fā)展方向；應用研究；問題</p>&

9、lt;p>　　Network Intrusion Detection development and applied research</p><p>　　Abstract: Network intrusion harm directly undermine the confidentiality, integrity, and availability of the system. Intrude

10、rs attempt to different, destruction of the system security features are different, but regardless a property is destroyed, will pose a serious threat to system and network security. Based on aggressive behaviors of empl

11、oyees increased and the products of their own problems, so monitoring of illegal activities inside the firewall's intrusion detection system is becoming </p><p><b>　　1. 引 言</b></p><

12、;p>　　隨著計算機技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出，很多組織正在致力于提出更多的更強大的主動策略和方案來增強網(wǎng)絡(luò)的安全性，然而另一個更為有效的解決途徑就是入侵檢測。在入侵檢測之前，大量的安全機制都是根據(jù)從主觀的角度設(shè)計的，他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對策。因此，它們對入侵行為的反應非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時地調(diào)整系統(tǒng)的安全策略。而入侵檢

13、測正是根據(jù)網(wǎng)絡(luò)攻擊行為而進行設(shè)計的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學習和分析入侵手段，及時地調(diào)整系統(tǒng)策略以加強系統(tǒng)的安全性。 網(wǎng)絡(luò)入侵的直接危害就是破壞了系統(tǒng)的機密性、完整性和可用性。例如，非法用戶在盜取了系統(tǒng)管理員的密碼后，就可以完全控制該主機，為所欲為。本來無權(quán)訪問的文件或數(shù)據(jù)，現(xiàn)在可以訪問，就破壞了系統(tǒng)的機密性；入侵者如果還改變了系統(tǒng)原有的配置，改變了文件的內(nèi)容，修改了數(shù)據(jù)，就破壞了

14、系統(tǒng)的完整性；攻擊者使用拒絕服務(wù)攻擊，使得目標主機的資源被耗盡，網(wǎng)絡(luò)帶寬被完全占用，就破壞了系統(tǒng)的可用性。</p><p>　　2. 入侵檢測的定義及系統(tǒng)功能構(gòu)成</p><p>　　入侵檢測是從系統(tǒng)(網(wǎng)絡(luò))的關(guān)鍵點采集信息并分析信息，察看系統(tǒng)(網(wǎng)絡(luò))中是否有違法安全策略的行為，保證系統(tǒng)(網(wǎng)絡(luò))的安全性，完整性和可用性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是

15、否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。　　一個入侵檢測系統(tǒng)的功能結(jié)構(gòu)至少包含事件提取、入侵分析、入侵響應和遠程管理四部分功能。入侵分析的任務(wù)就是在提取到的運行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開，分析出入侵行為并對入侵者進行定位。</p><p&

16、gt;　　入侵響應功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應。由于單個入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個檢測單元運行于網(wǎng)絡(luò)中的各個網(wǎng)段或系統(tǒng)上，通過遠程管理功能在一臺管理站點上實現(xiàn)統(tǒng)一的管理和監(jiān)控。</p><p>　　3. 入侵檢測系統(tǒng)分類　　入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。另外一種就是根據(jù)

17、檢測所基于的原則不同，將入侵檢測系統(tǒng)劃分為異常檢測IDS和誤用檢測IDS。3.1 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)　　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過網(wǎng)絡(luò)監(jiān)視來實現(xiàn)數(shù)據(jù)提取。在Internet中，局域網(wǎng)普遍采用IEEE 802.3協(xié)議。該協(xié)議定義主機進行數(shù)據(jù)傳輸時采用子網(wǎng)廣播的方式，任何一臺主機發(fā)送的數(shù)據(jù)包，都會在所經(jīng)過的子網(wǎng)中進行廣播，也就是說，任何一臺主機接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機接收。在正常設(shè)置下，主機的網(wǎng)卡對每一個到達的數(shù)

18、據(jù)包進行過濾，只將目的地址是本機的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū)，而將其他數(shù)據(jù)包丟棄，因此，正常情況下網(wǎng)絡(luò)上的主機表現(xiàn)為只關(guān)心與本機有關(guān)的數(shù)據(jù)包，但是將網(wǎng)卡的接收模式進行適當?shù)脑O(shè)置后就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地是否是該主機。網(wǎng)卡的這種接收模式被稱為混雜模式，目前絕大部分網(wǎng)卡都提供這種設(shè)置，因此，在需要的時候，對網(wǎng)卡進行合理的設(shè)置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從</p&

