入侵檢測技術綜之不可忽視的社會工程學

2019-11-17 04:56:37

字體：大中小

來源：轉載

供稿：網友

入侵檢測技術綜述

1.什么是入侵檢測，為什么需要入侵檢測？

1.1 為什么需要入侵檢測

1.1. 1黑客攻擊日益猖獗，防范問題日趨嚴重

隨著計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、文件處理，基于簡單連結的內部網絡的內部業務處理、辦公自動化等發展到基于企業復雜的內部網、企業外部網、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網絡連接的安全問題也日益突出：

● 具Warroon Research的調查，1997年世界排名前一千的公司幾乎都曾被黑客闖入。

● 據美國FBI統計，美國每年因網絡安全造成的損失高達75億美元。

● Ernst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業遭受損失

● 在最近一次黑客大規模的攻擊行動中，雅虎網站的網絡停止運行3小時，這令它損失了幾百萬美金的交易。而據統計在這整個行動中美國經濟共損失了十多億美金。由于業界人心惶惶，亞馬遜(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股價均告下挫，以科技股為主的那斯達克指數(Nasdaq)打破過去連續三天創下新高的升勢，下挫了六十三點，杜瓊斯工業平均指數周三收市時也跌了二百五十八點。遇襲的網站包括雅虎、亞馬遜和Buy.com、MSN.com、網上拍賣行eBay以及新聞網站CNN.com，估計這些襲擊把Internet交通拖慢了百分二十。"

看到這些令人震動的事件，不禁讓人們發出疑問："網絡還安全嗎？"

目前，我國網站所受到黑客的攻擊，還不能與美國的情況相提并論，因為我們在用戶數、用戶規模上還都處在很初級的階段，但以下事實也不能不讓我們深思：

1993年底，中科院高能所就發現有"黑客"侵入現象，某用戶的權限被升級為超級權限。當系統治理員跟蹤時，被其報復。1994年，美國一位14歲的小孩通過互聯網闖入中科院網絡中心和清華的主機，并向我方系統治理員提出警告。

1996年，高能所再次遭到"黑客"入侵，私安閑高能所主機上建立了幾十個帳戶，經追蹤發現是國內某撥號上網的用戶。

同期，國內某ISP發現"黑客"侵入其主服務器并刪改其帳號治理文件，造成數百人無法正常使用。

1997年，中科院網絡中心的主頁面被"黑客"用魔鬼圖替換。

進入1998年，黑客入侵活動日益猖獗，國內各大網絡幾乎都不同程度地遭到黑客的攻擊：

2月，廣州視聆通被黑客多次入侵，造成4小時的系統失控；

4月，貴州信息港被黑客入侵，主頁被一幅淫穢圖片替換；

5月，大連ChinaNET節點被入侵，用戶口令被盜；

6月，上海熱線被侵入，多臺服務器的治理員口令被盜，數百個用戶和工作人員的賬號和密碼被竊??；

7月，江西169網被黑客攻擊，造成該網3天內中斷網絡運行2次達30個小時，工程驗收推遲20天；

同期，上海某證券系統被黑客入侵；

8月，印尼事件激起中國黑客集體入侵印尼網點，造成印尼多個網站癱瘓，但與此同時，中國的部分站點遭到印尼黑客的報復；

同期，西安某銀行系統被黑客入侵后，提走80.6萬元現金。

9月，揚州某銀行被黑客攻擊，利用虛存帳號提走26萬元現金。

10月，福建省圖書館主頁被黑客替換。

1.1.2 傳統的安全產品足夠嗎？

Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點:

(1) 每一種安全機制都有一定的應用范圍和應用環境。防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。

(2) 安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統治理者和普通用戶，不正當的設置就會產生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態掃描工具來檢測系統是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判定設置的正確性。

(3) 系統的后門是傳統安全工具難于考慮到的地方。防火墻很難考慮到這類安全問題，多數情況下，這類入侵行為可以堂而皇之經過防火墻而很難被察覺；比如說，眾所周知的asp 源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。對于這類入侵行為，防火墻是無法發覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區別是入侵訪問在請求鏈接中多加了一個后綴。

(4) 只要有程序，就可能存在BUG。甚至連安全工具本身也可能存在安全的漏洞。幾乎天天都有新的BUG被發現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG，現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

(5) 黑客的攻擊手段在不斷地更新，幾乎天天都有不同系統安全問題出現。然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

