网络入侵检测系统研究

网络入侵检测系统研究（精选十篇）

网络入侵检测系统研究 篇1

关键词：网络技术,入侵检测,网络安全

1. 引言

网络互联迅速的扩展, 特别是Internet大范围的开放以及金融领域网络的接入, 越来越多的系统遭到入侵攻击的威胁。这些威胁大多是通过挖掘操作系统和应用服务程序的弱点或缺陷 ( (bug) 来实现的。基于上述问题, 一个实用的方法是建立比较容易实现的安全系统, 同时按照一定的安全策略建立安全的辅助系统, 入侵检测系统 (IDS) 就是这样一类系统。入侵检测作为安全防护的一个重要手段可以及时发现系统漏洞及入侵动机和行为, 及时提醒管理人员采取相应的措施、显著的减少被入侵的可能性和可能造成的损失。因此研究基于网络的入侵检测系统具有重要的意义。

2. 网络入侵过程的分析

一个典型的网络入侵过程如图2-1所示:

在这个入侵过程当中, 我们可以发现, 黑客想要攻击一个目标主机, 首先要搜集该目标主机的一些信息, 包括一些系统最新的安全漏洞和攻击方法, 接着获取目标主机的账号信息, 以便于登陆, 当得到系统的访问权限后, 便要得到超级用户的访问权限, 以更好地把握攻击的主动权。值得注意的是, 在进行上面的那些操作时, 往往会在系统中留下许多日志信息, 这些信息会暴露黑客的存在及行踪[1]。因此, 当一个黑客成功地入侵一台主机后第一件事就是删除踪迹, 有的黑客可能会将所有的日志文件删除, 这样做虽然可以保护自己, 但是很容易被对方管理员发现本系统受到过入侵, 及时做出相应的防护措施, 如修改密码、删除后门等。

3. 入侵检测系统的设计

3.1 入侵检测的功能描述

本文研究的入侵检测系统的功能主要分为四个部分:防范、检测、处理和管理, 与这四个功能对应的组件是防火墙、入侵检测代理、响应组件和管理器。它们之间的关系如图3-1所示。

防火墙是网络安全的第一道防线, 它将绝大多数攻击和入侵阻挡在受保护的网络之外;检测代理是防火墙的必要补充, 对已通过防火墙的网络子示为作进一步检查分析, 发现潜在的威胁和攻击, 并通知响应组件采取措施;响应组件根据网络的安个策略和检测代理的事件报告, 实时改变防火墙的配置, 使防火墙的防范措施得到进一步加强, 从而使网络得到增强了的安全保护。这三个组件的核心是管理器, 它负责完成整个系统的安全策略配置、各个组件的管理控制、安全认证、规则配置和系统日志等功能。

3.2 网络数据的采集

数据流截获是入侵检测的第一步, 是之后所有工作的基础。Libpcap是用户态下的数据包截获API函数接口, 它支持BPF数据过滤机制。Win Pcap架构是由NPF、Packet.dll及wpcap.dll这三个模块组成, 而且和Libpcap兼容。正是基于win Pcap这些优点, 所以我们选择使用Win Pcap提供的捕获网络数据包的开发包[2]。以下是本文实现的入侵检测系统涉及到的主要函数。

(1) int pcap_setfilter (pcap_t*p, struct bpf_program*filter) 该函数功能是设置BPF过滤规则, 由参数filter确定。

(2) int pcap_loop (pcap_t*p, int cnt, pcap_handle ceallback, u_char*user) 该函数的功能是循环捕获网络数据包, 直到遇到错误或满足退出条件。调用pcap_read () 函数进行读取操作, 每捕获一个数据包就进行读取, 并把读取的数据包交给Callback回调函数进行处理。这个函数以一个回调函数为参数, 然后不停的循环, 实时监控网络设备上流经的数据包, 只要有数据包通过, 就把该数据包做一个备份, 然后把备份的数据包拿进来开始分析。

(3) int pcap_stats (pcap_t*p, struct pcap_stat*stat) 该函数的功能是获得统计信息, 用来返回设备所捕获数据包的统计值。

3.3 数据包重组的调整

基于预处理技术的缺点是:如果根据IDS的规则集生成能够触发规则的包, 但是不进行TCP的三次握手过程, 就会造成IDS性能极大的下降, 产生大量无法处理的大量误报, 例如Stick便可进行此类攻击。为解决这个问题, 首先要了解TCP协议, TCP协议在网络通信中引入了“会话”的概念, 一个会话有明确的起始和结束, 还有很好的错误控制机制, 作为会话的双方, 客户机和服务器在发送数据之前要进行三次握手, 在TCP/IP协议中, TCP协议提供可靠的连接服务, 采用三次握手建立一个连接。

只要对不符合TCP三次握手的端口扫描进行报警, 就可达到减少此类攻击漏报的目的。不符合TCP三次握手的端口扫描的行为包括:发送只对ACK置位的包;发送只设置FIN标志的包。所以只要扫描到以上两种包, 就进行一记录、跟踪并报警, 以达到减少漏报的目的。以下为调整包重组的源码:

未改进的IDS设备何次只对个包进行观测, 不对之前的包进行缓存, 这意味着只能通过标志位来确定会话的状态。例如, 把ACK置位而SYN未置位的包看作处于已连接的状态中。对防火墙来说这个方法有很大的缺点, 利用它, 一些端口扫描工具不使用通常的SYN连接包, 而是发送只对ACK置位的包来进行检测, 这样就可以绕过防火墙, 防火墙会认为这些探测包处于某个已连接的会话中而让其通过。而改进的IDS可以识别出根据SNORT规则集生成的能够触发规则的包, 但不进行TCP的三次握手过程。而对此类包, 可以识别出不处于连续状态的攻击包, 然后迅速地抛弃它们, 避免再花费设备资源或人力来响应。

4. 小结

总之, 入侵检测系统作为一种积极主动的安全防护系统, 得到了广泛的研究和应用。伴随着广域网的发展和黑客攻击技术的不断提高, 入侵检测系统研究方向由于其先进的思想理念和安全高效的检测技术将会得到重点的发展。

参考文献

[1]于敏强.浅谈网络入侵检测技术的应用与发展[J].科技致富向导, 2009, (20) .

网络入侵检测系统研究 篇2

【关键词】入侵检测系统设计；混合型；网络安全

前言在计算机快速发展过程中，网络安全问题并没有得到减少反而越来越复杂、问题越来越多，传统的入侵检测技术难以实现对复杂入侵事件的检测，另外传统入侵检测系统往往具有针对性，只适用某种特定网络环境的检测，扩展性和灵活性不足，使检测系统的可用性大大降低，因此，安全网络中混合型入侵检测系统的设计尤为重要，利用多种检测方式打破传统检测的局限，适应现代网络安全检测的需求，为网络的安全运行提供保障。

1网络安全中混合型入侵检测系统设计中的关键模块

1.1异常模块

混合型检测系统的异常模块主要是负责分析和处理输入的网络数据中的流量信息。主要的检测方法有基于马尔可夫模型的方法、基于自相似理论的方法、基于小波的检测、统计检测方法、阈值检测方法等，下面通过统计检测方法对其进行深入研究。由于网络流量数据具有突发性的特点，基于统计检测方法对其进行检测存在不稳定的特征。通过观察实际网络流量，可以发现作息时间与网络流量的关系，所以在处理实际网络流量时使用方差分析法。具体的流程如图1所示。在通过具体的数据计算，找出出现异常的网络流量，并在具体的模块生成警报，再由警报设定异常值偏差的置信度。如果网络流量正常则采取更新历史模型的方式[1]。

1.2数据融合模块

数据融合可以实现各种信息与许多传感器之间的组合、相关、联合，从而获得精确的完整评价、身份估计、位置估计。混合型入侵检测系统中在获取入侵信息往往通过网络数据、主机资源信息、主机审核、系统日志，这一过程与数据融合的过程相似，因此在混合型入侵检测系统中设计数据融合模块，充分发挥数据融合的行为估计、目标识别、状态估计、相关、校准、检测等功能，采取可信度方法等，以此提高入侵检测系统的入侵信息获取效率，降低误警率。

1.3主动扫描模块

在网络安全中混合型入侵检测系统设计的主动扫描模块，主要是设计插件技术、开放端口的扫描、系统漏洞扫描、系统弱密码扫描的结合运用，在系统设计中很难实现以此成型，因此需要不断的分发、编译、开发，插件技术可以良好的满足这一要求。使用插件技术的方法可以通过COM组件、动态链接库技术等实现。开放端口扫描是在TCP/IP协议上进行的，可以分为UDP端口扫描、TCP端口扫描，而UDP端口扫描包括socket函数扫描、UDPICMP端口不可达扫描。TCP端口扫描包括XMAX扫描、NULL扫描、TCPACK扫描、TCPFIN扫描、TCPSYN扫描。通过具体的方法可以有效的实现对网络安全问题的检测。系统漏洞扫描往往通过构建不同的数据包通过不同系统的返回值不同的方法判定漏洞的类型。系统弱密码扫描的操作流程为读取用户名字典，用户若读完则表示扫描结束，没有入侵。若用户名没有读完，则继续读取密码词典，密码读完则返回用户名读取程序，不能读完则构造登录数据包，发送数据，登录成功则代表入侵成功，通过这种方式能够实现对入侵用户系统的病毒检测[2]。

