本文由jiaotao_jj贡献pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。第9卷%第11期软件导刊2010年11月SoftwareGuideVol.9No.11Nov.2010入侵检测技术的研究现状及其发展毕战科1,许胜礼2(洛阳一拖职业教育学院理论教学部,河南洛阳471039;2.河南经贸职业学院电子工程系,河南郑州450001摘要:在对当前主流入侵检测技术及系统进行详细研究分析的基础上,提出了面临亟待解决的问题,并对其现状和未来发展趋势进行阐述。同时对目前市场上一些较有影响的入侵检测产品也给与了一定的介绍,以供用户参考。关键词:网络安全;入侵检测技术;入侵检测系统(IDS中图分类号:TP393.08文献标识码:A文章编号:1672-7800(201011-0152-031入侵检测技术与其发展历程入侵检测研究起源于20世纪70年代末,詹姆斯·安德森和完善,基于网络的入侵检测技术已经成为主流。目前,入侵检测一般采用误用检测技术和异常检测技术。误用检测技术(MisuseDetection误用检测又称特征检测(Signature-baseddetection,它是假定所有入侵者的活动都能够表达为一种特征或模式,分析已知的入侵行为并建立特征模型,这样对入侵行为的检测就转化为对特征或模式的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。误用入侵检测技术对已知的攻击有较高的检测准确度,但不能很好检测到新型的攻击或已知攻击的变体。需要不断的升级模型才能保证系统检测能力的完备性。目前大部分的商业化入侵检测系统都采用误用检测技术构建。误用检测技术又可分为3种:基于模式匹配的误用检测、基于专家系统的误用检测和基于状态转换分析的误用检测。(1基于模式匹配的误用检测。这是一种最传统、最简单的入侵检测技术。它建立一个攻击特征库,然后将事件记录同存放在特征库中的记录逐一比较,判断是否存在攻击。这种检测技术原理简单、扩展性好、效率高;缺点是计算负荷大,误报率也较高。由于系统的实现、配置、维护都很方便,模式匹配技术得到了广泛的应用,Snort和大部分商用IDS都采用了这种技术。(2基于专家系统的误用检测。早期的IDS多采用这种技术。它将有关入侵的知识转化为IF-THEN结构的规则,即将构成入侵所要求的条件转化为IF部分,将发现入侵后采取的相应措施转化成THEN部分。当其中某个或部分条件满足时,系统就判断为入侵行为发生。其中的IF-THEN结构构成了描2.1(JamesP.Anderson首先提出了这个概念。1980年,“他的一篇题为ComputerSecurityThreatMonitoringandSurveillance”论文首次详细阐述了入侵及入侵检测的概念,提出了利用审计跟踪数据监视入侵活动的思想,该论文被认为是该领域最早的出版物。1984到1986年,乔治敦大学的桃乐茜·顿宁(DorothyDenning和彼得·诺埃曼(PeterNeumann合作研究并开发出一个实时入侵检测系统模型,称作入侵检测专家系统(IDES,桃乐茜·顿宁并于1987“年出版了论文AnIntrusionDetectionModel”,该文为其他研究者提供了通用的方法框架,从而导致众多的研究者参与到该领域中来。1990年,加州大学戴维斯分校L.T.Heberlein—等人提出并开发了基于网络的入侵检测系统——网络系统监控器NSM(NetworkSecurityMonitor。该系统第一次直接监控以太网段上的网络数据流,并把它作为分析审计的主要数据源。自此,入侵检测系统发展史翻开了新的一页。从20世纪90年代到现在,对入侵检测系统的研发工作己呈现出百家争鸣的繁荣局面。目前,加州大学戴维斯分校、哥伦比亚大学、新墨西哥大学、普渡大学、斯坦福国际研究所(SRI等机构在该领域研究的代表了当前的最高水平。2主流入侵检测技术及方法入侵检测技术在信息安全强烈需求下得到了不断的发展作者简介:毕战科(1969-,女,河南洛阳人,洛阳一拖职业教育学院助教,研究方向为数控技术;许胜礼(1969-,男,河南洛阳人,硕士,河南经贸职业学院工程师,研究方向为信息安全。第11期毕战科,许胜礼:入侵检测技术的研究现状及其发展·153·述具体攻击的规则库。专家系统的优点是系统智能化程度高;缺点是规则库构造及升级困难,系统的处理速度低,难以商用化。(3基于状态转换分析的误用检测。状态转换分析技术最早由R.Kemmerer提出,即将状态转换图应用于入侵行为的分析,利用有限状态自动机来模拟入...