论文部分内容阅读
【摘 要】在信息技术高速发展的今天,入侵检测系统在网络安全的防卫方面起到了至关重要的作用。正是基于这一基础,本文阐述了IDS在网络安全具体应用中存在的问题,并结合存在的问题概况了IDS的发展趋势。
【关键词】IDS 应用 问题 趋势
随着现代科学和技术的不断提高,在给我们带来快乐的同时,也给我们的学习、工作、生活带来很多不便,最明显即网络安全问题:国家、单位、个人的信息频频泄露、黑客攻击事件频繁发生、病毒变种多种多样等等,这都给网络的安全性敲响了警钟,安全防护问题备受各方关注。
一、IDS介绍
IDS(Intrusion Detection Systems的简称),入侵检测系统。即识别针对计算机或网络资源的恶意企图和行为并对此做出反应的过程。它通过对网络系统的运行状况进行监视,采用匹配技术通过一定的安全策略尽可能的去发现各种攻击事件,用以保证网络系统中资源的机密性、完整性,属于一种监听系统。
二、IDS在网络安全應用中存在的不足
(一)存在误报、漏报现象。入侵检测系统根据不同的分类方式,有不同的分类,而不论是哪种分类方式,其检测方法都在某种程度上存在缺陷,例如,依据数据的分析与匹配方法,常将IDS分为基于误用检测与基于异常检测两种而这些检测方式都存在某种程度上的缺陷。具体说,基于统计分析的入侵检测系统能通过训练方式来保证它和入侵模式相适应,借助于一次次训练来保证入侵事件与正常操作的统计规律相符合,从而将入侵事件看作是正常事件,而导致漏报现象的产生。
(二)缺少主动防御能力。任何事物都具有两面性的特征,IDS也一样,它能够检测黑客在攻击前的探测行为并进行预警;对计算机系统或网络的内部攻击、外部攻击以及误操作等行为进行实时防护,但是它由于采用了预设置式、特征分析式的工作原理,监听方式的入侵检测,事后报警的特性,使它在整个安全防御过程中处于被动防御状态,其规则的更新总是落后于攻击手段的更新。尤其当网络环境变得复杂时,迟钝性显的更为明显。
(三)定位和处理机制不够准确。IDS不能识别数据来源,仅能识别IP地址,无法定位IP地址,缺乏更有效的响应处理机制。因此在发现攻击事件的时候,它只能关闭服务器和网络出口等少数端口,但在关闭同时它会影响其他正常用户的使用。
(四)应用中存在隐私和安全,单一产品和复杂网络应用的矛盾。入侵检测系统能够对网络中的全部数据进行收集,此外还可以对这些数据进行记录和分析,这对网络安全非常重要,但是对数据进行记录和分析就很有可能对用户的隐私造成一定威胁。同时,入侵检测产品最初的目的是为了检测网络的攻击,但随着网络的日趋复杂,仅仅检测网络中的攻击已经远远无法满足目前复杂的网络应用需求。这就导致管理员难以分清是由于攻击引起还是网络故障引起的网路问题,以及是否可以将目前网络中的其他安全产品进行配合的问题等。
三、IDS的发展趋势
(一)减少误报和漏报现象,提高检测的精确度。为了提高网络的安全性,入侵检测系统要提高其检测的精确度,减少误报和漏报现象。在这方面,可以使用智能化的方法与手段来进行入侵检测,利用现阶段常用的如模糊逻辑和模糊、推理粗糙集理论、数据挖掘技术软计算等理论和方法单独或集成使用,以满足网络安全实时性和实际检测的需要,从而减少漏报或误报的现象的发生。特别要实现知识库的不断升级与扩展,使设计的入侵检测系统防范能力不断增强,具有更广泛的应用前景,为 IDS 的研究和发展注入新的活力。
(二)与其他系统进行融合或集成。为了弥补IDS和防火墙被动防御的缺陷,要在静态取证的基础上,利用动态监测的方法进行动态取证,将动态取证技术融入到防火墙和入侵检测系统中,对一切可能的通信网络中的计算机犯罪行为进行动态监测,智能分析,在确保系统安全运行的情况下诱使对方深入,并尽可能的获取大量证据,从而有针对性的提出应对策略,指导相应的入侵检测系统做出实时相应,形成防火墙、入侵检测与计算机取证系统联动的效果,从外部和内部共同保障网络安全,构建完整的网络安全体系。