2网络安全中混合型入侵检测系统的测试

2.1测试系统功能

网络安全的入侵检测系统只有对其功能进行测试，才能使其入侵分析能力。检测能力的可靠性得到保障。测试出的系统功能数据可以有效的反映出IDS的报警能力、审计能力、报告能力、攻击检测能力等，在主动扫描模块、数据获取模块等在应用环境中的测试，输出相应的功能测试结果，从而对系统设计的合理性做出分析，功能测试不合理的模块做出相应的改变，提高安全网络中混合型检测系统的检测能力，为网络安全提供保障[3]。

2.2测试系统的可用性

测试网络安全中的混合型入侵检测系统的可用性，主要是对系统的用户界面的稳定性、扩展性、完整性、可用性进行评估，若是在试验网络下该检测系统的性能表现良好，则说明架构上的具有可扩展性和灵活性，若还在进一步的进行开发测试，则说明该系统的可用性较低，还需要进一步完善。

3结论

综上所述，加强对网络安全中混合型入侵检测系统的设计有利于实现对网络安全的有效保障，促进网络的安全运行，营造良好的网络环境为大家服务。

参考文献

网络入侵检测系统研究 篇3

关键词：移动代理技术；入侵检测；系统；分析研究

计算机和网络技术已经走进了我们日常的生活，包括工作、娱乐、社区、交通和通信，都需要依赖计算机和网络。网络给我们带来了巨大的便利，同时也由于我们过分的依赖于网络，我们也越来越感觉到网络带来的负面影响。信息网络必须要有足够的安全措施，才能确保网络信息的保密性、完整性和安全性。

一、移动代理系统的分类

（一）移动代理环境（MAE）。移动代理运行环境可以提供安全，正确的运行环境，实现移动代理的移动、执行状态的建立、启动、实施的约束机制、容错策略、安全控制、通信机制，并提供基本服务模块。它一般建立在操作系统之上，为MA提供运行的环境。MA只能存活在MAE中的软件实体。

（二）移动代理。移动代理的移动就是从一个移动代理运行环境移动到另一个移动代理运行环境。一般而言，移动代理要具有如下的特征：

1.代理模型。代理模型主要代理的是智能部分的内部结构，它包括有一些特性，如代理的自治、学习、协调、写作、反应和预动等特性。当然，从研究人员的角度出发，他们关心的还是代理移动的框架，所以我们现在关注的还主要是和代理的自治性有关的情况。

2.计算模型。计算模型是从运行方式考虑，如MA是编译运行还是解释运行，是通过线程方式还是以进程方式生存于运行环境中等。所以说它决定代理是以通信还是以移动的方式来完成任务，从而达到最佳的运行效果。

3.安全模型。它本身是一个开放的系统，MAE既有可能接受不信任的移动代理，也有可能到不信任的MAE中去执行，因此，就要从安全性方面去考虑。移动代理的安全模型主要是用于如何保证代理的完整性，防止它携带的数据泄露，代理和服务器的相互验证以及代理的授权和服务器的资源存取控制策略等。

4.通信模型。它存在于分布式应用中，主要用于用户、静态代理、其他移动代理、其他移动代理系统甚至是其他非移动代理系统等实体。为了实现它特定的功能，就需要具备与这些实体通信的能力，特别是需要具有协商、协作、解决问题的能力，促进代理间的通信手段必须方便灵活，这是通信模型所必须解决的。

5.迁移模型。他解决的的主要是代理如何移动的问题，从三个方面来说：一是代理要移动是怎样刮起代理、俘获代理的运行状态并把代码及有关数据打包；二是以什么方式把代码传送到目的地；三是如何让接受代理并恢复代理的运行。

除此之外，还有命名和定位模型、服务定位模型等特征。例如，移动代理系统会产生很多不同的主机，他们的目的往往都是不同的，所以就需要有命名和定位，从而保证代理名字的唯一和方便查找等功能。还有需要满足服务的手段，当本地服务不能满足时，需要及时提供所需的服务站点，便于前往该地提供良好的服务等。从这些方面，我们就能发现移动代理系统有很多优越性，值得我们研究和分析。

二、将移动代理与入侵检测结合的原因

基于Agent的分布式入侵检测系统可将多种入侵检测分别装载在不同的Agent中，并动态地让这些Agent分布到整个网络上，通过这些Agent的交互、协作完成对网络内外入侵检测。Agent是独立运行的实体，能够在不改变系统别的组件的情况下进行增减。另外，Agent可以在引入更复杂环境之前进行独立测试，Agent也可以与其他Agent协作，通过交换信息，帮助提供更复杂的检测结果，Agent可相互独立地启动和停止，减少检测系统的单点失效。具体而言，基于Agent的入侵检测系统可以获得如下优点。

1.独立性，它是个可以独立运行的实体程序，自己进行开发和调试。把它放入具体的环境中，可以进行独立测试。

2.灵活性，在操作中可以独立启动和停止，也可以进行动态配置，不会影响其他方面的正常运行。即使要收集新数据或检测新类型的入侵，也可以对原Agent进行重新配置或增加新Agent来实现。

3.可扩充性，在操作简单的基础上，它可以作为检测实体独立运行，同时也可以放入分布式的环境中作为一个零部件帮助协作检测，这也是它非常明显的一个优点。

4.错误扩散小，从整体上说，该软件系统本身的错误不会影响其它方面的运行。如果系统某个方面出现问题或者受到损坏，它仅仅会影响相关的检测部分失效，并且快速的检测到它的状态，并作出相应处理，使危害面限制到最小化。

5.数据来源不受限制，因为它本身具有独立性，不受其他方面的影响，所以系统可以选择不同的数据源。通过不同的数据源来选择相应的形式，这也是它非常明显的一个优点。

6.兼容性，它不同于传统的入侵检测模型，它既有主机的Agent，又有基于网络的Agent。在入侵检测的过程中，检测方法上不受限制，所以具有非常强的兼容性，只要是有效的入侵检测方法都可以加入到模型中来。

此外，还有它的协作性和语言特征也是其很大的优点。虽然在操作上它比其他软件系统更加简便，但是通过彼此协作，它可以进行更加复杂的入侵检测。因为它的独立性，他可以自行开发和调试，在不同的平台上使用不同的编程语言开发，更值得关注的是，只要遵循统一的通讯协议和通信格式，它们之间就可以进行通信协作。

结语

在未来的生活中，我们会遇到很多网络入侵攻击的情况，网络安全也成为严重的隐患，所以我们要更加关注保护网络使用者安全装置的软件系统中来，用更为精巧的控制技术和攻击同步化技术来帮助使用者防御网络入侵攻击。作为计算机专业的研究人员，我们不仅要明确网络带来生活便利的同时也带来了安全的隐患。因此研究高效的网络安全防护和检测技术，帮助专业人员了解新的入侵检测系统的性能，对于开发研究新的网络安全监测系统具有重要的意义。

参考文献：

[1]熊伟.入侵检测系统的研究与实现[D]武汉：武汉科技大学，2006

[2]韩东海，王超，李群.入侵检测系统及实例剖析[M].北京：清华大学出版社，2002

网络入侵防御系统研究 篇4

一个理想的入侵防护解决方案从理论上应该包括以下特征:

1.1 主动、实时预防攻击。

真正的解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前找出攻击, 并防止它进入重要的服务器资源。

1.2 补丁等待保护。

补丁管理是一个复杂的过程。在补丁被开发和安装之间, 聪明的黑客会对服务器和重要数据造成破坏, 入侵防护解决方案应该为系统管理员提供补丁等待期内的保护和足够的时间, 以测试并安装补丁。

1.3 保护每个重要的服务器。

服务器中有最敏感的企业数据, 是大多数黑客攻击的主要目标。

1.4 特征和行为规则。

检测入侵最有效的方法是采取混合方式, 即整合针对具体攻击的特征和行为规则的力量。这一混合方式可提供已知和未知攻击的保护, 而同时将误报率保持在最低, 从而无需做出任何损失性让步。

1.5 深层防护。

强大的安全都是基于深度防御的概念, 可进行深层防护, 保护入侵防御系统概述那些具有最严格要求的网络, 使其免遭己知攻击、首次发生的未知攻击, 以及DOS攻击的影响。

1.6 可管理性。

理想的入侵防护解决方案可使安全设置和政策被各种应用程序、用户组和代理程序利用, 从而降低安装并维护大型安全产品的成本。

1.7 可扩展性。

企业级入侵防护解决方案必须可升级, 以满足企业不断发展的需求, 而同时保持最高水平的安全。可扩展性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理, 以满足大型分散式企业的需求。

1.8 经验证的防护技术。

企业所要选择的解决方案是否采用了业界先进的新技术, 是否经过充分测试、使用, 并在受到持续不断地维护, 这一点很重要。

2 DXIPS的系统结构

为了设计一个理想的入侵防御系统, 我们设计了基于Snort_inline和IPtables配置的Netfilter防火墙的分布式可扩展入侵防御系统 (DXIPS, Distributed Extensible Intrusion Prevention System) 。DXIPS检测可疑的网络流量, 丢弃恶意的数据包, 者阻断恶意的数据流, 支持4-7层的入侵检测和防御。

DXIPS采用三层的体系结构:

第一层, 入侵防御层:对经过的流量进行监控, 检测入侵并进行入侵防御。

第二层, 服务器层:收集日志数据并转化为可读形式。

第三层, 控制层:是分析控制台, 数据显示在这一层。

体系结构图如图1所示:

DXIPS由四个部分组成, 分别是入侵防御模块、日志记录模块、中央控制模块和通信模块。这四个部分彼此协作, 共同实现入侵防御的功能。网络入侵防御系统的系统架构图如图2:

入侵防御模块工作在入侵防御层, 负责数据包接收、检测和入侵响应。入侵防御模块部署在网络的关键位置上, 如连接外网与内网的链路上, 或者一个子网与另一个子网的链路上。这样, 所有经过数据均可被截取到。入侵防御模块由Snort_inline和IPtables配置的Netfilter防火墙联动组成的IPS构成, 包括数据包接收、数据包分析和检测、响应三个部分。

日志记录模块工作在服务器层, 负责日志的收集, 格式化。收集的日志包括Snort_inline的入侵检测日志和IP tables配置的防火墙日志。

中央控制模块是整个系统的核心, 工作在控制层。它负责协调系统各个模块, 进行所有的集中化操作。例如:对结点上的入侵防御系统的配置, 日志服务器的管理, 数据分析, 负载均衡等。

通信模块负责系统各个组件之间安全、可靠的通信, 包括中心和结点间的通信, 结点和结点间的通信。

3 DXIPS系统的实现

入侵防御系统的入侵防御功能是靠入侵检测系统Snort_inline与IPtables配置的Netfilter防火墙联动实现的。入侵防御系统采用Net link socket的方式进行内核和用户空间的通信。入侵防御系统对数据包处理的过程为:传递数据包到用户空间, 数据包读取, 入侵检测, 数据包处理。通过上述四个步骤, 入侵防御系统实现了实时防护的功能。

3.1 传递数据包到用户空间

在传递数据包到用户空间的过程中, Net filter提供的机制-用户空间数据包队列, 传递数据包到用户空间, 并接收来自用户空间返回的数据包和裁决结果, 决定是否接收或者丢弃此数据包, 这些数据包在用户空间可能被用户进程事先修改过, 才重新写到内核空间。Net filter框架中的目标 (target) QUEUE替用户空间 (user space) 进程排队数据包。装载了ip_queue模块后, 网络数据包通过防火墙配置工具IPtables选择性地通过QUEUE目标, 实际中排队是由内核模块ip_queue来完成的, ip_queue排队传递数据包到用户空间等待入侵检测模块处理。

3.2 数据包读取

在数据包读取的过程中Snort_inline采用libipq库函数从内核空间的QUEUE队列中读

取数据包。Snort_inline使用libipq库中的ipq_create_handle () 和ipq_set_mode () 实现对数据包读取过程的初始化。Ipq_create_handle () 在初始化时, 创建一个全局的上下文句柄 (context handle) , 句柄结构如下:

函数ipq_create_handle () 负责分配空间, 首先创建句柄结构体 (struct ipq_headle*h) , 然后创建Netlink套接字, 调用socket (PF_NETLINK, SOCK_RAW, NETLINK_FIREWALL) 得到句柄 (套接字描述符) h->fd, 调用bind (h->fd, (struct sockaddr*) &h->local, sizeof (h->local) ) 绑定本地进程。接着初始化Netlink通信对等端h->peer的进程, 对等端进程id和组id均为0, 使其具有从内核读取数据包的权限。Ipq_create_handle () 最后一步返回所创建的上下文句柄h。最后ipq_set_mode () 设置拷贝数据包的元数据 (metadata) 和数据包的负载 (payload) 到用户空间, 并提醒内核模块ip_queue有一个应用程序等待接受队列消息。在ipq_create_handle () 和ipq_set_mode () 完成初始化以后, Snort_inline先使用ipq_read () 函数从内核包队列QUEUE中读取数据。再使用函数ipq_get_packet () 将ipq_read () 读取的数据格式化为相应的数据包结构。检测引擎得到格式化的数据包, 进行检测与分析。

3.3 入侵检测

在入侵检测的过程中, 入侵防御系统的检测技术采用修改于入侵检测系统Snort的入侵检测技术。Snort的数据包解析过程由decode () 函数来完成, 原理是按照从链路层到传输层各种协议的相应格式去分析得到的数据流, 并把所得结果填充数据结构Packet。在入侵防御系统的实现中, 数据包读取过程中已经进行了包的分片重组等工作, 发送到入侵检测引擎的数据包是完整的, 并且数据流不含有链路层信息, decode () 函数中删除原来有关链路层的部分, 直接从IP层解析。数据结构Packet也经过修改只包含IP层以上的信息。

3.4 数据包处理

对数据包进行入侵检测以后, 根据与规则库中规则 (rules) 匹配的结果, 针对每个数据包采用相应的处理过程。Snort_inline实现入侵防御功能的三种动作drop、sdrop和reject对数据包处理的过程是不一样的.

结语

入侵防御系统是近年来新兴的一种网络安全产品。它是由入侵检测系统发展而来, 兼有防火墙的一部分功能。IPS系统包含两大功能模块:防火墙和入侵检测。从功能上讲, IPS是传统防火墙和入侵检测系统的组合, 它对入侵检测模块的检测结果进行动态响应, 将检测出的攻击行为在位于网络出入口的防火墙模块上进行阻断。然而, IPS并不是防火墙和入侵检测系统的简单组合, 它是一种有取舍的吸取了防火墙和入侵检测系统功能的一个新产品, 其目的是为网络提供深层次的、有效的安全防护。

参考文献

[1]陈友, 程学旗, 李洋等.基于特征选择的轻量级入侵检测系统[J].软件学报, 2007, 18 (7) :1639-1651.

[2]吕志军, 郑憬, 黄皓.高速网络下的分布式实时入侵检测系统[J], 计算机研究与发展, 2004, 41 (4) :667-673.

正确区分网络及主机入侵检测系统 篇5

先来回顾一下IDS的定义：所谓入侵检测，就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象，并对此做出适当反应的过程。而入侵检测系统则是实现这些功能的系统。

这个定义是ICSA入侵检测系统论坛给出的。不难看出，IDS应该是包含了收集信息、分析信息、给出结论、做出反应四个过程。在IDS发展初期，想要全部实现这些功能在技术上是很难办到的，所以大家都从不同的出发点，开发了不同的IDS。

一般情况下，我们都按照“审计来源”将IDS分成基于网络的NIDS和基于主机的HIDS，这也是目前应用最普遍的两种IDS，尤以NIDS应用最为广泛。大部分IDS都采用“信息收集系统-分析控制系统”结构，即由安装在被监控信息源的探头(或代理)来收集相关的信息，然后按照一定方式传输给分析机，经过对相关信息的分析，按照事先设定的规则、策略等给出反应。

核心技术有差别

HIDS将探头(代理)安装在受保护系统中，它要求与操作系统内核和服务紧密捆绑在一起，监控各种系统事件，如对内核或API的调用，以此来防御攻击并对这些事件进行日志;还可以监测特定的系统文件和可执行文件调用，以及Windows NT下的安全记录和Unix环境下的系统记录。对于特别设定的关键文件和文件夹也可以进行适时轮询的监控。HIDS能对检测的入侵行为、事件给予积极的反应，比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒，可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载，但只要这个木马程序开始工作，如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等，就会立即被HIDS的发现，并采取杀死进程、封掉账号，甚至断开网络连接。现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技术，能够很好地与系统，甚至系统上的应用紧密结合。

HIDS技术要求非常高，要求开发HIDS的企业对相关的操作系统非常了解，而且安装在主机上的探头(代理)必须非常可靠，系统占用小，自身安全性要好，否则将会对系统产生负面影响。HIDS关注的是到达主机的各种安全威胁，并不关注网络的安全。

因为HIDS与操作系统紧密相联，美国等发达国家对于HIDS技术都是严格控制的，而独自进行有关HIDS系统的研发，成本非常高，所以国内专业从事HIDS的企业非常少。国内市场上能见到的HIDS产品只有：理工先河的“金海豚”、CA的eTrust(包含类似于HIDS的功能模块)、东方龙马HIDS(纯软件的)、曙光GodEye等屈指可数的几个产品,而且能支持的操作系统也基本上都是Solaris、Linux、Wondows 2000非常少的几个。

NIDS则是以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流，其分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，IDS的响应模块就作出适当的响应，比如报警、切断相关用户的网络连接等。与SCANER收集网络中的漏洞不同，NIDS收集的是网络中的动态流量信息，

因此，攻击特征库数目多少以及数据处理能力，就决定了NIDS识别入侵行为的能力。大部分NIDS的处理能力还是100兆级的，部分NIDS已经达到1000兆级。NIDS设在防火墙后一个流动岗哨，能够适时发觉在网络中的攻击行为，并采取相应的响应措施。

目前市场上最常见的入侵检测系统，绝大多数大都是NIDS，比如东软NetEye、联想网御、上海金诺KIDS、启明星辰天阗、NAI McAfee IntruShied、安氏LinkTrust等等。

HIDS与NIDS虽然基本原理一样，但实现入侵检测的方法、过程和起到的作用都是不相同的，他们区别主要如上表所示。

性能和效能标准不同

在衡量IDS性能和效能的有关标准方面，HIDS和NIDS也有很大的不同。

HIDS由于采取的是对事件和系统调用的监控，衡量它的技术指标非常少，一般用户需要考虑的是，该HIDS能够同时支持的操作系统数、能够同时监控的主机数、探头(代理)对主机系统的资源占用率、可以分析的协议数，另外更需要关注的是分析能力、数据传输方式、主机事件类的数目、响应的方式和速度、自身的抗攻击性、日志能力等等，一般我们采购HIDS需要看的是研发企业的背景、该产品的应用情况和实际的攻击测试。