19、gt;<p>　　異常檢測，也稱為基于行為的入侵檢測，以系統(tǒng)、網(wǎng)絡(luò)、用戶或進程的正常行為建立輪廓模型(即正常行為模式)，將與之偏離較大的行為解釋成入侵。該方法基于如下的假設(shè)：入侵會引起用戶或系統(tǒng)行為的異常。異常檢測方法具有檢測系統(tǒng)中未知攻擊的能力，由于新攻擊方法總是不斷出現(xiàn)，因此異常檢測技術(shù)一直較受重視，產(chǎn)生了大量的異常檢測技術(shù)。下面對其中的主要技術(shù)進行介紹和分析。</p><p>　　(1)統(tǒng)

20、計分析 統(tǒng)計分析方法是異常檢測的主要方法之一。該方法依據(jù)系統(tǒng)中特征變量的歷史數(shù)據(jù)建立統(tǒng)計模型，并運用該模型對特征變量未來的取值進行預測和檢測偏離。系統(tǒng)中的特征變量有用戶登錄失敗次數(shù)、CPU和I/O利用率、文件訪問數(shù)及訪問出錯率、網(wǎng)絡(luò)連接數(shù)、擊鍵頻率、事件間的時間間隔等。 (a)均值與標準偏差模型以單個特征變量為檢測對象，假定特征變量滿足正態(tài)分布，根據(jù)該特征變量的歷史數(shù)據(jù)統(tǒng)計出分布參數(shù)(均值、標準偏差)，并依此設(shè)定信任區(qū)間

21、。在檢測過程中，若特征變量的取值超出信任區(qū)間，則認為發(fā)生異常。 (b)多元模型以多個特征變量為檢測對象，分析多個特征變量間的相關(guān)性，是均值與標準偏差模型的擴展，不僅能檢測到單個特征變量值的偏離，還能檢測到特征變量間關(guān)系的偏離。 (c) Markov過程模型將每種類型的事件定義為系統(tǒng)的一個狀態(tài)，用狀態(tài)轉(zhuǎn)換矩陣來表示狀態(tài)的變化，若對應于所發(fā)生事件的狀態(tài)轉(zhuǎn)移概率較小，則該事件可能為異常事件。 (d) 時間序列模型。將事

22、件計數(shù)與資源消耗根據(jù)時間排列成序列，如果某一新事件在相應時間發(fā)生的概率較低，則該事件可能為入侵。 以統(tǒng)計</p><p>　　(2)基于數(shù)據(jù)挖掘的檢測方法</p><p>　　數(shù)據(jù)挖掘是一種利用分析工具在大量數(shù)據(jù)中提取隱含在其中且潛在有用的信息和知識的過程。入侵檢測過程也是利用所采集的大量數(shù)據(jù)信息，如主機系統(tǒng)日志、審計記錄和網(wǎng)絡(luò)數(shù)據(jù)包等，對其進行分析以發(fā)現(xiàn)入侵或異常的過程。因此，可

23、利用數(shù)據(jù)挖掘技術(shù)，從大量數(shù)據(jù)中提取盡可能多的隱藏的安全信息，抽象出有利于比較和判斷的特征模型(如基于異常檢測的正常行為輪廓)。數(shù)據(jù)挖掘算法有多種，運用到入侵檢測中的主要有關(guān)聯(lián)分析、序列分析和聚類分析3種，其中關(guān)聯(lián)分析方法主要分析事件記錄中數(shù)據(jù)項間隱含的關(guān)聯(lián)關(guān)系，形成關(guān)聯(lián)規(guī)則；序列分析方法主要分析事件記錄間的相關(guān)性，形成事件記錄的序列模式；聚類分析識別事件記錄的內(nèi)在特性，將事件記錄分組以構(gòu)成相似類，并導出事件記錄的分布規(guī)律。在建立上述的

24、關(guān)聯(lián)規(guī)則、序列模式和相似類后，即可依此檢測入侵或異常。 基于數(shù)據(jù)挖掘的檢測方法建立在對所采集大量信息進行分析的基礎(chǔ)之上，只能進行事后分析，即僅在入侵事件發(fā)生后才能檢測到入侵的存在。</p><p>　　其他檢測方法 其他的異常檢測方法有基于規(guī)則的方法、人工免疫法、基于機器學習的檢測方法和基于神經(jīng)網(wǎng)絡(luò)的檢測方法等。 異常檢測的優(yōu)點為：不需獲取攻擊特征，能檢測未知攻擊或已知攻擊的變種，且能適應

