根据网络行动剖析的侵略检测系统研讨

 

        1.1研究背景及意义计算机网络在经济和生活的各个领域正在迅速普及，众多的企业、组织、政府部门与机构都在组建自己的网络并连接到互联网上，以充分共享、利用网络的信息和资源。整个社会对网络的依赖程度越来越大，网络显然已经成为国家的基础设施和社会经济发展强大动力。然而伴随着网络的发展也产生了各种各样的问题，其中安全问题尤为突出。近年来由于网络犯罪的递增，大量重大安全后果事件的发生，促使人们更加重视网络的安全问题。1988年11月2口“MorrisWorm”通过自复制方式感染网络主机系统并破译系统密码而实现恶意代码传播，给整个互联网系统造成了巨大的损失，揭开了互联网入侵攻击的序幕。为了应对“MorrisWorm”的挑战，美国DARPA建立了计算机紧急响应组(ComputerEmergencyResponseTeam)，机构的主要任务是报告并统计分析互联网上发生的主要安全事件，同时开展信息安全领域的基础性研究。美国GeneralAccountingOffice(GAO)1996年的报告指出[1,2]199_5-1996年度针对美国政府计算机系统的入侵事件达2_5000次，而其中仅1070-4%的入侵被检测到，甚至有的不到1070;同时显示，入侵攻击在过去5年中以2_50%的速度增长，99%的大公司均发生过重大入侵事件，而目_针对政府和重要部门计算机系统的攻击变得口益频繁。在我国也不断发生黑客入侵网络和系统的事件。

 

       公安部每年进行的“全国信息网络安全状况与计算机病毒疫情调查”结果显示我国信息网络安全事件发生比例连续多年增长，2008年信息网络安全事件发生比例为62.7070，计算机病毒感染率为8_5._5}02007年_5月至2008年_5月期间发生过一次以上网络安全事件的调查样本比例为62070，这其中还不包括已经受到非法侵害却没有察觉的样本比例[3]。如图1-1zoo?年5月至zoos策月是否发生过网络安全事件o}}"1'uo2tr}o32iC61(}"}}$}图1-12008年我国信息安全事件发生比例随着计算机知识和互联网的普及，各种入侵工具可以轻易获取，攻击类型和!手段口趋复杂多样化。传统的保护网络安全的方法就是使用防火墙和安装防病毒软件。这种被动地对系统自身进行加固和防护的方法已经不能满足当今网络安全的需求。现实需要一种积极主动的安全防护技术，提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截入侵，使其成为防火墙的合理补充。这项技术就是入侵检测技术(IntrusionDetectionSystemIDS)o在结合多项安全技术之后，一个较通用的网络安全层次结构如图1-2所示。图1-2网络安全防范层次结构防火墙和身份认证负责把黑客挡在门外，使入侵者“进不来”;访问控制技术负责控制对信息的读写，使入侵者“拿不走”重要信息;信息加密技术使入侵者“看不懂”获得的信息，}fn要及时的发现入侵攻击，就需要入侵检测技术。入侵检测系统(IntrusionDetectionSystemIDS)是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。入侵检测技术作为一种积极主动的网络安全防护技术，具有监视和分析用户或系统的行为、检测系统配置、对入侵行为进行主动防御等功能，使系统管理员可以有效地监视和检测自己的网络信息系统，扩展了系统管理员的安全管理能力。因此，入侵检测技术提供了对外部攻击、内部攻击和误操作的实时防护，弥补了传统网络信息安全保护措施的不足。

 

       1.2入侵检测技术在国内外研究状况1.2.1国外研究状况1980年，Anderson}4}-先提出了入侵检测的概念，他将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息，致使系统不可靠或无法使用的企图，他提出审计追踪方法可应用十监视入侵威胁。这一设想的重要性当时并未被理解，但他的这一份报告被认为是入侵检测的开创性工作。此后入侵检测技术不断发展，199_5年以后出现了很多不同的新的IDS研究方法特别是智能IDS，包括神经网络、遗传算法、模糊识别、免疫系统、数据挖掘