而NIDS就相对比较简单。NIDS采取的基本上都是模式匹配的形式，所以衡量NIDS的技术指标可以数量化。对于NIDS，我们要考察的是：支持的网络类型、IP碎片重组能力、可以分析的协议数、攻击特征库的数目、特征库的更新频率、日志能力、数据处理能力、自身抗攻击性等等。尤其要关注的是数据处理能力，一般的企业100兆级的足以应付;还有攻击特征库和更新频率，国内市场常见的NIDS的攻击特征数大概都在1200个以上，更新也基本上都是每月，甚至每周更新。采购NIDS需要注意的是漏报和误报，这是NIDS应用的大敌，也会因各开发企业的技术不同有所不同，所以，在采购时最好要做实际的洪水攻击测试。

HIDS和NIDS这两个系统在很大程度上是互补的，许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统。实际上，许多用户在使用IDS时都配置了基于网络的入侵检测，但不能保证检测并能防止所有的攻击，特别是一些加密包的攻击，而网络中的DNS、Email和Web服务器经常是攻击的目标，但是，它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以，应当在各个服务器上安装基于主机的入侵检测系统。因此，即便是小规模的网络结构，也常常需要基于主机和基于网络的两种入侵检测能力。

应用领域分化明显

在应用领域上，HIDS和NIDS有明显的分化。NIDS的应用行业比较广，现在的电信、银行、金融、电子政务等领域应用得最好。由于我国的主要电信骨干网都部署了NIDS，所以的大规模DoS攻击时，我们的骨干网并没有遭到破坏，而且以此为契机，NIDS迅速地推广到各个应用领域，甚至可以说，“NIDS的应用是沿着防火墙走的”。

网络入侵检测系统研究 篇6

【关键字】入侵 检测 神经网络

一、引言

随着互联网的飞速发展，网络攻击的行为日益增多，一般的防火墙和数据加密等被动的防护很难对网络行全面的监控，有主动防御功能的入侵检测技术可以补充防火墙的不足。神经网络有良好的归纳推理能力和自适应性，对已知和未知的攻击行为进行检测，在入侵检测过程中起到了重要的作用。

二、基于神经网路的通信系统入侵检测技术发展趋势

如图1所示，基于神经网络的入侵检测技术，在2001年到2003年间申请量较小，之后几年内，随着神经网络技术的不断发展以及网络环境的日渐复杂，基于神经网络的入侵检测技术研究受到更多重视，专利申请数量也稳步增加，该技术得到快速发展。

三、基于神经网路的通信系统入侵检测技术解析

针对基于神经网络的入侵检测技术专利申请的研究，可主要分为四个技术分支：选择合适的数据源和数据属性、改进现有算法、发现新的入侵检测算法、改进入侵检测系统构架。

3.1选择合适的数据源和数据属性

选择合适的数据源和数据属性是一个关键环节，在入侵检测系统中特征提取器和分类器成为了入侵检测领域研究的特点。如2012年的申请号为201210074813中，对于相同的训练数据，加入少量有标签的数据的半监督GHSOM算法，同时利用有标签的数据判断神经元类型，对神经元起到自动标识的作用；2014年的专利申请号为201410750891中，提供一种基于加权距离度量以及矩阵分解的入侵检测方法，可有效解决现有技术没有考虑整个数据集的特性以及各数据集属性之间量纲的差异，对噪声数据敏感，导致检测效果较差的问题。

3.2改进现有的算法

入侵检测算法是基于神经网络的入侵检测技术的核心，其直接关系到检测的效率和误警率。申请号为201310712975的专利，提供一种集成维纳过程与Adaboost集成学习方法、解决不平衡数据集的分类问题，能够对集成学习算法泛化能力进行极大提升；申请号为201410372707的专利中提供一种用于基于特征的三阶段神经网络入侵检测的方法和系统，其针对入侵检测使用三阶段神经网络，实现较少的假警报率。

3.3发现新的入侵检测算法

随着基础的检测算法日益成熟，为开发新的检测算法提供了强有力的基础，因此，近年来，开始出现关于新的检测算法的申请。申请号为201310032391的专利中将PCA降维与BP神经网络相结合的方式引入手机，从而降低了传统BP神经网络的计算量和存储量，以少的计算量达到主动防御的效果；申请号为201410855655的专利中通过广义回归神经网络结合模糊聚类算法迭代学习和训练，使得网络入侵连接的分类更加准确，改进了经典的Apriori算法，降低了其时间复杂度，适应了网络环境的变化。

3.4入侵检测系统构架

入侵检测系统是一种能够通过系统进行实时监护，分析网络的相关数据，检测到有可疑的入侵行为后进行警报等一系列措施的系统。申请号为201110457562的专利可针对入侵检测全过程，从攻击或从事恶意行为的网络入侵到操作系统内部监控，都给予其抵御，并形成防御机制，增加了防御的实时性，为自动抵抗攻击带来动力；消除了大量的数据输入；实现了Linux下的高量数据包监听；申请号为201410383497的专利中基于Hadoop分布式计算框架，提出了一种着眼于整个互联网防御的安全体系。

四、结束语

网络入侵检测系统研究 篇7

有关安全的研究和历史表明,不管在网络中采取多么先进的安全措施,攻击者总有可能找到网络系统的弱点,实施攻击。单独使用预防技术(如加密、身份认证等)难以达到预期的安全目标,这些技术可以降低网络被攻击的可能性,但是不能完全杜绝攻击,因此,安全的防御措施也是不可或缺的,入侵检测系统(IDS Instruction Detection System)是近年来出现的新型网络安全技术,它弥补了上述防范措施的不足,可以为网络安全提供实时的入侵检测及采取相应的保护。

本文主要对入侵检测系统和现阶段的入侵检测技术进行分类介绍和分析,并对比各自的优缺点,最后提出自己对无线传感器网络入侵检测技术发展的展望。

1 入侵和入侵检测

入侵行为被定义为任何试图破坏目标资源的完整性、机密性和可访问性的动作。入侵一般可简单分为外部入侵和内部入侵。Denning在1987年发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络风暴或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警同质系统管理员并进行相关的处理措施。为达成这个目的,入侵检测系统应包含3个必要功能的组件(信息收集、检测引擎和相应组件),如图1所示。

2 入侵检测系统的分类

1)根据数据信息来源进行分类

基于主机的IDS(HIDS):在操作系统、应用程序或内核层次上对攻击进行检测。系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机,通过监视和分析主机的审计记录和日志文件来检测入侵。

基于网络的IDS(NIDS):系统获取数据的来源是网络传输的原始数据包,NIDS放置在网络基础设施的关键区域,通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务,保护的目标是网路的运行。

混合型的IDS:它是基于主机和基于网络的的入侵检测系统的结合,在网络中配置NIDS以检测整个网络的安全情况,同时在那些关键的主机上配置HIDS,这可以提供比采用单一的入侵检测方案更为安全的保护。

2)根据响应方式的不同进行分类

主动响应IDS:如果检测出入侵后,能够主动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为主动响应。

被动响应IDS:若检测到入侵后仅仅给出警报或记录日志,就是被动响应。

3)根据系统各个模块运行的分布式方式不同进行分类

集中式入侵检测:它有一个中心计算机负责监控、检测和响应等工作,这种适用于网络比较简单的情况下。

分布式入侵检测:他它用一个移动代理的方式监视和检测,每个分析点都有响应的能力。

4)根据分析方法的不同进行分类

异常入侵检测:这种方法首先总结出正常操作应该具有的特征,在得出正常操作的模型后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。

误用入侵检测:这种方法首先收集非正常操作也即入侵行为的特征,建立相关的特征库,在后续的检测过程中,将收集到的数据与特征库中的特征代码相比较,得出是否入侵的结论。

混合型入侵检测:即异常检测和误用检测的结合,基于异常的入侵检测可以发现一些未知的的攻击,对具体系统的依赖性相对较小,但误报率很高,配置和实现也相对困难;基于误用的入侵检测能比较准确地检测到已经标识的入侵行为,但是对具体的系统依赖性很大,移植性差,而且不能检测到新的攻击类型。所以,只有把二者有机结合起来,才能达到最佳的系统性能,如图2是一个通用的将二者结合起来的检测方法。

3 入侵检测技术

传感器网络的资源局限性和应用相关性等特点,决定了对其入侵检测机制的研究是一个极具挑战性的课题,一个行之有效的传感器网络入侵检测系统须要具有简单性、实时性和检测准确性三个特性。下面主要介绍一下目前的无线传感器网络检入侵检测技术方法及其各自的优缺点:

1)基于多代理Agent的入侵检测。

王培等在文献[5]中针对分簇式无线传感器网络提出了基于多代理的入侵检测方法,其系统结构如图3所示。

通过让节点和簇头分别执行不同检测任务,结合本地检测和联合检测,并采用多个代理模块分别实现数据收集、分析检测和入侵响应和代理管理的任务,以便使系统具有操作简单、易于扩展、能耗降低、安全性提高的特点。但是该方案中每个节点中都需要配备监视Agent、检测Agent、响应Agent和管理Agent,会占用节点的大量存储空间,而且也会增加节点的能源消耗。

