误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系
统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1 不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2 与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员
的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了
异常检测的方法。
4 入侵检测的
随着信息系统对一个国家的社会生产与国民
攻击者的攻击工具与手法日趋复杂化,信息战已逐步
被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1 分布式入侵检测与通用入侵检测架构
传统的
IDS 一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的 IDS 系统之间不能很好
地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2 应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的
IDS 仅能检测到诸如 Web 之类的通用协议,而不能处理 Lotus Notes、数据库
系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3 智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的
研究工作,需要对智能化的
IDS 加以进一步的研究,以解决其自学习与自适应能力。
4.4 入侵检测的评测方法
用户需对众多的
IDS 系统进行评价,评价指标包括 IDS 检测范围、系统资源占用、IDS 自身的可靠性,从而设计出通用的入侵检测测
试与评估方法与平台,实现对多种
IDS 的检测。
4.5 全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火
墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危
害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结
合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网
络的安全。
l 吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2 罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3 李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4 张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
5 蒋建春,冯登国.网络入侵检测原理与技术.北京:国防
出版社,
2001
6 粱晓诚.入侵检测方法研究.桂林工学院学报,2000;20(7):303— 306.