25、用戶或系統(tǒng)等行為的變化。但異常檢測具有如下的缺點：一般根據(jù)經(jīng)驗知識選取或不斷調(diào)整閾值以滿足系統(tǒng)要求，閾值難以設(shè)定；異常不一定由攻擊引起，系統(tǒng)易將用戶或系統(tǒng)的特殊行為(如出錯處理等)判定為入侵，同時系統(tǒng)的檢測準確性受閾值的影響，在閾值選取不當時，會產(chǎn)生較多的檢測錯誤，造成檢測錯誤率高；攻擊者可逐漸修改用戶或系統(tǒng)行為的輪廓模型，因而檢測系統(tǒng)易被攻擊者訓練；無法識別攻擊的類型，因而難以采取適當?shù)拇胧┳柚构舻睦^續(xù)。</p>&l

26、t;p>　　3.4 誤用檢測IDS</p><p>　　誤用檢測，也稱為基于知識或基于簽名的入侵檢測。誤用檢測IDS根據(jù)已知攻擊的知識建立攻擊特征庫，通過用戶或系統(tǒng)行為與特征庫中各種攻擊模式的比較確定是否發(fā)生入侵。常用的誤用檢測技術(shù)主要有：</p><p>　　(1)基于專家系統(tǒng)的檢測方法 專家系統(tǒng)是入侵檢測中常用的一種檢測方法，通過將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)

27、的規(guī)則，前者為構(gòu)成入侵的條件，后者為發(fā)現(xiàn)入侵后采取的響應措施。專家系統(tǒng)的優(yōu)點為把系統(tǒng)的推理控制過程和問題的最終解答相分離，即用戶不需要理解或干預專家系統(tǒng)內(nèi)部的推理過程，只需把專家系統(tǒng)看作一個黑盒子。在將專家系統(tǒng)應用于入侵檢測時，存在下列問題：缺乏處理序列數(shù)據(jù)的能力，即不能處理數(shù)據(jù)的前后相關(guān)性；性能取決于設(shè)計者的知識；只能檢測已知的攻擊模式；無法處理判斷不確定性；規(guī)則庫難以維護，更改規(guī)則時要考慮對規(guī)則庫中其他規(guī)則的影響。</p&g

28、t;<p>　　(2)基于狀態(tài)轉(zhuǎn)移分析的檢測方法 狀態(tài)轉(zhuǎn)移分析方法運用狀態(tài)轉(zhuǎn)換圖來表示和檢測已知的攻擊模式，即運用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)移表達式來描述已知的攻擊模式，以有限狀態(tài)機模型來表示入侵過程。入侵過程由一系列導致系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到入侵狀態(tài)的行為組成，其中初始狀態(tài)為入侵發(fā)生前的系統(tǒng)狀態(tài)，入侵狀態(tài)表示入侵完成后系統(tǒng)所處的狀態(tài)。 用于誤用檢測的狀態(tài)轉(zhuǎn)移分析引擎包括一組狀態(tài)轉(zhuǎn)移圖，各自代表一種入侵或滲透模式。每當

29、有新行為發(fā)生時，分析引擎檢查所有的狀態(tài)轉(zhuǎn)移圖，查看是否會導致系統(tǒng)的狀態(tài)轉(zhuǎn)移。如果新行為否定了當前狀態(tài)的斷言，分析引擎將狀態(tài)轉(zhuǎn)移圖回溯到斷言仍然成立的狀態(tài)；如果新行為使系統(tǒng)狀態(tài)轉(zhuǎn)移到了入侵狀態(tài)，狀態(tài)轉(zhuǎn)移信息就被發(fā)送到?jīng)Q策引擎，由決策引擎根據(jù)預定義的策略采取相應措施。 以狀態(tài)轉(zhuǎn)移分析方法表示的攻擊檢測過程只與系統(tǒng)狀態(tài)的變化有關(guān)，而與攻擊的過程無關(guān)。狀態(tài)轉(zhuǎn)移分析方法能檢測到協(xié)同攻擊和慢攻擊；能在攻擊行為尚未到達入侵狀態(tài)時檢測到該攻擊行

