好文档 - 专业文书写作范文服务资料分享网站

浅析入侵检测系统与入侵防御系统的应用

天下 分享 时间: 加入收藏 我要投稿 点赞

浅析入侵检测系统与入侵防御系统的应用

聂 巍

【摘 要】摘 要:为让网络安全管理员能清晰了解入侵检测系统与入侵防御系统的不同,以便实际工作中选择符合需求的设备。本文首先介绍了入侵检测与入侵防御系统的工作原理,然后对入侵检测系统与入侵防御系统进行了比较,最后总结入侵检测与入侵防御系统的适用的不同需求。 【期刊名称】武汉冶金管理干部学院学报 【年(卷),期】2012(000)004 【总页数】3

【关键词】关键词:入侵防御系统;IPS;入侵检测系统;IDS;安全

伴随Internet高速发展,网络入侵事件不断增加,入侵攻击水平不断提高,尤其中国遭受境外的网络攻击持续增多,据《2011年中国互联网网络安全态势报告》统计,2011年境外参与控制中国境内主机用作木马或僵尸网络控制服务器的IP地址有近4.7万个,其数量虽然较2010年的22.1万大幅降低,但其控制的境内主机数量却比2010年增加近400万,呈现大规模化趋势。开放大学的构建以现有的远程教育资源为基础,而现有远程教育主要以计算机网络为依托,要创建开放大学网络安全的重要性不言而喻。选择怎样的安全设备检测抵御来自网络的不安全行为是网络安全管理员面临的新问题,入侵检测系统(IDS)和入侵防御系统(IPS)作为网络安全设备有效构成部分中的一员特别容易混淆,那么校园网应该采用IDS,还是IPS,还是两个都用呢?网络安全管理员应该采用怎样的判断标准呢?他们的区别和作用是什么呢?IPS的出现和发展是不是将会完全代替IDS?下面我们来做一下分析。

一、入侵检测系统与入侵防御系统的历史

1980年4月,James P.Anderson为美国空军做了一份题为《计算机安全威胁监控与监视》的技术报告,入侵检测(Intrusion Detection)的概念被第一次详细阐述。他提出了利用审计数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。1984年至1986年乔治敦大学的Dorothy E.Denning提出实时异常检测的概念并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES)。模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵系统提供了一个通用的框架。1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor),之后入侵检测系统才真正发展起来。Anderson将入侵检测定义为:检测企图破坏计算机资源的完整性、真实性和可用性的行为。在过去的几十年间,入侵检测的研究达到了高度先进的水平。入侵检测系统IDS(Intrusion Detection System)一般是指分析系统活动信息,分析恶意行为监测数据,以及分析未授权行为的过程。IDS可以分为基于特征(Signaturebased)的和基于异常(anomaly-based)的。基于特征的IDS的工作原理与杀毒类似,查询和已知恶意事件匹配的特征。基于异常的IDS查询网络协议、用户、流量行为模式或系统(核心)调用中的异常行为。

一般来说,任何一种入侵检测系统都能发生警报或记录恶意行为。一旦入侵检测系统检测到恶意行为,它便采取回避或纠正行为来制止进攻以确保计算机环境的安全性。这样一种防御措施就叫做入侵防御。当入侵检测系统弹出警报时,系统管理员要负责检查发出警报的每一个细节,然后进行适当的防御。遗憾的是,网络安全管理员既不能跟上入侵检测系统的步伐,也不能在合理的时间限定内根据这些警报做出合适的反应。不仅如此,这些人工防御既没有灵活性也无效率,它们完

全依靠于网络安全管理员的专业知识。但是,自动防御系统却能弥补这一缺陷,它们可以对警报实施更快更准确的防御,这一功能在许多分层系统中都要用到的。自动入侵防御就是指一种不在人为干涉下而自动选择防御方式的机制。它主要的优点就在于能从检测时间中减少防御等待时间,以及为各系统提供一致并精准的防御。与此同时,这种自动防御系统还可以减少某些情况的发生,比如许多网络安全管理员都未能考虑到与防御相关的成本问题。入侵防御系统IPS(IntrusionPrevention System)于20世纪90年代被发明,较防火墙技术的一个显著的优势在于,IPS能够基于应用层来进行访问控制,而不像防火墙那样以IP地址和端口号来判断。一个IPS应该也是一个优秀的IDS,这样才能确保较低的误报频率。某些IPS还能抵抗可能造成攻击的漏洞,比较典型的例子是缓冲区溢出。

二、入侵检测系统与入侵防御系统的工作原理

IDS通常用于检测不正常行为,意在造成网络实质性破坏之前发现其行为。包括网络型(NIDS)和主机型(HIDS)等多种类型。NIDS分析网络流量数据以及检测任意两个相互作用的系统间的恶意活动。Snort就是一个网络型入侵检测系统的实例。HIDS主要监测并分析计算机系统中诸如存储器、文件系统、账户等内部装置来发现异常行为,而非外部接口。OSSEC就是一个开源主机型检测系统的实例,并且市场上开源HIDS的供应量有很多。

IDS工作方式包括检测已知攻击信号和检测反常行为两种。这些反常或异常行为在协议和应用层被检测到。他们可以有效地检测到诸如漏洞扫描,DNS攻击和其他的恶意数据包。IDS主要是对那些异常的或可能是入侵行为的数据进行检测和报警。几乎所有的IDS系统在攻击事件发生之前,无法提前发出警报。而

浅析入侵检测系统与入侵防御系统的应用

浅析入侵检测系统与入侵防御系统的应用聂巍【摘要】摘要:为让网络安全管理员能清晰了解入侵检测系统与入侵防御系统的不同,以便实际工作中选择符合需求的设备。本文首先介绍了入侵检测与入侵防御系统的工作原理,然后对入侵检测系统与入侵防御系统进行了比较,最后总结入侵检测与入侵防御系统的适用的不同需求。【期刊名称】武汉冶金管理干部学院学
推荐度:
点击下载文档文档为doc格式
9rqrj5afyj83hrt8bf1m52amw9lhr30087p
领取福利

微信扫码领取福利

微信扫码分享