對于以上提到的問題，很多組織正在致力于提出更多的更強大的主動策略和方案來增強網絡的安全性，然而另一個更為有效的解決途徑就是入侵檢測。在入侵檢測之前，大量的安全機制都是根據從主觀的角度設計的,他們沒有根據網絡攻擊的具體行為來決定安全對策，因此，它們對入侵行為的反應非常遲鈍，很難發現未知的攻擊行為，不能根據網絡行為的變化來及時地調整系統的安全策略。而入侵檢測正是根據網絡攻擊行為而進行設計的，它不僅能夠發現已知入侵行為，而且有能力發現未知的入侵行為，并可以通過學習和分析入侵手段，及時地調整系統策略以加強系統的安全性。

1.2什么是入侵檢測

入侵檢測是對傳統安全產品的合理補充，幫助系統對付網絡攻擊，擴展了系統治理員的安全治理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干要害點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現：

　◆ 監視、分析用戶及系統活動；

　◆ 系統構造和弱點的審計；

　◆ 識別反映已知進攻的活動模式并向相關人士報警；

　◆ 異常行為模式的統計分析；

　◆ 評估重要系統和數據文件的完整性；

　◆ 操作系統的審計跟蹤治理，并識別用戶違反安全策略的行為。

對一個成功的入侵檢測系統來講，它不但可使系統治理員時刻了解網絡系統（包括程序、文件和硬件設備等）的任何變更，還能給網絡安全策略的制訂提供指南。更為重要的一點是，它應該治理、配置簡單，從而使非專業人員非常輕易地獲得網絡安全。而且，入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后，會及時作出響應，包括切斷網絡連接、記錄事件和報警等。

2.入侵檢測技術簡介

2.1入侵檢測系統功能構成

一個入侵檢測系統的功能結構如圖一所示，它至少包含事件提取、入侵分析、入侵響應和遠程治理四部分功能。

事件提取功能負責提取與被保護系統相關的運行數據或記錄，并負責對數據進行簡單的過濾。

入侵分析的任務就是在提取到的運行數據中找出入侵的痕跡，將授權的正常訪問行為和非授權的不正常訪問行為區分開，分析出入侵行為并對入侵者進行定位。

入侵響應功能在分析出入侵行為后被觸發，根據入侵行為產生響應。

由于單個入侵檢測系統的檢測能力和檢測范圍的限制，入侵檢測系統一般采用分布監視集中治理的結構，多個檢測單元運行于網絡中的各個網段或系統上，通過遠程治理功能在一臺治理站點上實現統一的治理和監控。

2.2入侵檢測系統分類

入侵檢測系統根據其檢測數據來源分為兩類[7]：基于主機的入侵檢測系統和基于網絡的入侵檢測系統。基于主機的入侵檢測系統從單個主機上提取數據（如審計記錄等）作為入侵分析的數據源，而基于網絡的入侵檢測系統從網絡上提取數據（如網絡鏈路層的數據幀）作為入侵分析的數據源。通常來說基于主機的入侵檢測系統只能檢測單個主機系統，而基于網絡的入侵檢測系統可以對本網段的多個主機系統進行檢測，多個分布于不同網段上的基于網絡的入侵檢測系統可以協同工作以提供更強的入侵檢測能力。

2.2.1基于主機的入侵檢測系統

基于主機的入侵檢測系統將檢測模塊駐留在被保護系統上，通過提取被保護系統的運行數據并進行入侵分析來實現入侵檢測的功能。

基于主機的入侵檢測系統可以有若干種實現方法：

檢測系統設置以發現不正當的系統設置和系統設置的不正當更改。例如COPS（Computer Oracle and PassWord System）系統。

對系統安全狀態進行定期檢查以發現不正常的安全狀態，例如Tripwire系統。

通過替換服務器程序，在服務器程序與遠程用戶之間增加一個中間層，在該中間層中實現跟蹤和記錄遠程用戶的請求和操作。例如TCPwrapper。

基于主機日志的安全審計，通過分析主機日志來發現入侵行為。

基于主機的入侵檢測系統具有檢測效率高，分析代價小，分析速度快的特點，能夠迅速并準確地定位入侵者，并可以結合操作系統和應用程序的行為特征對入侵進行進一步分析。目前很多是基于主機日志分析的入侵檢測系統?；谥鳈C的入侵檢測系統存在的問題是: 首先它在一定程度上依靠于系統的可靠性，它要求系統本身應該具備基本的安全功能并具有合理的設置，然后才能提取入侵信息；即使進行了正確的設置，對操作系統熟悉的攻擊者仍然有可能在入侵行為完成后及時地將系統日志抹去，從而不被發覺；并且主機的日志能夠提供的信息有限，有的入侵手段和途徑不會在日志中有所反映，日志系統對有的入侵行為不能作出正確的響應，例如利用網絡協議棧的漏洞進行的攻擊，通過ping命令發送大數據包，造成系統協議棧溢出而死機，或是利用ARP欺騙來偽裝成其他主機進行通信，這些手段都不會被高層的日志記錄下來。在數據提取的實時性、充分性、可靠性方面基于主機日志的入侵檢測系統不如基于網絡的入侵檢測系統。