30、為，從而及時采取相應措施阻止攻擊行為。狀態(tài)轉(zhuǎn)換圖給出了保證攻擊成功的特征行為的最小子集，能檢測到具有相同入侵模式的不同表現(xiàn)形式。狀態(tài)轉(zhuǎn)移分析方法中狀態(tài)</p><p>　　(3)其他檢測方法 其他的誤用檢測方法有基于有色Petri(CP)-Net的誤用檢測及基于鍵盤監(jiān)控的誤用檢測等。誤用檢測的優(yōu)點為：攻擊檢測的準確率高；能夠識別攻擊的類型。誤用檢測的缺點為：只能檢測已知攻擊；滯后于新出現(xiàn)的攻擊，對于新的

31、攻擊，僅在其包含進攻擊特征庫后才能檢測到；攻擊特征庫維護困難，新攻擊出現(xiàn)后需由專家根據(jù)專業(yè)知識抽取攻擊特征，不斷更新攻擊特征庫；攻擊者可通過修改攻擊行為，使其與攻擊特征庫中的特征不相符，從而繞過檢測。誤用檢測和異常檢測各有優(yōu)缺點，具有一定的互補性。通常檢測系統(tǒng)為提高入侵檢測性能，將這兩種技術(shù)結(jié)合以實現(xiàn)入侵檢測。</p><p>　　4.網(wǎng)絡(luò)入侵檢測應用</p><p>　　隨著網(wǎng)絡(luò)連接的

32、迅速擴展，特別是Internet大范圍的開放以及金融領(lǐng)域網(wǎng)絡(luò)的接入，越來越多的系統(tǒng)遭到入侵攻擊的威脅，這些威脅大多是通過挖掘操作系統(tǒng)和應用服務(wù)程序的弱點或者缺陷來實現(xiàn)的。</p><p>　　目前，對付破壞系統(tǒng)企圖的理想方法是建立一個完全安全系統(tǒng)。但這一點卻很難做到。原因有以下幾點：</p><p>　　第一，要將所有已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)是不現(xiàn)實的，即使真正付諸于實踐，也

33、需要相當長的時間。</p><p>　　第二，加密技術(shù)方法本身存在一定的問題，如密鑰的生成、傳輸、分配和保存，加密算法的安全性。</p><p>　　第三，訪問控制和保護模型本身存在一定的問題。</p><p>　　第四，靜態(tài)的安全控制措施不足以保護安全對象屬性。</p><p>　　第五，安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊。</p&g

34、t;<p>　　第六，在實踐當中，建立完全安全系統(tǒng)根本是不可能的。</p><p>　　基于上述幾類問題的解決難度，一個實用的方法是建立比較容易實現(xiàn)的安全系統(tǒng)，而入侵檢測系統(tǒng)就是這樣一類系統(tǒng)。如果系統(tǒng)遭到攻擊，只要盡可能地檢測到，甚至是實時地檢測到，然后采取適當?shù)奶幚泶胧?，就可以避免造成更大的損失。</p><p>　　過去，很多人認為只要安裝一個防火墻就可保障網(wǎng)絡(luò)的安全，實

35、際上這是一個誤解，原因主要有以下幾點：</p><p>　　第一、防火墻本身會有各種漏洞和后門，有可能被外部黑客攻破。</p><p>　　第二、防火墻不能阻止內(nèi)部攻擊，對內(nèi)部入侵者來說毫無作用。</p><p>　　第三、由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。</p><p>　　第四、有些外部訪問可以繞開防火墻。</

36、p><p>　　例如，內(nèi)部用戶通過調(diào)制解調(diào)器撥號上網(wǎng)就把內(nèi)部網(wǎng)絡(luò)連到了外部網(wǎng)絡(luò)，而這一連接并沒有通過防火墻，防火墻對此沒有任何監(jiān)控能力。而入侵檢測系統(tǒng)可以彌補防火墻的不足，為網(wǎng)絡(luò)提供實時的入侵檢測并采取相應的防護手段，如記錄證據(jù)用于跟蹤入侵者和災難恢復、發(fā)出警報，甚至終止進程、斷開網(wǎng)絡(luò)連接等等。</p><p>　　因此，隨著基于雇員的攻擊行為和產(chǎn)品自身問題的增多，所以能夠在防火墻內(nèi)部監(jiān)測非法

