网络入侵检测技术

发布人

目前，互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害，甚至造成了极大的经济损失。
入侵检测系统IDS也逐渐成为保卫网络安全不可或缺的安全设备之一。因此，学习和研究IDS很有必要。下面分入侵检测系统起源、概念、分类、工作流程、模型、技术管理、未来趋势等八方面展开讨论。
一、入侵检测系统的起源
入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史，IDS这个概念诞生于1980年4月，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。
随后，1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。
1988年，SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出了IDES。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。
1990年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（Network Security Monitor）。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异常主机，从此以后，入侵检测系统发展史翻开了新的一页，基于网络的IDS和基于主机的IDS两大阵营正式形成。


二、入侵检测系统概念
入侵检测系统IDS（Intrusion Detection System）是用于监控网络和计算机系统被入侵或滥用的征兆，对这些征兆进行分析，然后提出安全策略的修补意见的系统。IDS系统是以后台进程的形式来进行运行的，发现可疑情况就会进行报警，通知到相关人员。同时入侵检测系统IDS是监控和识别攻击的一种有效方案，它往跟防火墙以及跟其它一些技术去配合使用，使得安全问题可以进行一个动态的有效防护。IDS通过分析网络行为、安全日志、审计数据和其他信息对应执行监视系统活动、审计系统漏洞、识别攻击行为和报警攻击。
如果说防火墙是一幢大楼的门锁，那入IDS就是这幢大楼里的监视系统CCTV了。与防火墙不同，IDS是一个监听设备，无需网络流量流经它，便可正常工作，即IDS采用旁路部署方式接入网络。
八、IDS未来趋势
很明显，现代的网络容易受到攻击，需要使用有效的入侵检测系统来防止攻击。在不断发展的网络场景中，需要越来越多的研究来实现这一目标。使用入侵防御系统 IPS（Intrusion Prevention System） 预防入侵是许多研究人员正在进步的领域之一。一些研究人员试图解决特定的攻击，如DoS，DDoS，蜜罐，虫洞，黑洞，Sybil攻击等，而另一些研究人员则试图探索云、物联网和边缘网络等未开发领域的入侵检测和预防。
右图是个具有专家系统的IDS结构图。入侵检测专家系统IDES（Intrusion Detection Expert System）是SRI公司CSL实验室20世纪80年代开始研究的一个综合入侵检测系统，同时采用专家系统（滥用检测）和统计分析（异常检测）两种检测技术。
未来具有自学习、自适应性的智能入侵检测技术，恰是目前计算机安全软件所缺乏而又迫切需要的。估计IDS将会结合其它网络管理工具，形成入侵检测、网络管理和网络监控等多位一体，并向智能化、自动化的方向发展。

好了！今天有关网络安全关键技术的入侵检测方面的知识分享到这里就结束了。最后做个免责说明：以上资料来自网络整理而成。如有侵权，请留言告知，核实后马上进行删除处理。
我是“四电老陈”，水平有限，欢迎大家留言点评，或加关注以便观看后续更新节目。感谢您的观看，我们下期再见！

打开封面下载高清视频观看高清视频视频下载器