第4卷 第2期 华北科技学院学报 2007年4月
基于入侵预防的网络入侵检测技术的研究①
马艳春 ,肖危0柏②
(1.华北科技学院,北京 东燕郊 101601;2.北京工业大学,北京 100022)
摘 要:通过分析当前典型的基于特征的入侵检测系统的技术实现,阐述 了入侵预防系统的实现要点,基于
入侵预防结构的研究提出了一个通用的入侵预防系统 ,对入侵预防系统的实现原理作 了初步探讨。
关键字:Intrusion Detection;Intrusion Prevention;网络安全;NIDS;蠕虫病毒
中图分类号:TN915 文献标识码 :A 文章编号:1672—7169(2007)02—0087—04
1 入侵检测技术
入侵检测技术按其输入数据的来源来看,大
致可以分为三类:网络型(network—based)、主机型
(host—based)和二者的复合体。入侵检测系统(可
能为软件或硬件)是设计来监测信息系统和网络
系统上可能潜在的恶意的破坏活动。入侵检测系
统的原理就是将从信息系统或网络系统上收集到
的活动信息,与大型攻击特征数据库作比较,找出
每个特征所代表的避开或使安全保护失效的意
图。其次它可以发现与授权用户越权使用有关的
问题(如普通职员查看付费管理记录)。最后,一
些入侵检测系统对信息进行统计分析,寻找可能
不属于前两类的反常行为(如发生在特殊时间的
访问,反常的登录失败次数)。
1.1 网络型入侵检测系统
网络型入侵检测系统(Network Intrusion De—
tection System,NIDS)与网络连接,并分析 网络
收集来的封包。从网络收集来的封包中提取资
料,然后将其与大型攻击特征数据库作比较,如果
封包资料与大型攻击特征数据库里的攻击特征不
相符,则网络流量便会被判定为正常的流量;相反
的,如果封包资料与大型攻击特征数据库里的某
项攻击特征相符,就会启动反制攻击的机制,例如
比较常用的发送电子邮件,或者是手机短信给网
络管理员。
1.2 主机型入侵检测系统
主机型入侵检测系统 (Host—based Intrusion
Detection System,HIDS)是根据主机的审计数据
和系统的日志发现可以可疑事件来进行检测的。
传统的做法是系统管理员在每天下班之前,在日
志记录中检查是否有任何可以的非法行为。这种
方式不仅耗时费力,而且无法及时的侦测出潜在
的而恶意的活动。同时,攻击者可能通过几次跳
板之后在来攻击你的服务器,这样在 日志记录中,
不能准确 的记录攻击 者的真实信息。现今的
HIDS在每一台主要的主机上安装一个代理程序
(Agend),由它来执行监控的工作,若有任何系统
事件(Event)被记录到 日志里,代理程序便会立即
将系统事件与大型攻击特征数据库里的攻击特征
进行比较,有些 HⅡ)S能够监控应用程序的日志,
甚至能够检查系统的 日志是否遭到更改过,来判
断主机是否遭到攻击。
2 现行入侵检测技术的限制
2.1 只能检测出已知的攻击模式
以对比方式为基础(Signature-based)的安全
检测机制只能够辨别出资料库中有相对应的攻击
特征的非法行为,所以攻击特征(Signature)的开
发速度会影响安全机制的有效性。以比对特征为
基础(Signature-based)的入侵检测系统在 1990年
中期成型,当时已知的安全漏洞数 目还并不多。
根据 CERT资料记载,在 1995年,只有 171个安
全漏洞被发布,Signature-based的信息安全产品
只要每月增加更新 10~12个攻击特征,便足以应
付当时的安全要求。
① 收稿 日期:2007—03—12
② 作者简介:马艳春(1979一),男,内蒙古通辽人,大学毕业,北京工业大学硕士研究生,华北科技学院现代教育中心教师,研究方
向:计算机应用技术。
肖创柏,男,北京工业大学博士生导师,研究方向:计算机科学技术与应用,计算机通信。
87
维普资讯
第 4卷第 2期 华北科技学院学报 2007 年 4 月
基于入侵预防的网络入侵检测技术的研究①
马艳春1 肖创柏②