37、的活動的入侵檢測系統(tǒng)變得越來越必要。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，新的技術(shù)給防火墻帶來了嚴重的威脅。例如，VPN可以穿透防火墻，因此就需要入侵檢測系統(tǒng)在防火墻后提供安全保障。雖然VPN本身很安全，但有可能通過VPN進行通信的其中一方被root kit或NetBus所控制，而這種破壞行為是防火墻無法抵御的。所以，基于上述原因，入侵檢測系統(tǒng)已經(jīng)成為安全策略的重要組成部分。</p><p>　　就目前入侵檢測系統(tǒng)的使用情況來看，

38、入侵檢測系統(tǒng)主要存在以下三點好處：</p><p>　　一、入侵檢測可以發(fā)現(xiàn)防火墻和虛擬專用網(wǎng)沒有檢測到的攻擊。</p><p>　　二、入侵檢測可以實時監(jiān)控互聯(lián)網(wǎng)和外聯(lián)網(wǎng)連接，保護關(guān)鍵性的資產(chǎn)、系統(tǒng)和資源—相當于現(xiàn)實生活中的監(jiān)視攝像機。</p><p>　　三、入侵檢測系統(tǒng)可以提供警報，智能化地阻止惡意攻擊，甚至動態(tài)地重新配置網(wǎng)絡(luò)，以避免以后再發(fā)生類似的攻擊。&l

39、t;/p><p>　　入侵檢測作為一項安全技術(shù)，其主要目的在于：</p><p><b>　　第一，識別入侵者。</b></p><p>　　第二，識別入侵行為。</p><p>　　第三，檢測和監(jiān)視已成功的安全突破。</p><p>　　第四，為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴大。

40、</p><p>　　從這個角度來看安全問題，入侵檢測對于建立一個安全系統(tǒng)來說是非常必要而且是非常重要的，它可以彌補傳統(tǒng)安全保護措施的不足。</p><p>　　伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受病毒和黑客的入侵，已成為政府機構(gòu)信息化健康發(fā)展所要考慮的重要

41、事情之一。 </p><p>　　政府單位所涉及的信息可以說都帶有機密性，所以，其信息安全問題，如敏感信息的泄露、黑客的侵擾、網(wǎng)絡(luò)資源的非法使用以及計算機病毒等，都將對政府機構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對其網(wǎng)絡(luò)進行專門安全設(shè)計。 </p><p>　　例如，假如內(nèi)部網(wǎng)絡(luò)的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，

42、還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的其他網(wǎng)絡(luò)；影響所及甚至還可能涉及法律、金融等安全敏感領(lǐng)域。</p><p>　　5. 網(wǎng)絡(luò)入侵檢測發(fā)展方向</p><p>　　近年對入侵檢測技術(shù)有幾個主要發(fā)展方向:　　(1)分布式入侵檢測與通用入侵檢測架構(gòu)　　傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足。同時不同的IDS系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要

43、分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。　　(2)應用層入侵檢測　　許多入侵的語義只有在應用層才能理解，而目前的IDS僅能檢測如WEB之類的通用協(xié)議，而不能處理如Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應用，需要應用層的入侵檢測保護?！　?3)智能的入侵檢測　　入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應用研究，但是這只是一些嘗試

44、性的研究工作，需要對智能化的IDS加以進一步的研究以解決其自學習與自適應能力?！　∪肭謾z測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，我們認為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，應重點加強統(tǒng)計分析的相關(guān)技術(shù)研究。</p><p>　　網(wǎng)絡(luò)入侵系統(tǒng)存在的問題</p><p><b>　　（1）誤/漏報率高</b></p><p&g

45、t;　　IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統(tǒng)計方法來進行檢測，而統(tǒng)計方法中的閾值難以有效確定，太小的值會產(chǎn)生大量的誤報，太大的值又會產(chǎn)生大量的漏報。而在協(xié)議分析的檢測方式中，一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等，其余大量的協(xié)議報文完全可能造成IDS漏報，如果考慮支持盡量多的協(xié)議類型分析，網(wǎng)絡(luò)的成本將無法承受。</p>&l