2.2.2基于網絡的入侵檢測系統

基于網絡的入侵檢測系統通過網絡監視來實現數據提取。在Internet中，局域網普遍采用IEEE 802.3協議。該協議定義主機進行數據傳輸時采用子網廣播的方式，任何一臺主機發送的數據包，都會在所經過的子網中進行廣播，也就是說，任何一臺主機接收和發送的數據都可以被同一子網內的其他主機接收。在正常設置下，主機的網卡對每一個到達的數據包進行過濾，只將目的地址是本機的或廣播地址的數據包放入接收緩沖區，而將其他數據包丟棄，因此，正常情況下網絡上的主機表現為只關心與本機有關的數據包，但是將網卡的接收模式進行適當的設置后就可以改變網卡的過濾策略，使網卡能夠接收經過本網段的所有數據包，無論這些數據包的目的地是否是該主機。網卡的這種接收模式被稱為混雜模式，目前絕大部分網卡都提供這種設置，因此，在需要的時候，對網卡進行合理的設置就能獲得經過本網段的所有通信信息，從而實現網絡監視的功能。在其他網絡環境下，雖然可能不采用廣播的方式傳送報文，但目前很多路由設備或交換機都提供數據報文監視功能。

網絡監視具有良好的特性：理論上，網絡監視可以獲得所有的網絡信息數據，只要時間答應，可以在龐大的數據堆中提取和分析需要的數據；可以對一個子網進行檢測，一個監視模塊可以監視同一網段的多臺主機的網絡行為；不改變系統和網絡的工作模式，也不影響主機性能和網絡性能；處于被動接收方式，很難被入侵者發現；可以從低層開始分析，對基于協議攻擊的入侵手段有較強的分析能力。網絡監視的主要問題是監視數據量過于龐大并且它不能結合操作系統特征來對網絡行為進行準確的判定。

由于基于網絡的入侵檢測方式具有較強的數據提取能力，因此目前很多入侵檢測系統傾向于采用基于網絡的檢測手段來實現。

2.3入侵檢測分析技術

入侵分析的任務就是在提取到的龐大的數據中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測規則進行比較，從而發現入侵行為。一方面入侵檢測系統需要盡可能多地提取數據以獲得足夠的入侵證據，而另一方面由于入侵行為的千變萬化而導致判定入侵的規則越來越復雜，為了保證入侵檢測的效率和滿足實時性的要求，入侵分析必須在系統的性能和檢測能力之間進行權衡，合理地設計分析策略，并且可能要犧牲一部分檢測能力來保證系統可靠、穩定地運行并具有較快的響應速度。

分析策略是入侵分析的核心，系統檢測能力很大程度上取決于分析策略。在實現上，分析策略通常定義為一些完全獨立的檢測規則?；诰W絡的入侵檢測系統通常使用報文的模式匹配或模式匹配序列來定義規則，檢測時將監聽到的報文與模式匹配序列進行比較，根據比較的結果來判定是否有非正常的網絡行為。這樣以來，一個入侵行為能不能被檢測出來主要就看該入侵行為的過程或其要害特征能不能映射到基于網絡報文的匹配模式序列上去。有的入侵行為很輕易映射，如ARP欺騙，但有的入侵行為是很難映射的，如從網絡上下載病毒。對于有的入侵行為，即使理論上可以進行映射，但是在實現上是不可行的，比如說有的網絡行為需要經過非常復雜的步驟或較長的過程才能表現其入侵特性，這樣的行為由于具有非常龐大的模式匹配序列，需要綜合大量的數據報文來進行匹配，因而在實際上是不可行的。而有的入侵行為由于需要進行多層協議分析或有較強的上下文關系，需要消耗大量的處理能力來進行檢測，因而在實現上也有很大的難度。

入侵分析按照其檢測規則可以分為兩類[2]：

基于特征的檢測規則。這種分析規則認為入侵行為是可以用特征代碼來標識的。比如說，對于嘗試帳號的入侵，雖然合法用戶登錄和入侵者嘗試的操作過程是一樣的，但返回結果是不同的，入侵者返回的是嘗試失敗的報文，因此，只要提取嘗試失敗的報文中的要害字段或位組作為特征代碼，將它定義為檢測規則，就可以用來檢測該類入侵行為。這樣，分析策略就由若干條檢測規則構成，每條檢測規則就是一個特征代碼，通過將數據與特征代碼比較的方式來發現入侵。