(1华北科技学院,北京东燕郊 101601; 2 北京工业大学,北京 100022)
摘 要:通过分析当前典型的基于特征的入侵检测系统的技术实现,阐述了入侵预防系统的实现要点,基于
入侵预防结构的研究提出了一个通用的入侵预防系统,对入侵预防系统的实现原理作了初步探讨。
关键字 Intrusion Detection; Intrusion Prevention 网络安全;NIDS;蠕虫病毒
中图分类号: TN915 文献标识码:A 文章编号: 1672 -7169(2∞7)02 - 0087 - 04
1 入侵检测技术
入侵检测技术按其输入数据的来源来看,大
致可以分为三类:网络型(network-based) 、主机型
(host-based)和二者的复合体。入侵检测系统(可
能为软件或硬件)是设计来监测信息系统和网络
系统上可能潜在的恶意的破坏活动。入侵检测系
统的原理就是将从信息系统或网络系统上收集到
的活动信息,与大型攻击特征数据库作比较,找出
每个特征所代表的避开或使安全保护失效的意
图。其次它可以发现与授权用户越权使用有关的
问题(如普通职员查看付费管理记录)。最后,一
些人侵检测系统对信息进行统计分析,寻找可能
不属于前两类的反常行为(如发生在特殊时间的
访问,反常的登录失败次数)。
1. 1 网络型入侵检测系统
网络型入侵检测系统(Network Intrusion De-
tection System , NIDS) 与网络连接,并分析网络
收集来的封包。从网络收集来的封包中提取资
料,然后将其与大型攻击特征数据库作比较,如果
封包资料与大型攻击特征数据库里的攻击特征不
相符,则网络流量便会被判定为正常的流量;相反
的,如果封包资料与大型攻击特征数据库里的某
项攻击特征相符,就会启动反制攻击的机制,例如
比较常用的发送电子邮件,或者是手机短信给网
络管理员。
主机型入侵检测系统
主机型入侵检测系统 (Host-based Intrusion
① 收稿日期 :2007-03-12
Detection System , HIDS)是根据主机的审计数据
和系统的日志发现可以可疑事件来进行检测的。
传统的做法是系统管理员在每天下班之前,在日
志记录中检查是否有任何可以的非法行为。这种
方式不仅耗时费力,而且无法及时的侦测出潜在
的而恶意的活动。同时,攻击者可能通过几次跳
板之后在来攻击你的服务器,这样在日志记录中,
不能准确的记录攻击者的真实信息。现今的
HIDS在每一台主要的主机上安装一个代理程序
(Agend) ,由它来执行监控的工作,若有任何系统
事件(Event)被记录到日志里,代理程序便会立即
将系统事件与大型攻击特征数据库里的攻击特征
进行比较,有些 HIDS 能够监控应用程序的日志,
甚至能够检查系统的日志是否遭到更改过,来判
断主机是否遭到攻击。
2 现行入侵检测技术的限制
只能检测出已知的攻击模式
以对比方式为基础( Signature-based) 的安全
检测机制只能够辨别出资料库中有相对应的攻击
特征的非法行为,所以攻击特征(Signature) 的开
发速度会影响安全机制的有效性。以比对特征为
基础(Signature-based)的入侵检测系统在 1990 年
中期成型,当时已知的安全漏洞数目还并不多。
根据 CERT 资料记载,在 1995 年,只有 171 个安
全漏洞被发布, Signature-based 的信息安全产品
只要每月增加更新 10-12 个攻击特征,便足以应
付当时的安全要求。
② 作者简介:马艳春(1979- ),男,内蒙古通辽人,大学毕业,北京工业大学硕士研究生,华北科技学院现代教育中心教师,研究方
向:计算机应用技术。
肖创柏,男,北京工业大学博士生导师,研究方向 t计算机科学技术与应用,计算机通信。
87
第 4卷 第 2期 华北科技学院学报 2007年 4月
随着公布的安全漏洞的数 目的不断快速增
加,加上变形攻击(Mutations)的出现,上述情况
已经逐渐被改观。
针对每一种不同的攻击,Signamre-based的人