这种方法可以减少网络负载,克服网络延迟和良好的可扩展性,高安全性,但是每个节点都有多个代理功能,较大的能量消耗,在其测试活动过程重叠时,准确率将大大低和较低的自适应性。

2)基于机器学习和数据挖掘的入侵检测。

基于机器学习的入侵检测整体架构如图4所示。

文献[6]提出基于免疫遗传算法的异常检测,节点从它的邻居节点偷听信标包并提取称为抗原的关键参数,如果匹配的抗原数量比在一个探测器的寿命预先定义的阈值高时,该探测器将失效并产生一个新的探测器。反之,如果匹配的抗原数量比探测器的寿命阈值少时,探测器将触发入侵报警,对于探测器更新机制,使建议的IDS更加健壮;文献[7]针对选择性转发攻击提出了基于支持向量机的异常检测,使用SVM针对入侵数据的健壮分类方法。SVM克服传统机器学习方法大样本的缺陷,根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷,能获得最好的范化能力。

这种方法将异常检测作为分类或者聚类问题,借助机器学习的有效学习能力,构建具有一定精度的异常检测模型,具有较高的准确率,但是,不足之处是需要的样本量较大,训练时间长。

3)基于网络流量分析的入侵检测

基于流量分析的入侵检测模型的基本结构如图5所示。

文献[8]采用Markov线性预测模型,为无线传感器网络设计了一种基于流量预测的拒绝服务攻击检测方案———MPDD。在该方案中,每个节点基于流量预测判断和检测异常网络流量,无需特殊的硬件支持和节点之间的合作;提出了一种报警评估机制,有效提高方案的检测准确度.减少了预测误差或信道误码所带来的误报。文献[9]等提出了基于流量分析的入侵检测方案,通过对邻居节点的行为进行统计分析,阀值技术分析,然后应用到选定参数,即一定长度的时间窗下所接收的数据包数和数据包的间隔时间,它不需要任何额外的硬件安装和额外的通讯费用,其计算代价也比较低。

这种方法相对比较简单,直观,实时性高,但要求流量输入要具备一定的统计特性,因此不具有通用性,误报率高。

4)基于博弈论模型的入侵检测。

基于博弈论的入侵检测系统基本模型如图6所示,分布在网络中的入侵检测器采用某种检测手段审计网络数据,检测入侵,并提交检测结果。然后博弈模型模拟攻防双方的互动行为,并权衡来自入侵检测器的检测结果和其检测效率,得出纳什均衡以辅助IDS做出合理正确的响应策略。

Mohsen Estiri等人在文献[10]中针对无线传感器网络的丢包攻击提出基于博弈论的入侵检测方案,提出了重复博弈理论模型来进行入侵检测,在该模型中,将无线传感器网络中的攻击者与入侵检测系统作为非协作、非零和的博弈双方,并利用平均折扣因子收益来显示节点在博弈当前阶段所达到的比下一阶段所得到的更有价值。而且最终系统将达到纳什均衡,形成无线传感器网络的防御策略。

这种方法方法可以帮助管理者权衡检测效率和网络资源,但是检测的人为干预是必须的,而且具有较差的系统适应能力。

5)基于信任机制的入侵检测。

Min Lin[11]等提出了基于信任模型的动态入侵检测方案,利用具有较高信任度的节点来交替地检测簇内节点,提出了非参数CUSUM的检测改进算法,报警响应也借助信任模型中的信任级划分,有效减少节点的能源消耗,减小节点的计算开销。Long Ju[12]等提出了基于加权信任机制的入侵检测方法,在系统开始就给每个传感器节点分配权重,每个周期当节点发送与其他节点不同的报告时进行更新,这样当节点的权重低于某一阈值时就被检测出是恶意检点。

这种方法具有低功耗,高安全性等优点,但当簇头节点入侵,或遇到Sybil攻击时检测精确度降低,而且其阈值设置会影响算法的精度,而且如何找到一个合适的阈值是一个棘手的问题。

4 结论

由以上分析可以看到,目前的各种异常检测技术还不能实时、准确地对各种入侵进行检测。近年来,分形理论与无线网络数据流分形特性和自相似特性为异常检测提供了新的理论基础。无线传感器网络数据流呈现出一定的分形特性,具有长相关性、具有较宽的类似白噪声的频谱特性、具有混沌吸引子等,基于此,根据网络数据流具有的分形指数(Hurst参数,分形维数、李雅普诺夫指数)可以建立客观检测模型,从而根据网络数据客观内在规律异常检测。此外,由于小波分析在信号处理中具有独特的频谱多分辨率优势,基于频谱、小波分析的异常检测被证实适合实时的异常检测,因此,研究分形理论与小波分析的无线传感器网络异常检测模型与方法将是一个新的发展方向。

参考文献

[1]孙利民,李建中,陈渝,朱红松.无线传感器网络[M].北京:清华大学出版社,2005.

[2]周贤伟,覃伯平,徐福华.无线传感器网络与安全[M].北京:国防工业出版社,2007.

[3]陈林星.无线传感器网络技术与应用[M].北京:电子工业出版社,2009.

[4]Onat I,Miri A.An intrusion detection system for wireless sensor networks[C]//Montreal,Canada:Proceedings of the IEEE InternationalConference on Wireless and Mobile Computing,Networking and Communications(WiMOB’05),2005:253-259.

[5]王培,周贤伟.基于多代理的无线传感器网络入侵检测系统研究[J].传感技术学报,2007,20(3):677-681.

[6]Liu Yang,Yu Fengqi.Immunity-based intrusion detection for wireless sensor networks[C]//Hong Kong,China:Proc Int Jt Conf NeuralNetworks,2008:439-444.

[7]Tian Jingwen,Gao Meijuan,Zhou Shiru.Wireless Sensor Network for Community Intrusion Detection System Based on Classify SupportVector Machine[C]//Zhuhai,China:Proceedings of the 2009 IEEE International Conference on Information and Automation,2009:1217-1221.

[8]韩志杰,张玮玮,陈志国.基于Markov的无线传感器网络入侵检测机制[J].计算机工程与科学,2010,32(9):27-29.

[9]Ponomarchuk Yulia.Seo Dae-Wha.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[C]//Shanghai,China:19thAnnual Wireless and Optical Communications Conference,2010.

[10]Estiri M,Khademzadeh A.A Game-theoretical Model For Intrusion Detection In Wireless Sensor Networks[C]//Calgary,AB:Electricaland Computer Engineering(CCECE),2010 23rd Canadian Conference on,2010:1-5.

[11]Min Lin,Shi Nan.An Intrusion Detection Algorithm for Wireless Sensor Network Based on Trust Management Module[C]//Wuhan,Chi-na:Internet Technology and Applications,2010 International Conference on,2010:1-4.

网络入侵检测系统研究 篇8

计算机网络能够对人们依靠社会行动的信息结构发生变化, 同时也不断地对人们获取信息的方式发生了变化,导致人类具体的生活方式的改变。对于网络安全的威胁,通常来说可以包括为内部渗透和外部闯入还有不当行为这三大类。这里的外部闯入也就是指没有经过授权的计算机用户的入侵;另外内部突破也就是指计算机系统授权用户访问未经授权的这些数据;最后的不当行为也就是指用户在经过授权之后,却对授权数据还有这些资源使用是非法后者说滥用的授权。对于网络本身存在的缺陷,还有网络的开放性和黑客的攻击是网络安全的影响因素。

1网络信息安全技术的发展

1.1加密

对于计算机网络中的加密,其实就是比较基本的一种安全机制,是使用数学函数来处理不加密的一些关键信息,并且完成信息加密的这样过程。依据不一样的密钥分发方法,还有达成加密机制分为两种类型,其中包括有私钥加密以及公钥加密。这是能够用来数据传输以及存储中,还能够避免一些不授权者的非法读取的信息。然而,它无法在前面的信息加密之前或者是之后来加密保护,而是要依赖于密钥的一个管理技术。

1.2数字签名

数字前面关键就在于可以提供拒绝识别功能,也就是说,第三方没有办法去伪造发件人去完成数据的发送,所以说发送方在发送具体数据之后没法否认。数字签名一般来说使用公钥来完成,对于签名者来说可以通过用密钥加密,并且验证方能够用签名者的公钥来完成解密签名数据操作,并且能够确定接收到的信息是否是错误的。

1.3防火墙系统

防火墙系统也就是把安全战略转化为安全控制操作,对于不一样的信任级别或者是不一样的安全级别网络设置具体安全边界,检查网络数据包或者是具体服务的一些请求,可以较为有效地控制内部网络或者是外部网络间访问或者是数据的传输,进而能够完成保护内部网络信息不会因未经授权的用户限制了内部这些用户的访问限制。不过对于防火墙系统来说,也是有局限性: 诸如防火墙无法在没有经过防火墙入侵,也就是系统可以绕过性攻击。防火墙很难实现防范恶意攻击或者是一些内部用户的误操作行为发生。对于防火墙的配置和管理等等都比较复杂,容易导致安全漏洞的发生。

2入侵检侧系统的分类

2.1基于主机的入侵检测系统及特点

对于主机的入侵检测系统能够把一个主机上面得到数据作为计算机网络安全中入侵系统分析的数据源,另外基于网络的入侵检测系统能够从互联网中得到一些数据来当成是数据源。一般来说基于主机的这样入侵检测系统只可以检测到一个主机的系统,但是基于网络的入侵检测系统能够检测多个主机系统,对于较多分布在不同网段的基于网络的入侵检测系统能够一起工作, 从而实现更加强大的入侵检测的效果。

