上一篇：如何防止黑客侵害网络 >>

自动防御入侵

入侵检测技术是一种利用入侵者留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测与控制为技术本质，起着主动防御的作用，是网络安全中极其重要的部分。本文将简要介绍入侵检测技术的工作原理、分类、功能结构以及发展现状。

入侵检测技术原理

入侵检测可分为实时入侵检测和事后入侵检测两种。其原理分别如下图所示：

　　实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

入侵检测方法的分类

1.基于用户行为概率统计模型的入侵检测方法

　　这种入侵检测方法是基于对用户历史行为建模以及在早期的证据或模型的基础上，审计系统实时的检测用户对系统的使用情况，根据系统内部保存的用户行为概率统计模型进行检测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户改变他们的行为习惯时，这种异常就会被检测出来。

2.基于神经网络的入侵检测方法

　　这种方法是利用神经网络技术来进行入侵检测。因此，这种方法对用户行为具有学习和自适应功能，能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。但该方法还不成熟，目前还没有出现较为完善的产品。

3.基于专家系统的入侵检测技术

　　该技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上建立相应的专家系统，由此专家系统自动进行对所涉及的入侵行为的分析工作。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。

4.基于模型推理的入侵检测技术

　　该技术根据入侵者在进行入侵时所执行的某些行为程序的特征，建立一种入侵行为模型，根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否是属于入侵行为。当然这种方法也是建立在对当前已知的入侵行为程序的基础之上的，对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。

　　以上几种方法每一种都不能保证能准确地检测出变化无穷的入侵行为。因此在网络安全防护中要充分衡量各种方法的利弊，综合运用这些方法才能有效地检测出入侵者的非法行为。

入侵检测系统的功能和结构

　　总的来讲，入侵检测系统的功能有：

　　监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。

　　检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。

　　对用户的非正常活动进行统计分析，发现入侵行为的规律。

　　检查系统程序和数据的一致性与正确性。如计算和比较文件系统的校验和。

能够实时对检测到的入侵行为进行反应。

操作系统的审计跟踪管理。
　　根据以上入侵检测系统的功能，可以把它的功能结构分为两个大的部分：中心检测平台和代理服务器。代理服务器是负责从各个操作系统中采集审计数据，并把审计数据转换成平台无关的格式后传送到中心检测平台，或者把中心平台的审计数据需求传送到各个操作系统中。而中心检测平台由专家系统、知识库和管理员组成，其功能是根据代理服务器采集来的审计数据进行专家系统分析，产生系统安全报告。管理员可以向各个主机提供安全管理功能，根据专家系统的分析向各个代理服务器发出审计数据的需求。另外，在中心检测平台和代理服务器之间是通过安全的rpc进行通信。其功能结构如右图所示：
入侵检测技术的发展现状

　　目前国外一些研究机构已经开发出了应用于不同操作系统的几种典型的入侵检测系统（ids），它们通常采用静态异常模型和规则的误用模型来检测侵入。这些ids的检测基本是基于服务器或基于网络的。基于服务器的ids采用服务器操作系统的检测序列作为主要输入源来检测侵入行为，而大多数基于网络的ids则以监控网络故障作为检测机制，但有些则用基于服务器的检测模式和典型的ids静态异常算法。早期的ids模型设计用来监控单一服务器，是基于主机的入侵检测系统；然而近期的更多模型则集中用于监控通过网络互连的多服务器，是基于网络的侵入检测系统。

　　总之，由于入侵检测技术在网络安全防护中所起的作用至关重要，因此受到了广泛的重视。我们相信随着检测技术的不断改进和提高，我们将能构造出更加安全可靠的网络防护体系。

（）

返回顶部

下一篇：远程检测MS SQL Server账号安全性 >>