侵检测产品都需要一个相对应 的攻击特征,在
2001年,每一天至少需增加6个特征到资料库中,
相信这个数字在现在已经增加到每天至少增加 18
个攻击特征。Signature-based的安全机制无法跟上
已知漏洞的速度。以安全漏洞的数目之多,在加上
以惊人的速度增加,极有肯能目前已知的安全漏洞
之中并没有相对应的攻击特征(Signature)。
2.2 误判率
现行的攻击模式与特征对比的技术,常出现
误判(将正常的网络存储行为误认为攻击行为;或
无法精确的辨别出攻击行为)的状况,(现已经有
信息安全厂商针对此缺点提出新的技术解决方案
来降低误判率),当误判率过高,管理人员疲于调
查追踪错误的报警,会造成安全设备与安全管理
人员的效率降低。误判的状况,在网络型人侵检
测系统最为严重。因为网络型人侵检测系统多半
有效能上的瓶颈,当效能跟不上网络流量的速度,
就会开始扔掉封包(Drop packets),导致封包信息
不完全而容易造成误判。
2.3 缺乏有效的回应
目前的人侵检测系统都是反映式的——通常
是扫描配置存在的弱点、攻击后才发现攻击。虽
然防病毒厂商和人侵检测厂商常常会“随时待
命”,对攻击事件迅速作出响应。但此时攻击已经
生效,网络或个人系统因而陷人瘫痪。所以比较
88
ping地址
浏览端口
猜测密码
删除文件
修改文件
渗透安全漏洞
系统当机
拒绝式服务
窃取秘密
不容易显示出它的效益,也限制了它对网络系统
所提供的防护功能。
3 解决方案——入侵预防技术(Intrusion
Prevention)
针对上述现有的人侵检测系统的不足,笔者
提出一种可以在近乎零误判率的情况下侦测出未
知、未曾出现过的攻击行为,能积极主动的加强桌
面系统和服务器的安全,并能有效的阻止攻击,预
防系统受到损害的新技术。
3.1 入侵预防技术的背景
人侵预防技术的原理,主要是参考、利用了黑
客攻击程序来完成的,黑客攻击程序如图1所示。
1)探测(Probe)阶段:在一开始,黑客最主要
的目的是找出有安全漏洞,可以下手攻击的主机。
2)渗透(Penetrate)阶段:在这个阶段,黑客
最主要的目的是利用特定的攻击手法,例如缓存
溢出(Buffer overflow),将攻击程序传送到攻击目
的地主机,并执行程序。
3)常驻(Persist)阶段:当攻击程序成功的在
攻击目的地主机上执行,攻击程序会让自己可以
常驻在受害主机上,即使受害主机重新开机也能
持续运作,供远端遥控地黑客使用。
4)扩张(Propagate)阶段:这是攻击程序会持
续扩张的阶段,黑客利用已经成功侵人并常驻在
受害者电脑的攻击程序寻找临近网络上是否可以
攻击的新目标。
5)瘫痪(Paralyze)阶段:真正的伤害会在此
时发生,受害者电脑的档案被删除,系统 当机,
攻击开始进行。
图 1 黑客攻击程序示意图
置
殳
件全
件文安务阱
维普资讯
第 4卷第 2 期 华北科技学院学报 2007 年 4 月
随着公布的安全漏洞的数目的不断快速增
加,加上变形攻击 (Mutations) 的出现,上述情况
已经逐渐被改观。
针对每一种不同的攻击, S增mtur号恼划的人
侵检测产品都需要一个相对应的攻击特征,在
2∞1 年,每一天至少需增加 6 个特征到资料库中,
相信这个数字在现在已经增加到每天至少增加 18
个攻击特征。 S串mtur号恼划的安全机制无法跟上
已知漏洞的速度。以安全漏洞的数目之多,在加上
以惊人的速度增加,极有肯能目前已知的安全漏洞
之中并没有相对应的攻击特征(S增mture) 。
误判率
现行的攻击模式与特征对比的技术,常出现
误判(将正常的网络存储行为误认为攻击行为;或
无法精确的辨别出攻击行为)的状况, (现已经有
信息安全厂商针对此缺点提出新的技术解决方案
来降低误判率) ,当误判率过高,管理人员疲于调
查追踪错误的报警,会造成安全设备与安全管理
人员的效率降低。误判的状况,在网络型人侵检
测系统最为严重。因为网络型人侵检测系统多半
有效能上的瓶颈,当效能跟不上网络流量的速度,
就会开始扔掉封包(Drop packets) ,导致封包信息