基于統計的檢測規則。這種分析規則認為入侵行為應該符合統計規律。例如，系統可以認為一次密碼嘗試失敗并不算是入侵行為，因為的確可能是合法用戶輸入失誤，但是假如在一分鐘內有8次以上同樣的操作就不可能完全是輸入失誤了，而可以認定是入侵行為。因此，組成分析策略的檢測規則就是表示行為頻度的閥值，通過檢測出行為并統計其數量和頻度就可以發現入侵。

這兩種檢測規則各有其適用范圍，不同的入侵行為可能適應于不同的規則，但就系統實現而言，由于基于統計檢測規則的入侵分析需要保存更多的檢測狀態和上下關系而需要消耗更多的系統處理能力和資源，實現難度相對較大。

近幾年，為了改進入侵檢測的分析技術，許多研究人員從各個方向入手，發展了一些新的分析方法，對于提高入侵檢測系統的正確性、可適應性等起到了一定的推動作用。下面是幾個不同的方向。

2.3.1統計學方法

統計模型常用于對異常行為的檢測,在統計模型中常用的測量參數包括審計事件的數量、間隔時間、資源消耗情況等。目前提出了可用于入侵檢測的5種統計模型包括：

(1) 操作模型:該模型假設異?？赏ㄟ^測量結果與一些固定指標相比較得到,固定指標可以根據經驗值或一段時間內的統計平均得到,舉例來說,在短時間內的多次失敗的登錄很可能是口令嘗試攻擊。

(2) 方差:計算參數的方差,設定其置信區間,當測量值超過置信區間的范圍時表明有可能是異常。

(3) 多元模型:操作模型的擴展,通過同時分析多個參數實現檢測。

(4) 馬爾柯夫過程模型:將每種類型的事件定義為系統狀態,用狀態轉移矩陣來表示狀態的變化,若對應于發生事件的狀態矩陣中轉移概率較小,則該事件可能是異常事件。

(5) 時間序列分析:將事件計數與資源耗用根據時間排成序列,假如一個新事件在該時間發生的概率較低,則該事件可能是入侵。

入侵檢測的統計分析首先計算用戶會話過程的統計參數,再進行與閾值比較處理與加權處理,最終通過計算其"可疑"概率分析其為入侵事件的可能性。統計方法的最大優點是它可以"學習"用戶的使用習慣,從而具有較高檢出率與可用性。但是它的"學習"能力也給入侵者以機會通過逐步"練習"使入侵事件符合正常操作的統計規律,從而透過入侵檢測系統。

2.3.2入侵檢測的軟計算方法

入侵檢測的方法可有多種,針對異常入侵行為檢測的策略與方法往往也不是固定的,智能計算技術在入侵檢測中的應用將大大提高檢測的效率與準確性。所謂軟計算的方法包含了神經網絡、遺傳算法與模糊技術。

2.3.3基于專家系統的入侵檢測方法

基于專家系統的入侵檢測方法與運用統計方法與神經網絡對入侵進行檢測的方法不同,用專家系統對入侵進行檢測,經常是針對有特征的入侵行為。

所謂的規則,即是知識。不同的系統與設置具有不同的規則,且規則之間往往無通用性。專家系統的建立依靠于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實時性。特征入侵的特征抽取與表達,是入侵檢測專家系統的要害。將有關入侵的知識轉化為if-then結構(也可以是復合結構),if部分為入侵特征,then部分是系統防范措施。

運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性,建立一個完備的知識庫對于一個大型網絡系統往往是不可能的,且如何根據審計記錄中的事件,提取狀態行為與語言環境也是較困難的。例如,ISS公司為了建立比較完備的專家系統,一方面與地下組織建立良好關系,并成立由許多工作人員與專家組成的X-Force組織來進行這一工作。

由于專家系統的不可移植性與規則的不完備性。現已不宜單獨用于入侵檢測,或單獨形成商品軟件。較適用的方法是將專家系統與采用軟計算方法技術的入侵檢測系統結合在一起,構成一個以已知的入侵規則為基礎,可擴展的動態入侵事件檢測系統,自適應地進行特征與異常檢測,實現高效的入侵檢測及其防御。