(三)提高IDS的安全性、速度性。当前,入侵检测系统作为一种安全技术产品,其自身安全极为重要。与其他系统一样,IDS本身也存在安全漏洞,倘若对IDS的攻击成功,就会导致报警失灵,将无法被记录入侵者在其后的行为,这就要求系统采取多种防护措施,在保障网络安全的同时,首先要提高其自身的安全性,从而避免入侵者利用其自身的脆弱性和不足有机可乘。
(四)实现分布式协同检测和应用层入侵检测,构建全面安全的防御体系。由于现在的IDS只能够对通用协议进行检测,例如Web协议,不能处理其他的应用系统。而许多入侵的语义只有在应用层才能理解,因而很多基于客户/服务器结构、中间件技术和对象技术的大型应用,都应该得到应用层的入侵检测保护。入侵检测技术只是网络安全防御与响应构造中的一个枝节,要提升网络系统的安全性,就需要将不同的网络安全技术联合在一起,将分布式协同检测和应用层入侵检测都纳入到IDS系统,从而构筑完整的网络安全检测、响应和防护体系结构,提供完整的网络安全保障。
(五)构建标准化的入侵检测系统。近几年,很多企业和网络公司都投入到这一领域,但就目前而言入侵检测系统还缺乏相应的标准,不同的IDS之间几乎不能实现数据交换和信息通信。为了能够构建出各入侵检测响应系统间的信息共享,以及对信息和数据的格式进行交换,以及实现系统管理的需要,美国国防高级研究计划署和互联网工程任务组 IETF 的入侵检测工作组(IDWG)已经制定出了关于IDS 规范化的一系列标准草案。但还不够成熟,仍在不断地改进和完善中,但是入侵检测系统的标准化是其发展的必然方向。
参考文献:
[1]彭建.IDS入侵检测系统研究[J].科技广场,2011,6:31-34
[2]龚民,孙建华,朱秀兰.入侵检测系统的分析技术研究[J].电脑知识与技术,2009,34:53-55
[3]丛慧源.浅析入侵检测系统存在问题及发展趋势[J].网络通讯及安全,2009,2:796-797
【关键词】IDS 应用 问题 趋势
随着现代科学和技术的不断提高,在给我们带来快乐的同时,也给我们的学习、工作、生活带来很多不便,最明显即网络安全问题:国家、单位、个人的信息频频泄露、黑客攻击事件频繁发生、病毒变种多种多样等等,这都给网络的安全性敲响了警钟,安全防护问题备受各方关注。
一、IDS介绍
IDS(Intrusion Detection Systems的简称),入侵检测系统。即识别针对计算机或网络资源的恶意企图和行为并对此做出反应的过程。它通过对网络系统的运行状况进行监视,采用匹配技术通过一定的安全策略尽可能的去发现各种攻击事件,用以保证网络系统中资源的机密性、完整性,属于一种监听系统。
二、IDS在网络安全應用中存在的不足
(一)存在误报、漏报现象。入侵检测系统根据不同的分类方式,有不同的分类,而不论是哪种分类方式,其检测方法都在某种程度上存在缺陷,例如,依据数据的分析与匹配方法,常将IDS分为基于误用检测与基于异常检测两种而这些检测方式都存在某种程度上的缺陷。具体说,基于统计分析的入侵检测系统能通过训练方式来保证它和入侵模式相适应,借助于一次次训练来保证入侵事件与正常操作的统计规律相符合,从而将入侵事件看作是正常事件,而导致漏报现象的产生。
(二)缺少主动防御能力。任何事物都具有两面性的特征,IDS也一样,它能够检测黑客在攻击前的探测行为并进行预警;对计算机系统或网络的内部攻击、外部攻击以及误操作等行为进行实时防护,但是它由于采用了预设置式、特征分析式的工作原理,监听方式的入侵检测,事后报警的特性,使它在整个安全防御过程中处于被动防御状态,其规则的更新总是落后于攻击手段的更新。尤其当网络环境变得复杂时,迟钝性显的更为明显。