不完全而容易造成误判。
缺乏有效的回应
目前的人侵检测系统都是反映式的一一通常
是扫描配置存在的弱点、攻击后才发现攻击。虽
然防病毒厂商和人侵检测厂商常常会"随时待
命"对攻击事件迅速作出响应。但此时攻击已经
生效,网络或个人系统因而陷人瘫痪。所以比较
不容易显示出它的效益,也限制了它对网络系统
所提供的防护功能。
3 解决方案一一入侵预防技术( Intrusion
Prevention)
针对上述现有的人侵检测系统的不足,笔者
提出一种可以在近乎零误判率的情况下侦测出未
知、未曾出现过的攻击行为,能积极主动的加强桌
面系统和服务器的安全,并能有效的阻止攻击,预
防系统受到损害的新技术。
入侵预防技术的背景
人侵预防技术的原理,主要是参考、利用了黑
客攻击程序来完成的,黑客攻击程序如图 1 所示。
1)探测 (Probe) 阶段:在一开始,黑客最主要
的目的是找出有安全漏洞,可以下手攻击的主机。
2) 渗透 (Penetrate) 阶段:在这个阶段,黑客
最主要的目的是利用特定的攻击手法,例如缓存
溢出 (Buffer overf1ow) ,将攻击程序传送到攻击目
的地主机,并执行程序。
3) 常驻(Persist) 阶段:当攻击程序成功的在
攻击目的地主机上执行,攻击程序会让自己可以
常驻在受害主机上,即使受害主机重新开机也能
持续运作,供远端遥控地黑客使用。
4) 扩张(Propagate)阶段:这是攻击程序会持
续扩张的阶段,黑客利用已经成功侵人并常驻在
受害者电脑的攻击程序寻找临近网络上是否可以
攻击的新目标。
5) 瘫痪 (Paralyze) 阶段:真正的伤害会在此
时发生,受害者电脑的档案被删除,系统当机,
DOOS攻击开始进行。
k o
l--K队口址口码地端密鸣览测伊浏猜
置设
件全
件文安务阱文的表服陷的在册的门新存注新后建改化装册创修弱安注|「|
配哺mp
88
图 1 黑害攻击程序示意图
第2期 马艳春等:基于入侵预防的网络入侵检测技术的研究
在“渗透“与”常驻“这两个阶段之间有一条很
清楚的分界线。前两个阶段会有很多”变形“产
生,也就是同一个攻击程序会利用不同的方式渗
透,而且攻击程序在前两个阶段中多会利用回避
侦测(Evasion)的技术,例如将攻击程序掩藏在
Ⅵ 的Unicode中,让防火墙误以为是正常的网
页存取,并回避入侵检测系统。因此在黑客攻击
的前两个阶段,传统入侵检测系统除非有确切的
攻击特征(Signature),否则不易侦测出实际的攻
击手法(如果这是一个新的攻击方式),也极易造
成误判。
但攻击的后三个阶段刚好与前两个阶段刚好
相反。在后三个阶段中,攻击的模式相当固定,几
乎没有任何变化,例如改变受害这主机电脑的作
业系统、增加未被授权的使用者帐号、启动新的网
络连线、删除档案。1988年著名 的(Morris
Worm)与 2001年的(Nimda Worm)在后三个阶
段所执行的事几乎一模一样。再者,在这三个阶
段中的破坏行为,例如在(瘫痪)阶段中攻击程序
可能会窜改作业系统核心,这对安全机制来说就
是相当明显的攻击事件,比较容易被正确的辨别
出来。
如果要在攻击程序的早期侦测出攻击行为,
每一个攻击看起来都不一样,若要作出正确判断,
每一个攻击都需要一个个别相对应的攻击特征
(Signature),如此一来便会陷入无止境的攻击特
征(Signature)更新比赛,但黑客的攻击手法不断
翻新,攻击特征(Signature)的开发几乎是处于被
动的劣势。
3.2 入侵预防技术的安全性
一 个新的,以分析攻击行为为基础(Behavior-
based)的安全技术能有效的辨别与防止攻击。相
对于针对攻击前期的动作开发对比的攻击特征
(Signature),Behavior—based的安全机制,则是专
注在防止攻击后期的破坏行为。因为如前所述,
攻击后期的行为能被更有效而精确的辨别出来,
且真正的破坏行为也都是在攻击最后期发生的,
Behavior-based的安全机制忽略攻击程序是利用
何种手法进入内部网络,而专注在分析攻击程序