46、t;p>　?。?）沒有主動防御能力</p><p>　　IDS技術(shù)采用了一種預設(shè)置式、特征分析式工作原理，所以檢測規(guī)則的更新總是落后于攻擊手段的更新。</p><p>　?。?）缺乏準確定位和處理機制</p><p>　　IDS僅能識別IP地址，無法定位IP地址，不能識別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉同

47、時會影響其他正常用戶的使用。因而其缺乏更有效的響應處理機制。</p><p><b>　　（4）性能普遍不足</b></p><p>　　現(xiàn)在市場上的IDS產(chǎn)品大多采用的是特征檢測技術(shù)，這種IDS產(chǎn)品已不能適應交換技術(shù)和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成Dos攻擊。</p><p>　　入侵檢測系

48、統(tǒng)作為網(wǎng)絡(luò)安全的關(guān)鍵性防范系統(tǒng)已經(jīng)起得了一定發(fā)展，但仍然存在很多 問題 ，還有待于進一步完善 ，以便為今后的網(wǎng)絡(luò)發(fā)展提供有效的安全手段。從性能上講入侵檢測系統(tǒng)面臨的一個矛盾就是系統(tǒng)性能與功能的折衷，即對數(shù)據(jù)進行全面復 雜的檢驗構(gòu)成了對系統(tǒng)實時性要求很大的挑戰(zhàn)。一旦系統(tǒng)中的入侵檢測部分被入侵者 控制，整個系統(tǒng)的安全防線將面臨崩潰的危險。如何防止入侵者對系統(tǒng)功能的破壞的 研究將在是未來的一個發(fā)展方向，同時對網(wǎng)絡(luò)入侵檢測系統(tǒng)易用性的研究也將日

49、益增強。高速網(wǎng)絡(luò)中的入侵檢測以及入侵檢測系統(tǒng)與其它系統(tǒng)的協(xié)同工作的研究將持續(xù)下 去 。要解決當前的實際網(wǎng)絡(luò)安全需求入侵檢測系統(tǒng)將與防火墻系統(tǒng)以及應急響應系 統(tǒng)等逐漸融合構(gòu)成一個全方位的安全保障系統(tǒng)。</p><p><b>　　7. 結(jié)束語</b></p><p>　　入侵檢測隨著信息安全問題的日益突出越來越多地受到人們的關(guān)注，目前，已有多個原型系統(tǒng)和商用的IDS

50、出現(xiàn)。盡管目前在入侵檢測領(lǐng)域還有很多問題需要深入研究，但可以展望，入侵檢測技術(shù)的發(fā)展將對信息的安全保護產(chǎn)生深遠的影響</p><p><b>　　參考文獻：</b></p><p>　　1. 王曉程，劉恩德，謝小權(quán), 網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究. 計算機工程與科學，2000(4):30～33</p><p>　　2. 羅守山，陳亞娟，宋傳恒，王自亮

51、，鈕心忻，楊義先.一個基于擊鍵韻律的入侵檢測模型.北京郵電大學學報，2000(4)</p><p>　　3.陳科，李之棠.網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻集成的框架模型.計算機工程與科學，2001(2):26～28</p><p>　　4. Denning D. Requirements and Model for IDES: A Real-time Intrusion Detection Exp

52、ert System [C]. Technical Report, CSL, SRI Int, 1985. 5. Porras P, Kemmerer R. Penetration State Transition Analysis: A Rule-Based Intrusion Detection Approach [C]. In: Proceedings of the 8th Annual Computer Security

53、 Applications Conference, San Antonio, Texas, 1992.</p><p>　　6.[美]Rebecca Gurley Bace.入侵檢測[M].人民郵電出版社，1991.　　7.paul E. Proctor.入侵檢測使用手冊[M].中國電力出版社，1998.</p><p>　　8.E.Al-Shaer and H.Hamed.Firewa

54、ll Policy Advisor for Anomaly Detection andRule Editing[J].Proceedings of IEEE/IFIP Integrated Management Conference(IM’2003),2003:17-30.</p><p>　　9.A.A.Hassan.Algorithms for Verifying Firewall and Router Ac

55、cess Lists[J].Proc.of the 46th IEEE International Midwest Symposium on Circuits and Systems,2003,vol.1:512-515.</p><p>　　10.馮登國.網(wǎng)絡(luò)安全原理與技術(shù)[M].北京:科學出版社,2003,15.</p><p>　　11.F.Cuppens,A.Mi`ege.Aler