计算机网络安全系统中,对于主机的入侵检测系统检测模块位于被保护系统,利用提取这些运行数据且对入侵分析来完成入侵检测的具体功能。主机的入侵检测系统现在的不足有,这个入侵检测取决于整个系统的可靠性,它需要系统本身有基本的安全特性,然后你可以提取这些入侵信息。

2.2基于网络的入侵检测系统

计算机网络的入侵检测系统可以利用网络监视来完成数据的提取。在工作中,局域网通常使用以太网协议。对于这个协议期间主机子网无线的数据传输方法,没一台的主机能够发送数据包,还可以通过子网完成广播,其实就是说,对于每一台主机发送以及接收数据能够收到同一子网内的其他主机数据。在通常的环境中,每个到来的主机网卡的数据包会先完成过滤,一般到目标地址是本机或者是广播地址的数据包接收缓冲区,把其他的这些数据包丢弃,所以说,在通常的情况下,主机的网络性能就是关心和自己有关的一些数据包,不过设置网卡接收模式正确过滤策略能够完成网卡过滤方式的变动,使网卡再接收所有的数据包这一时期之后,不管这些包的最后目标是否是主机。对于卡的接收模式被叫做混合模式,大多数卡将提供这些设置,所以说,必要时,合理设置网卡可以通过这段时间的所有信息的交流,完成网络监控的效果。

3网络入侵检测系统需要解决的关键技术

3.1入侵检测模块间的协作

入侵检测模块的合作关键就是对不同检测模块之间数据共享的解析,同时对模块间增强功能,利用合作可以达成工作时无法实现的具体功能。分布式网络入侵检测系统的框架结构、功能模块的异构性,数据检测系统还有探测器分布在网络的情况,同时继承这些不同的开发人员研制,用不同的具体检测机制,还有入侵检测功能模块运行在各异的系统以及不一样的检测子系统, 还要去考虑它们之间的这些数据共享以及协作等等,还需要去提供分布式数据采集、并且利用数据接口来完成不一样的检测器之间的互操作性,考虑分布在整个组织在分布式入侵检测系统和探测器测试结果融合技术。对于分布式数据共享也应该是对收集到的数据格式完成一个转换,从而能够保证这些数据的可用性。这些关键是涉及到网络入侵检测系统的一些功能模块之间的合作机制还有技术,其中包括计算机网络安全中入侵检测系统的具体通信机制,数据预处理和数据融合技术以及功能模块间的协作机制等等。

3.2入侵检测数据分析的层次性

即使对于各种入侵检测系统概念是一样的:不过整体来说都是通过探测器还有分析仪和用户界面来构成的。入侵检测系统在特定方法的基础上,通过分析数据和收集数据,这些方面是非常不同的。每一种的入侵检测系统的分析数据源上有水平,从入侵检测系统基于应用程序跨多个网络入侵检测系统,来完成这些分析数据以及监控的能力逐渐增强,范围也不断地扩大,并且这入侵检测系统数据可以是源于水平不高于它的入侵检测系统的输出。其实就是代表,入侵检测系统检测的具体结果以及输出能够在水平不低于其入侵检测系统使用和进一步的具体分析。

4结语

网络入侵检测系统研究 篇9

无线传感器网络同有线网络有很大不同,现有针对有线网络设计的入侵检测系统很难直接应用到无线传感器网络中。由于传感器网络自组织结构且节点间通过无线链路进行通信,通常需要采用分布协作的方式进行入侵检测,此外由于传感节点的能量、存储和计算能力都比较有限[1,2],设计一个比较实用成熟的入侵检测系统还需要考虑节省资源以减小开销。综合无线传感器网络自身的特点,基于无线传感器网络的入侵检测系统一般需要满足以下要求[3,4,5]:

(1)攻击被发现后可以对攻击采取进一步的行动,损失控制在最小限度内;

(2)系统运行后不会给网络带来安全隐患及安全问题;

(3)系统可以连续对攻击进行检测,并对用户和系统透明;

(4)具有可靠性,保证检测率要很高同时能够将误报率和漏报率控制在较小的范围内;

(5)尽量保证系统性能不受影响,占用较少的系统资源,保证网络正常的活动不受太大影响;

(6)由于传感器网络会因为节点能量耗尽或遭受破坏等原因使得其拓扑结构容易变化,一般采取分布式系统结构设计;

(7)具有可扩展性,通过某些机制无需对入侵检测系统本身改动的情况下,使其可以检测新的攻击,同时可以对其结构进行扩展使其能够适应未来可能出现的扩展要求;

(8)具有一定的容错性、适应性。

1 系统框架设计

通过分析攻击者如何利用AODV协议特点发起Sinkhole攻击,参考Tseng等人在文献[6]提到的有限状态机的思想,提出本节的基于有限状态机与节点相互监督机制相结合的Sinkhole攻击检测系统,并对各模块的功能进行了详细描述。无线传感器网络的入侵检测系统框架,该系统基于分布式结构,这种分布式入侵检测系统由网络中每个节点及其上独立运行的IDS Agent构成,每个节点在负责监测本地数据的同时协助邻居节点进行协作检测。

系统中每个入侵检测端描述如下:

(1)网络监控每个入侵检测端对网络进行监听同时捕捉和检查每次经过其直接路由的数据包。因为在无线传感器网络中所有的通信都是在空中进行的,并且每个节点可以从旁边听到其邻近的通信。

(2)入侵检测为便于检测攻击,每个入侵检测端遵守制定的规则,比如它基于使用已定义的规则,可以检测偏离正常的行为。对于每次攻击网络管理员必须在节点中定义和嵌入一些通信规则,这样入侵检测系统才可以检测到攻击。在文中也给Sinkhole攻击定义了一些规则,后面会提到。

(3)决策的制定由于各种原因,一个节点也许不可能对一个节点是否是入侵节点做出最终决定。但是即使做出决定说该节点是入侵节点,也不能被网络采信,因为做决定的这个节点它自己本身可能就是恶意节点。因此,如果入侵检测端检测出一个异常,所有的邻居节点的合作机制就会起作用,以便共同对该异常处理得出最终结论。

(4)行动每个节点有一个响应机制,据此对入侵状态做出相应的反应。

基于上述规则,同时借鉴Ioannis Krontiris提出的入侵检测系统模型[7],建立包含五个概念模块的入侵检测端框架,如图1所示。每个模块都有其具体的作用,并在下面一节详细描述。每个节点的入侵检测端都相同,并且它们可以和邻近节点的入侵检测端进行相互通信。

2 主要功能模块设计

2.1 本地数据监控模块

本地数据监控模块主要任务是负责收集网络中的审核数据并对数据进行过滤和预处理,然后将处理的结果负责提供给本地检测模块。在传感器网络入侵检测系统中节点审核在自己的频段范围内进行交流活动的数据,收集的主要信息包括网络中的数据包信息、路由请求信息、路由回复信息等。

在该模块中,需要对数据分组的时间序列以及同一行为的出现频率进行分析,进而对路由行为进行分析。网络中的节点拥有一个分组收发表,该表用来记录该节点收发数据分组的情况,分组收发表格式如表1所示。

行为类型有发送send,接收recv,转发fwd,丢弃discard;报文类型和行为类型的组合可代表一个网络行为,比如RREQ＿send代表发送一条路由请求报文,RREP＿recv代表接收一条路由响应报文,而RREQ＿discard表示丢弃一条路由请求报文。与路由异常行为相关的活动需要关注,比如RREQ的发送、接收和转发,还有RREP的发送及DATA的发送、接收与转发。

本地数据监控模块在固定时间内对分组记录表中的相关信息进行分析,统计某一节点在单位时间内处理的相同特征的数据报文次数,同时提取源节点ID等信息,并将超时报文删除,最后将处理后报文记录发送给检测模块进行检测。

2.2 本地检测模块

在本地检测模块使用基于状态转移的方法来检测攻击,通过对AODV路由协议的仔细分析,可以得出正常AODV协议行为下的有限状态机,然后根据本地数据监控模块提供的信息对节点的行为进行状态转换,并判断该节点行为是否为异常行为。本地监测模块通过有限自动机来检测出现异常的路由请求和回复报文,为网络中的每个请求和回复路由维护一个FSM,一旦网络中有节点发起路由请求,则该有限自动机从初始状态转换为RREQ转发状态,保持此状态,一旦检测到单播的路由回复报文,那么有限自动机则转到RREP报文发送状态,直到RREP报文到达源节点且建立起路由。在此过程中,一旦检测到路由异常行为就转到可疑或入侵状态。根据分组收发表的内容,可以知道节点当前的有限状态机状态,根据节点状态的转换可以检测到违反AODV路由协议的入侵行为。

对于攻击者为了吸引链路伪造序列号发起的Sinkhole这类攻击,本地检测模块首先对节点的分组收发表进行统计,若发现节点中具有路由回复或路由转发行为特征,可以判断该节点进行了路由响应或转发了单播的路由响应报文,可以确定节点目前处于RREP发送状态,此时攻击者伪造序列号的攻击检测被激活。

如果节点为RREP报文的发起节点时,首先看该节点是否是路由请求报文的目的节点,若是退出,若否将该节点收到的路由请求报文中目的节点的序列号和从该节点转发出去目的序列号比较,如果差值大于预先设定的差值TH,则表明该节点故意伪造序列号。节点为RREP报文的发起节点时,检测过程伪代码如下:

