計算機系統(tǒng)入侵檢測的分類和技術(shù)分析

1、<p>　　計算機系統(tǒng)入侵檢測的分類和技術(shù)分析</p><p>　　摘要：計算機系統(tǒng)入侵檢測是近年來網(wǎng)絡(luò)安全研究的熱點，是一種用于對違反計算機和網(wǎng)絡(luò)上安全策略的行為進行識別和響應的系統(tǒng)。計算機入侵檢測把原來的被動的安全保障變?yōu)榉e極主動的監(jiān)控和審計，能對黑客入侵、內(nèi)部人員違規(guī)操作等行為進行實時的報警和阻斷，從而降低了計算機系統(tǒng)和網(wǎng)絡(luò)遭受到的風險。本文主要討論計算機入侵檢測的分類和技術(shù)。 </p>

2、;<p>　　關(guān)鍵詞：計算機；入侵檢測；分類；技術(shù) </p><p>　　Abstract: intrusion detection in computer system is a network security research in recent years is hot, for violation of computer and network security policy behavi

3、or recognition and response system. Computer intrusion detection to the original passive protection into active monitoring and audit, to hacking, internal personnel illegal operations and conduct real-time alarm and bloc

4、ked, thereby reducing the computer systems and network from risk. This paper mainly discusses the computer classific</p><p>　　Key words: computer technology; intrusion detection; classification </p>&

5、lt;p>　　[中圖分類號] TP393[文獻標識碼]A[文章編號] </p><p>　　網(wǎng)絡(luò)的廣泛應用使得網(wǎng)絡(luò)安全日益成為一個突出課題，計算機入侵檢測是近年來網(wǎng)絡(luò)安全研究的熱點，計算機入侵檢測是指在特定的網(wǎng)絡(luò)環(huán)境下發(fā)現(xiàn)未經(jīng)授權(quán)或者是惡意的攻擊和入侵，并對此作出反應的過程，入侵系統(tǒng)可以能對黑客入侵、內(nèi)部人員違規(guī)操作等行為進行實時的報警和阻斷，從而降低計算機系統(tǒng)和網(wǎng)絡(luò)遭受到的風險。目前，常用的入侵檢測系統(tǒng)主

6、要是IDS，IDS是一套運用入侵檢測技術(shù)對計算機或者網(wǎng)絡(luò)資源進行實時檢測的系統(tǒng)工具，IDS不僅可以檢測出未經(jīng)授權(quán)的對象和惡意的攻擊，還可以監(jiān)視授權(quán)對象，已經(jīng)得到了廣泛的應用。 </p><p>　　一、計算機系統(tǒng)入侵檢測的分類 </p><p>　　計算機系統(tǒng)入侵檢測可以分為集中式IDS和分布式IDS，集中式IDS采集的數(shù)據(jù)是在一臺主機上進行，數(shù)據(jù)是分布的，分布式IDS數(shù)據(jù)的處理和采集工作

7、主要通過多臺主機來完成，目前，就針對集中式IDS和分布式IDS中存在的優(yōu)缺點做一個詳細的分析。 </p><p>　?。ㄒ唬┘惺絀DS中存在的問題 </p><p>　　由于集中式IDS采集數(shù)據(jù)的工作是在一臺主機上進行，所以，集中式IDS所在的計算機很可能成為被惡意攻擊的目標，如果入侵者用非法的技術(shù)手段使得集中式IDS所在的主機癱瘓，那么整個網(wǎng)絡(luò)就會失去保護，這種后果是十分嚴重的。除了易

8、被攻擊外，由于一臺主機的處理能力有限，所以集中式IDS的可伸縮性能也有限，負責的網(wǎng)絡(luò)不能太大，否則集中式IDS無法及時處理，反而給網(wǎng)絡(luò)帶來更大的負擔。 </p><p>　?。ǘ┓植际絀DS的優(yōu)點 </p><p>　　分布式IDS的數(shù)據(jù)采集工作主要通過多臺主機進行，擴展性和伸縮性較好，分布式IDS的數(shù)據(jù)可以互相通信，如果其中一臺主機出現(xiàn)問題時，其他主機不容易受到影響，因此，采用分布式I

9、DS的系統(tǒng)，即使出現(xiàn)一部分故障，也不會導致整個模塊的癱瘓。目前，分布式IDS的使用非常廣泛。 </p><p>　　二、計算機系統(tǒng)入侵技術(shù)分析 </p><p>　　計算機系統(tǒng)入侵技術(shù)主要包括信息收集和信號分析兩方面。 </p><p>　　（一）檢測信息的收集 </p><p>　　計算機系統(tǒng)入侵檢測的首要任務是進行信息的采集，需要采集的信

