毕业论文-- 入侵检测系统技术分析和的研究.doc

摘要 近年来，随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，特别是各种官方机构的网站，成为黑客攻击的热门目标。网络安全则成为了一个无法回避的问题呈现在人们面前。然而，随着计算机网络知识的普及和日趋成熟，攻击工具与手法日趋复杂多样，仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为，网络的防卫必须采用一种纵深的、多样的手段。如无法解决安全后门问题，不能阻止网络内部攻击，而调查发现， 50％以上的攻击都来自内部；不能提供实时入侵检测能力；对于病毒束手无策等。因此非常多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测； 于是，入侵检测系统（IDS）能弥补防火墙的不足，在网络环境中的应用也越来越普遍，因为入侵检测系统是一种采取主动的安全防御技术以保护信息系统安全的重要手段，入侵检测系统成为了安全市场上新的热点，受到人们愈来愈多的的关注，而且已经开始在各种不同的环境中发挥其关键作用。 关键词：入侵检测系统 IDS 防火墙 发展趋势 目 录 摘要 1 1 入侵检测系统简介 4 1.1入侵检测系统（IDS）概念 4 1.1.1 概念 4 1.1.2入侵检测定义 4 1.2 入侵检测系统的分类 5 1.2.1按照控制策略分类 5 1.2.2按照技术分类 5 1.2.3按照信息源分类 6 1.2.4按照分析方法分类 6 1.2.5按照响应方式分类 6 1.3入侵检测系统的主要任务 7 1.4入侵检测系统的功能 7 1.5入侵检测的目的 8 2入侵检测系统常用的检测方法 8 2.1特征检测 8 2.2统计检测 8 2.3专家系统 9 2.4入侵响应 11 3 IDS的模型及其评价标准 12 3.1 IDS部署实例 12 3.2入侵检测系统模型 13 3.2 IDS评价的主要标准 14 4目前入侵检测系统IDS存在的缺陷 15 4.1高误警（误报）率 15 4.2 产品适应能力低 15 4.3 大型网络的管理问题 16 4.4 缺少防御功能 16 4.5 评价IDS产品没有统一标准 16 4.6 处理速度上的瓶颈 16 5 IDS的发展趋势 17 6 结束语 18 参考文献 19 致 谢 20 1 入侵检测系统简介 1.1入侵检测系统（IDS）概念 1.1.1 概念 入侵检测系统（Intrusion-detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，在其中他第一次系统阐述了入侵检测的概念，并将入侵行为分为外部滲透、内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想[1]。1986年Dorothy E.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型，命名为入侵检测专家系统（IDES）。1990年，L.T.Heberlein等设计出监视网络数据流的入侵检测系统，NSM(Network Security Monitor)。IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。自此之后，入侵检测系统才真正发展起来。 Anderson将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。 1.1.2入侵检测定义 入侵检测被定义为[3]：是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为：检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。 1.2 入侵检测系统的分类 现有的ISDS的分类，大都基于信息源和分析方法。未来体现对IDS从布局、采集、分析、相应等各个层次及系统性研究方面的问题，在这里采用五类标准：控制测略、技术、信息源、分析方法、响应方式。 1.2.1按照控制策略分类 控制策略描述了IDS的个元素是如何控制的，以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为，集中式IDS、部分分布式IDS和全部分分布式IDS。在集中式IDS中，一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中，监控和探测是有本地的一个控制点控制，层次似的将报告发向一个或多个中心站。在全分布式I