(三)定位和处理机制不够准确。IDS不能识别数据来源,仅能识别IP地址,无法定位IP地址,缺乏更有效的响应处理机制。因此在发现攻击事件的时候,它只能关闭服务器和网络出口等少数端口,但在关闭同时它会影响其他正常用户的使用。
(四)应用中存在隐私和安全,单一产品和复杂网络应用的矛盾。入侵检测系统能够对网络中的全部数据进行收集,此外还可以对这些数据进行记录和分析,这对网络安全非常重要,但是对数据进行记录和分析就很有可能对用户的隐私造成一定威胁。同时,入侵检测产品最初的目的是为了检测网络的攻击,但随着网络的日趋复杂,仅仅检测网络中的攻击已经远远无法满足目前复杂的网络应用需求。这就导致管理员难以分清是由于攻击引起还是网络故障引起的网路问题,以及是否可以将目前网络中的其他安全产品进行配合的问题等。
三、IDS的发展趋势
(一)减少误报和漏报现象,提高检测的精确度。为了提高网络的安全性,入侵检测系统要提高其检测的精确度,减少误报和漏报现象。在这方面,可以使用智能化的方法与手段来进行入侵检测,利用现阶段常用的如模糊逻辑和模糊、推理粗糙集理论、数据挖掘技术软计算等理论和方法单独或集成使用,以满足网络安全实时性和实际检测的需要,从而减少漏报或误报的现象的发生。特别要实现知识库的不断升级与扩展,使设计的入侵检测系统防范能力不断增强,具有更广泛的应用前景,为 IDS 的研究和发展注入新的活力。
(二)与其他系统进行融合或集成。为了弥补IDS和防火墙被动防御的缺陷,要在静态取证的基础上,利用动态监测的方法进行动态取证,将动态取证技术融入到防火墙和入侵检测系统中,对一切可能的通信网络中的计算机犯罪行为进行动态监测,智能分析,在确保系统安全运行的情况下诱使对方深入,并尽可能的获取大量证据,从而有针对性的提出应对策略,指导相应的入侵检测系统做出实时相应,形成防火墙、入侵检测与计算机取证系统联动的效果,从外部和内部共同保障网络安全,构建完整的网络安全体系。
(三)提高IDS的安全性、速度性。当前,入侵检测系统作为一种安全技术产品,其自身安全极为重要。与其他系统一样,IDS本身也存在安全漏洞,倘若对IDS的攻击成功,就会导致报警失灵,将无法被记录入侵者在其后的行为,这就要求系统采取多种防护措施,在保障网络安全的同时,首先要提高其自身的安全性,从而避免入侵者利用其自身的脆弱性和不足有机可乘。
(四)实现分布式协同检测和应用层入侵检测,构建全面安全的防御体系。由于现在的IDS只能够对通用协议进行检测,例如Web协议,不能处理其他的应用系统。而许多入侵的语义只有在应用层才能理解,因而很多基于客户/服务器结构、中间件技术和对象技术的大型应用,都应该得到应用层的入侵检测保护。入侵检测技术只是网络安全防御与响应构造中的一个枝节,要提升网络系统的安全性,就需要将不同的网络安全技术联合在一起,将分布式协同检测和应用层入侵检测都纳入到IDS系统,从而构筑完整的网络安全检测、响应和防护体系结构,提供完整的网络安全保障。
(五)构建标准化的入侵检测系统。近几年,很多企业和网络公司都投入到这一领域,但就目前而言入侵检测系统还缺乏相应的标准,不同的IDS之间几乎不能实现数据交换和信息通信。为了能够构建出各入侵检测响应系统间的信息共享,以及对信息和数据的格式进行交换,以及实现系统管理的需要,美国国防高级研究计划署和互联网工程任务组 IETF 的入侵检测工作组(IDWG)已经制定出了关于IDS 规范化的一系列标准草案。但还不够成熟,仍在不断地改进和完善中,但是入侵检测系统的标准化是其发展的必然方向。
参考文献:
[1]彭建.IDS入侵检测系统研究[J].科技广场,2011,6:31-34
[2]龚民,孙建华,朱秀兰.入侵检测系统的分析技术研究[J].电脑知识与技术,2009,34:53-55
[3]丛慧源.浅析入侵检测系统存在问题及发展趋势[J].网络通讯及安全,2009,2:796-797