10、息涉及較廣，包括網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動的行為和變化，一般來說，檢測的信息主要來自以下幾個方面。 </p><p>　　1.網(wǎng)絡(luò)日志的收集 </p><p>　　網(wǎng)絡(luò)日志中包含發(fā)生在網(wǎng)絡(luò)以及系統(tǒng)中不正常的活動，根據(jù)網(wǎng)絡(luò)日志可以判斷出是否有黑客入侵的痕跡，收集網(wǎng)絡(luò)日志可以及時了解系統(tǒng)是否安全，如果發(fā)現(xiàn)有入侵企圖，那么維護人員一定要及時的啟動應急預案。 </p><p>

11、　　2.目錄和文件的收集 </p><p>　　在網(wǎng)絡(luò)環(huán)境下由很多的目錄和文件，這些目錄和文件一般包含有重要的信息，往往成為黑客攻擊的目標，黑客在攻擊這些文件后，往往會經(jīng)常修改和替換訪問的文件，修改相關(guān)的日志。因此，維護人員一定要做好目錄和文件的收集工作，根據(jù)收集的信息判讀是否有黑客入侵的情況，維護好系統(tǒng)的安全。 </p><p>　　3.程序執(zhí)行中的不期望行為 </p>&

12、lt;p>　　網(wǎng)絡(luò)上的程序執(zhí)行主要包括網(wǎng)絡(luò)服務、操作系統(tǒng)以及用戶程序的啟動等，每套系統(tǒng)的執(zhí)行過程都包括多個進程，每一個進程都在不同的權(quán)限環(huán)境中控制著系統(tǒng)資源和數(shù)據(jù)文件等，進程的執(zhí)行是有操作來實現(xiàn)，一旦進程中出現(xiàn)異常的情況，那么就要做好檢查工作，看是否有惡意程序入侵系統(tǒng)。 </p><p>　　4.物理形式的入侵信息 </p><p>　　物理形式的入侵信息主要包括網(wǎng)絡(luò)硬件設(shè)置的連接以

13、及物理資源的未授權(quán)訪問，黑客在通過物理形式入侵網(wǎng)絡(luò)時，往往會安裝相關(guān)的設(shè)備和軟件，并通過安裝的軟件來破壞網(wǎng)絡(luò)的周邊防衛(wèi)，因此，要定期檢查物理形式的入侵信息。 </p><p><b>　?。ǘ┬盘柕姆治?</b></p><p>　　信號分析有三種手段，模式匹配、統(tǒng)計分析以及完整性分析 </p><p><b>　　1.模式匹配 &

14、lt;/b></p><p>　　模式匹配即將所收集的信息與專業(yè)數(shù)據(jù)庫的信息進行比較，從對比中查看網(wǎng)絡(luò)中是否存在安全問題，模式匹配的操作較為簡便，主要將所采集的數(shù)據(jù)錄入系統(tǒng)進行電腦審核即可，目前，電腦審核及時已經(jīng)相當?shù)某墒臁５?，模式匹配也存在些許的弊端，在使用的過程中，該匹配系統(tǒng)需要不斷的升級更新，并且只能應對出現(xiàn)過的黑客攻擊方法，無法檢測到黑客的新手段。 </p><p><

15、;b>　　2.統(tǒng)計分析 </b></p><p>　　統(tǒng)計分析主要通過創(chuàng)建統(tǒng)計描述，統(tǒng)計一些常用的測量數(shù)據(jù)，如訪問次數(shù)、操作失敗次數(shù)等等，將測量的平均值與正常范圍的數(shù)值進行對比，如果發(fā)現(xiàn)有異常的情況，就要及時的進行數(shù)據(jù)的檢查工作，看是否有惡意的入侵。統(tǒng)計報表可以檢測到未知的入侵，缺點就是存在缺報、漏報的情況，不適于家庭使用。 </p><p><b>　　3.完

16、整性分析 </b></p><p>　　完整性分析主要是檢查信號是否完整無誤，是否將該記錄號齊全的信息，如果發(fā)現(xiàn)信號分析完整性不夠，就要及時核對相關(guān)的數(shù)據(jù)，做出整改工作。 </p><p><b>　　參考文獻： </b></p><p>　　【1】楊興枝：系統(tǒng)入侵檢測的分類和技術(shù)分析，讀與寫(下旬){J}，2012,09(4) &