如果节点是转发路由回复报文的中间节点,则检测目的节点的序列号,将节点收到的报文中目的节点的序列号和从该节点转发出去目的序列号比较,如果差值大于预先设定的差值TH,则表示该节点故意伪造序列号意图发起攻击。检测伪代码如下:

另外一种通过声称到目的节点的较少的跳数发起的Sinkhole攻击,即攻击者在距离目的节点比较远时,对路由请求报文进行响应,声称自己具有到目的节点的最佳路径从而吸引路由。通过对分组收发表的分析得出节点具有RREP＿send网络行为特征后进行检测,首先判断该节点是否目的节点,如果是目的节点则退出检测,如果不是则通过本地路由信息来判断是否有通往目的节点的路由,若没有,表明该节点通过伪造跳数来发起Sinkhole攻击,检测伪代码如下:

根据上述规则,可以确定网络中是否发生了Sinkhole攻击。但是仅仅根据单个节点就得出结论不是很充分,在检测过程中为避免出现恶意诽谤的情况,需要依靠节点相互合作来最终确定攻击节点。

2.3 协作检测模块

在协作检测模块,需要解决的问题是如何从网络中找到入侵节点。之所以说根据单个节点就得出结论不是很充分,主要因为有两个:一个是由于做出决定的节点可能本身已经受到攻击。因此不能选择该节点来排除其它节点是攻击节点或正常节点。所以节点应该协作来得出结论,所有节点都应参与,包括监督节点;另一个是在Sinkhole攻击过程中,单个节点没有足够信息确定攻击节点。因此,需要协作检测模块,这样可以引导节点对确定入侵节点做出正确结论。

具体来说,当恶意节点发动Sinkhole攻击时,协作检测模块中如何在邻居节点起作用。节点通过本地入侵检测模块判定一个节点为攻击节点时,则向网络中其邻居节点广播一条MID警报节点列表,其格式如表2所示。

一旦邻居节点收到这样一条警报报文后,排除不属于它的邻居列表警报中的潜在的攻击者。这样各邻居的MID列表可产生一个交集,结果将会存储用来和下一个接收到的警报节点产生交集。这样每次节点接收邻居节点MID警报列表,交集就会缩小,如果最后交集只剩一个或少数节点,那么这些节点就是攻击者。

可以看到每次节点和其邻居节点广播一个警报,这一警报节点列表包含攻击节点。通过不断改变集合,产生交集,节点可以发现在集合中的共同节点。如果一些节点把交集缩小到一个节点,那么它们可以肯定入侵者的身份。具体来看在图2中,攻击节点是节点M。每个节点广播了一个包含它邻居节点的警报列表MID。从这些接收到的包含其邻居列表的警报中产生交集。可得到下面的结果:

节点A:{B,D,M}∩{A,C,E,M}={M}

节点D:{A,C,E,M}∩{B,D,M}∩{D,M,F}={M}

节点E:{D,M,F}∩{A,C,E,M}∩{E,M}={M}

节点F:{E,N}∩{D,M,F}={M}

在该入侵检测系统设计中,对于网络中每个传感器节点,监听该节点发送或接收包的所有邻近节点都会参与此入侵检测过程,邻近节点的作用是监督该节点。通常,仅靠一个监督者不足以检测和确认Sinkhole攻击,但是如果所有邻近节点都能提供它们的信息,那么信息才是完整的,这样才可以找到攻击者。为了应用本地检测定义的规则只需要暂时存储每个包,查看是否满足其中的规则,然后可以丢弃这些包,任何历史或统计数据不需要存储在节点。

2.4 入侵检测模块

一旦发现有入侵行为,检测到入侵节点,入侵响应模块将会执行适当的行动。首先尽可能地切断入侵者,并且孤立受到攻击的节点,断绝攻击者在网络中的一切通信;然后存储适当的网络操作,包括路由路径改变,保密资料的改变,如密钥等,使用分布在网络其它部分的冗余信息来存储部分系统。此外,由于网络中存在恶意节点,因此需要重新构建新的路由,将恶意节点所在的路由全部删除,所建的新路由必须可以避开这些恶意节点。传感器网络的自发行为意味着这些功能必须在无人工干预的情况下并在有限的时间内执行。对于入侵响应模块不做深入研究,因为这篇论文主要是前面所说的入侵检测部分。但是在任何情况都应该注意,入侵响应不仅仅依据一部分节点的请求,因为在攻击过程中不只一个节点已受到攻击。

3 仿真结果与分析

3.1 实验模型

通过仿真实验对提出的基于FSM和节点协作的Sinkhole攻击检测模型的性能进行分析和评价,在Pentium 2.5Ghz,512MB RAM,使用Red Hat Linux 9.0操作系统环境下,使用网络模拟平台是NS-2[8]进行模拟。在1000mX1000m的正方形区域中,30个节点随机地分布在上述区域中,每个节点的传输范围为250m,节点的最大移动速度在5m/s-30m/s范围内,介质访问控制层采用IEEE802.11MAC协议,路由协议为AODV协议。每秒发送一个512byte的数据包,数据传输类型为CBR,仿真时间为600s。

在仿真之前,首先要创建网络的拓扑结构,为了更好地验证该入侵检测系统的性能,运行genscen文件将随机生成30个节点的位置信息,生成的节点的信息如图3所示。

如图3所示,每个黑色小矩形前面的是节点的坐标,以此往下是按节点的ID进行排序的,根据生成的节点的信息生成的网络拓扑图如4所示。

在仿真实验中通过修改AODV协议中的一些函数,使用最短跳数的方式实现针对该路由协议的Sinkhole攻击模型,具体执行过程如图5所示。

可以通过修改AODV协议中函数来实现攻击。

3.2 性能分析

在仿真实验中每100s统计一次分组传递率和延迟的数值,同时观察在没有攻击、有Sinkhole攻击、有Sinkhole攻击同时部署入侵检测系统三种不同情况下的网络性能的变化。

从图6中可以看到,在没有攻击发生的情况下,网络分组传递率一直保持着较高水平,达到0.9左右,且大部分数据分组可以正常到达目的节点,随着节点移动速度的增大,网络的拓扑不断的变化,节点间的路由也发生变化,分组传递率呈现略微下降趋势;当网络中攻击节点出现后,网络的分组传递率则大幅度降低,在0.36左右;而在网络中加入分布式入侵检测系统后,网络的分组传递率明显上升,基本上保持在0.8左右,很明显入侵检测系统起了重要的作用,但是由于网络路由的动态变化,同时应用入侵检测系统会占用一定的资源,网络性能无法达到正常状态下的水平。

从图7中可以看到,在有攻击出现的情况下,网络延迟最大,其平均值在0.3s左右,这是因为在有攻击发生的情况下,恶意节点丢弃一部分数据包,影响数据包的正常传递;而在安全网络环境下,网络的性能良好,网络延迟在0.1 s上下,随着节点运动速度的增加也会使网络的路由不断变化,重建路由必然会增加网络时延;部署了入侵检测系统后,网络平均时延在0.15s左右,虽然比安全状态下的网络时延大,但是比没有部署入侵检测系统时要小。很明显入侵检测系统起了重要的作用,很大程度减轻了Sinkhole攻击的影响,此外入侵检测系统的运行必然占用一定的资源,但是要求高安全度的环境下,付出额外的开销也是必要的,在对网络性能影响不是很大情况下增加的时延也在网络可接受范围之内。

4 结语

本文提出了一种基于AODV路由协议的分布式入侵检测系统,并对各功能模块进行了详细介绍,最后,对提出的入侵检测系统进行了仿真实验和分析,仿真和分析结果表明本文设计的分布式入侵检测系统虽然会增加一定的时延,但是网络总体性能提高。本文提出的Sinkhole攻击检测系统,目前主要处于理论研究、部分功能模块的实现阶段,还需要进一步修正和完善,同时还要深入研究其他类型的攻击特点并建立相应的入侵检测规则,使之可以检测其它更多类型的攻击,逐渐建立更加完善的入侵检测系统。

参考文献

[1]任丰原,黄海宁,林闯.无线传感器网络[J].软件学报,2003,14 (7):1282-1291.

[2]Akyildiz I F,Su W,Sankarasubramaniam Y,et al.Cayirci,Wireless sensor networks;asurvey[J].Computer Networks,2002,38(4);393 ??-422.

[3]Onat I,Miri A.An intrusion detection system for wireless sensor networks [J].Wireless and Mobile Computing,Networking and Communications, 2005(3):253-259.

[4]Edith Ngai.Intrusion Detection in Wireless Sensor Networks[C]. Group Meeting Spring,2005.

[5]谢磊,徐勇军,祝跃飞,等.基于汇聚度的传感器网络sinkho1e攻击检测[J].计算机工程,2009,35(11):1-3.

[6]Tseng Chin-Yang,Poomima Balasubramanyam,Calvin Ko,et al.A Specification-Based Intrusion Detection System For AODV[C]//Proceedings of the 1 st ACM workshop on Security of Ad Hoc and sensor networks,ACM Press,2003:125 - 134.

[7]Krontiris I,Dimitriou T,Giannetsos T,et al.Intrusion Detection of Sinkhole Attacks in Wireless Sensor Networks[C]//Proceedings of the 3rd International Workshop on Algorithmic Aspects of Wireless Sensor Networks.Wroclaw,Poland,2007:150 - 161.