3.內外產品及研究現狀

入侵檢測是網絡安全領域中一個較新的課題。以往，網絡安全工作者以主動的安全機制作為研究的重點。雖然每一種安全機制或安全策略的應用都可以使系統在某方面的安全性有較大的改善，但是網絡體系結構的開放性特征和計算機軟件本身固有的特性使得網絡入侵仍然非常普遍，并且在目前的條件下入侵問題很難通過提出新的安全策略來徹底解決，因此，檢測網絡入侵行為就變得非常重要和有意義了。從90年代開始有了一些針對具體入侵行為或具體的入侵過程進行的入侵檢測的研究和系統，94年以后逐漸出現一些入侵檢測的產品，其中比較有代表性的產品有ISS（Internet Security System）公司的RealSecure，NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger?，F在入侵檢測系統已經成為網絡安全中一個重要的研究方向而越來越受到重視。

目前的入侵檢測系統大部分是基于各自的需求和設計獨立開發的，不同系統之間缺乏互操作性和互用性，這對入侵檢測系統的發展造成了障礙，因此DARPA（the Defense Advanced Research PRojects Agency,美國國防部高級研究計劃局）在1997年3月開始著手CIDF(Common Intrusion Detection Framework，公共入侵檢測框架)標準的制定?，F在加州大學Davis 分校的安全實驗室已經完成CIDF標準[9]，IETF（Internet Engineering Task Force, Internet工程任務組）成立了IDWG(Intrusion Detection Working Group，入侵檢測工作組)負責建立IDEF[10]（Intrusion Detection Exchange Format，入侵檢測數據交換格式）標準，并提供支持該標準的工具，以更高效率地開發IDS系統（Intrusion Detection System,入侵檢測系統）。

國內在這方面的研究剛開始起步，目前也已經開始著手入侵檢測標準IDF（Intrusion Detection Framework，入侵檢測框架）的研究與制定。

4.入侵檢測技術的發展方向

可以看到,在入侵檢測技術發展的同時,入侵技術也在更新,一些地下組織已經將如何繞過IDS或攻擊IDS系統作為研究重點。高速網絡,尤其是交換技術的發展以及通過加密信道的數據通信,使得通過共享網段偵聽的網絡數據采集方法顯得不足,而大量的通信量對數據分析也提出了新的要求。隨著信息系統對一個國家的社會生產與國民經濟的影響越來越重要,信息戰已逐步被各個國家重視,信息戰中的主要攻擊"武器"之一就是網絡的入侵技術,信息戰的防御主要包括"保護"、"檢測"與"響應",入侵檢測則是其中"檢測"與"響應"環節不可缺少的部分。

近年對入侵檢測技術有幾個主要發展方向:

(1) 分布式入侵檢測與通用入侵檢測架構

傳統的IDS一般局限于單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足。
同時不同的IDS系統之間不能協同工作能力,為解決這一問題,需要分布式入侵檢測技術與通用入侵檢測架構。CIDF以構建通用的IDS體系結構與通信系統為目標,GrIDS跟蹤與分析分布系統入侵,EMER-ALD實現在大規模的網絡與復雜環境中的入侵檢測。

(2) 應用層入侵檢測

許多入侵的語義只有在應用層才能理解,而目前的IDS僅能檢測如WEB之類的通用協議,而不能處理如LotusNotes、數據庫系統等其他的應用系統。許多基于客戶、服務器結構與中間件技術及對象技術的大型應用,需要應用層的入侵檢測保護。Stillerman等人已經開始對CORBA的IDS研究。

(3) 智能的入侵檢測

入侵方法越來越多樣化與綜合化,盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究以解決其自學習與自適應能力。

(4) 入侵檢測的評測方法

用戶需對眾多的IDS系統進行評價,評價指標包括IDS檢測范圍、系統資源占用、IDS系統自身的可靠性與魯棒性。從而設計通用的入侵檢測測試與評估方法與平臺,實現對多種IDS系統的檢測已成為當前IDS的另一重要研究與發展領域。

(5) 網絡安全技術相結合

結合防火墻、PKIX、安全電子交易SET等新的網絡安全與電子商務技術,提供完整的網絡安全保障。

總結

入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發，入侵檢測理應受到人們的高度重視，這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內，隨著上網的要害部門、要害業務越來越多，迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品（缺乏升級和服務）階段，或者是防火墻中集成較為初級的入侵檢測模塊。可見，入侵檢測產品仍具有較大的發展空間，從技術途徑來講，我們認為，除了完善常規的、傳統的技術（模式識別和完整性檢測）外，應重點加強統計分析的相關技術研究。（責任編輯：zhaohb）

上一篇：規劃SOA（3）進行長期SOA規劃

下一篇：利用社會工程學揭開網絡釣魚(Phishing)秘密[圖]