网络入侵检测系统研究 篇10

随着上海水务信息化发展的快速推进和不断深化, 电子政务、数字水务、水务公共信息平台、水务IT服务管理平台等信息化成果有力推动了水务的现代化建设。信息技术在有效支撑政府部门深化管理能力、提升公共服务水平的同时, 其所带来的安全隐患也在日益显现。在互联网技术快速发展的背景下, 网络攻击手段和方法日趋复杂多变, 传统静态安全防御措施, 如防火墙、身份认证及数据加密技术等已无法满足网络防护的需要。入侵检测系统作为一种积极主动的安全防护技术, 从立体化、多层次的安全防御角度出发, 通过检测受保护系统的状态和活动, 对内部攻击、外部攻击和误操作实施实时保护, 弥补了传统安全技术的不足, 成为当前水务网络安全管理工作的重要组成部分。

1 水务网络安全分析

1.1 水务网络安全现状

上海水务网络由中国水利信息网接入网、市防汛水务专网、市政务外网接入网、办公局域网、无线专网等网络组成, 实现了上连国家防总、水利部、全国流域机构, 中连全市各委办局、下连所有局属单位以及全市各区县防汛指挥部, 系统承载了防汛报讯系统、电子政务系统、水务公共信息平台、视频会议系统、视频监控、水务热线、水资源管理系统等重要水务防汛应用。

为确保网络运行安全和系统应用正常, 水务网络实施了一系列的安全防护措施:在网络边界处部署安全访问控制设备, 如防火墙、上网行为设备等, 建立了安全的通信连接, 确保数据访问合法并在有效的安全管理控制之下;在网络计算机终端部署集中的病毒防护与补丁升级管理系统等。

1.2 水务网络安全风险

1.2.1 软件漏洞

软件漏洞主要包括操作系统漏洞、数据库系统漏洞、中间件漏洞、应用程序漏洞等。虽然操作系统、数据库等厂商会不定期发布补丁, 但是, 由于应用系统对原有程序开发环境的依赖度较高, 补丁升级存在较大安全风险和不确定性, 导致服务器系统补丁升级常常较为滞后或缺失。此外, 应用程序本身也普遍缺失安全技术, 存在诸多未知安全漏洞等问题。

1.2.2 计算机病毒

随着互联网的发展, 计算机病毒已成为计算机网络安全的第一威胁, 主要包括网络病毒、文件病毒、引导型病毒等。

1.2.3 黑客攻击

国家互联网应急中心 (CNCERT) 的数据显示, 中国遭受境外网络攻击的情况日趋严重, 在信息系统漏洞频出的情况下, 面向有组织的黑客攻击行为, 现有的安全技术防护和管理措施捉襟见肘。

2 入侵检测系统概述

2.1 入侵检测系统分类

入侵检测系统 (IDS) 按照检测模型划分为异常检测和误用检测两种模式, 异常检测模式定义的是行为, 漏报率低, 误报率高, 可有效检测未知入侵, 而误用检测模式定义的是特征库, 误报率低、漏报率高, 对未知攻击效果有限;按照检测对象划分为基于主机 (HIDS) 和基于网络 (NIDS) 两种检测模型, 基于主机的入侵检测系统的优点在于部署灵活, 不受制于加密和交换环境, 监控内容更加细致, 能够准确判断攻击是否成功, 误报率小, 缺点在于占用主机资源, 依赖操作系统底层支持, 无法检测下层协议的入侵活动, 基于网络的入侵检测系统优点在于监控全网资源、实时性强、不依赖具体的操作系统, 缺点在于无法检测加密传输、难以检测针对应用层的攻击, 无法采集高速网的所有数据包等。

2.2 入侵检测系统功能

作为一种安全管理工具, 入侵检测系统从不同的系统资源收集信息, 分析反映误用或异常行为模式的信息, 对检测的行为作出自动的反应, 并报告检测过程的结果。入侵检测系统就其最基本的形式来讲, 可以说是一个分类器, 它是根据系统的安全策略来对收集到的事件/状态信息进行分类处理, 从而判断出人侵和非入侵行为。入侵检测系统的主要功能有:1) 监视、分析用户及系统行为, 查找非法用户和合法用户的越权操作;2) 系统配置和漏洞的审计检查;3) 评估重要系统和数据文件的完整性;4) 识别、反应已知攻击的行为模式并报警;5) 异常行为模式的统计分析;6) 操作系统的审计跟踪管理及违反安全策略的用户行为的识别。

2.3 入侵检测系统在网络安全中面临的挑战

2.3.1 漏报和误报

目前, 大多数入侵检测系统依赖于误用检测技术, 这种技术产生较少的误报, 但是不能检测新的未知攻击。由于只是模型化已知的攻击, 该类入侵检测系统需要不断的更新攻击者的“指纹库”, 若更新滞后将会产生较多的漏报。同时另一种异常检查技术由于通过与正常用户行为活动的差异程度来判断是否入侵, 较易产生误报。

2.3.2 虚拟化环境中的检测“盲点”

当前水务重要信息系统运行在虚拟平台中, 在虚拟化环境下, 同一台物理服务器上的虚拟机之间通过虚拟网络通信, 这就导致传统的入侵检测系统对虚拟机之间的通信数据包及通信流量不可见。如果一台客户虚拟机被攻陷, 就可以以这台虚拟机为跳板绕过安全防御机制, 对其他的客户虚拟机发起攻击, 入侵检测系统却无法检测到该类攻击行为。

2.3.3 检测信息的判读

无论是哪种技术, 入侵检测系统的准确性都无法达到百分之百, 均存在不同比例的误报情况, 特别是针对疑似“安全事件”的预警信息需要人工判读。但在实际的应用工作中却面临困难:一方面安全管理员需要具有较为全面的信息安全知识, 足以支撑信息安全判读所需的知识构成;另一方面, 信息判断的依据缺失。

3 入侵检测系统在水务网络中的应用

3.1 应用原则

入侵检测系统部署首先要全网统一考虑, 覆盖到网络安全的关键环节和重要设备, 充分考虑可扩展性和可持续性, 分布实施; 再次要依据等级保护基本要求, 依据不同等级信息系统做好相应的入侵防范工作, 例如二级系统要求在网络边界监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为, 三级系统在二级系统要求的基础上增加了对重要服务器进行入侵的行为, 能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间, 并在发生严重入侵事件时提供报警等;此外, 入侵检测系统本身是一个安全工具, 不能因为它的引入对现有网络或应用带来新的安全问题, 尽量减少对现有系统和网络性能与资源的占用, 并通过合理的系统结构来保证系统应用的实时性和有效性。

3.2 部署架构

在部署IDS之前需开展网络信息安全风险评估, 确定网络环境中存在的脆弱环节和潜在风险。目前水务网络与因特网物理连接, 局域网内有等级保护三级的信息系统和需要重点管控的数据服务器, 同时部分终端计算机存在系统补丁未升级现象。基于这些风险, 所以在因特网防火墙的DMZ区部署NIDS, 用于监视针对DMZ区域的系统攻击、检测源于网络内部针对外部目标的攻击以及帮助检测防火墙配置策略上的错误;在局域网核心交换机区域部署NIDS, 用于监视内网网络流量中疑似攻击行为, 保护内网的终端计算机, 同时在拒绝服务攻击对关键子网造成破坏之前, 及时阻止该类行为;在关键子网区域部署NIDS用于监视针对关键系统、服务和资源的攻击;在等级保护三级的信息系统服务器和重要数据存储服务器上部署HIDS, 用于针对关键设备或重要设备的针对性检测, 其检测粒度更细, 可靠性更高。入侵检测系统部署架构图如下:

3.3 安全管理

日常安全管理是确保入侵检测系统发挥作用的重要环节。安全策略设置是入侵检测系统使用管理过程中的第一步, 应根据网络环境安全风险状况及需关注的重要安全因素制定详细安全策略, 并按照不同事件的响应级别选择语音、短信、邮件等不同层级的安全告警方式。再次, 应根据不同事件级别制定事件响应策略, 明确应急人员、处置流程、保障措施等, 确保事件响应的及时性和有效性;管理员须定期查看审计日志, 针对预警信息进行统计分析, 对网络中普遍存在的安全预警或长期存在的风险提示制定整改措施, 将网络环境中潜在的风险和隐患降到最低。

4 总结

随着水务信息化进程的加快, 信息系统所面临的安全风险越来越多, 入侵检测系统作为一种主动预警系统, 较好的弥补了静态安全防护措施的不足。正确的部署入侵防御系统, 开展有效的安全管理并针对性的制定响应机制, 成为保驾水务网络信息安全, 不断提升水务信息安全管理水平的重要保障工作。

摘要：本文介绍了水务信息化快速发展进程中, 水务网络安全管理工作的重要性, 水务网络安全管理现状, 分析了当前水务网络面临的安全风险, 引入入侵检测系统, 在分析其面临的安全挑战的基础上, 研究了入侵检测系统在水务网络中的部署原则、应用架构和安全管理措施。

关键词：入侵检测系统,水务,网络,安全管理

参考文献

[1]GB/T 22239-2008, 《信息安全技术信息系统安全等级保护基本要求》[S].

[2]GB/T 25058-2010, 《信息安全技术信息系统安全等级保护实施指南》[S].

[3]周俐军, 王冬梅, 宋皓.政务内网信息安全风险分析及对策[J].电子政务, 2008 (8) .