在攻击后期的破坏行为。举例来说 ,如果以一个
攻击后期的破坏行为是(网页服务器增加了一个
未被授权的使用者帐户),很多种攻击手法都会进
行此种非法行为,以对比特征为基础(Signature—
based)的安全机制需要好几个攻击特征(Signa—
ture)才能侦测出所有可能导致此种非法行为的
攻击,但是分析攻击行为为基础(Bahavior—based)
的安全机制不但只是侦测出攻击行为,还能主动
防止攻击所产生 的破坏。以对 比特征 为基础
(Signature—based)的安全机制由于误判率太高,即
使有主动回应的功能,使用者也要小心规则,因为
有可能阻止的是正常的网络连接。以分析攻击行
为为基础(Behavior—based)的安全机制,根据分析
与交叉对l:L(Correlation)整个黑客攻击程序,可以
精确的从所有(可疑)的连接中辨别出真正的攻
击,也能够辨别出加过密的攻击程序,即使是经过
SSL加密。
当应用程序(包括攻击程序)要开始执行时,
会存取所需要的系统资源。由于系统资源是由系
统核 t~"(Kerne1)来分配,因此应用程序(包括攻击
程序)会向系统核心来取得所需的资源,而应用程
序与系统核心之间的沟通称为 Operating System
call(或 API cal1),并与所有来 自同一应用程序的
OS calls作交叉对比以辨别出攻击程序,及时的允
许一般应用程序正常以及拒绝攻击程序的执行。
要有效的分析 OS call,必须拦截所有来 自File
System、network、Configuration(对 Windoves系统
的registry与Unix系统的rc files的读、写存取)
以及 Execution Space的OS calls。
因为 以分 析攻 击 行 为为基 础 (Behavior-
based)的安全机制主要优势在:
1)可以有效的回应已知未知的攻击,预防对
服务器与一般人电脑造成破坏;
2)对攻击的预防几乎零误判率;
3)不需陷入攻击特征(Signature)与安全漏
洞在数目上的竞争;
4)无需更新,因为入侵预防(Infusion Pre—
vention)系统并不会使用到攻击特征(Signature)。
以分析攻击行为为基础 (Behavior.based)的
89
维普资讯
第 2 期 马艳春等:基于入侵预防的网络入侵检测技术的研究
在"渗透"与"常驻"这两个阶段之间有一条很
清楚的分界线。前两个阶段会有很多"变形"产
生,也就是同一个攻击程序会利用不同的方式渗
透,而且攻击程序在前两个阶段中多会利用回避
侦测 (Evasion) 的技术,例如将攻击程序掩藏在
URL 的 Unicode 中,让防火墙误以为是正常的网
页存取,并回避入侵检测系统。因此在黑客攻击
的前两个阶段,传统入侵检测系统除非有确切的
攻击特征 (Signature) ,否则不易侦测出实际的攻
击手法(如果这是一个新的攻击方式),也极易造
成误判。
但攻击的后三个阶段刚好与前两个阶段刚好
相反。在后三个阶段中,攻击的模式相当固定,几
乎没有任何变化,例如改变受害这主机电脑的作
业系统、增加未被授权的使用者帐号、启动新的网
络连线、删除档案。 1988 年著名的( Morris
Worrn)与 2001 年的 (Nimda Worrn)在后三个阶
段所执行的事几乎一模一样。再者,在这三个阶
段中的破坏行为,例如在(瘫痪)阶段中攻击程序
可能会窜改作业系统核心,这对安全机制来说就
是相当明显的攻击事件,比较容易被正确的辨别
出来。
如果要在攻击程序的早期侦测出攻击行为,
每一个攻击看起来都不一样,若要作出正确判断,
每一个攻击都需要一个个别相对应的攻击特征
(Signature) ,如此一来便会陷入无止境的攻击特
1!E (Signature)更新比赛,但黑客的攻击手法不断
翻新,攻击特征(Signature) 的开发几乎是处于被
动的劣势。
入侵预防技术的安全性
一个新的,以分析攻击行为为基础(Behavior
based)的安全技术能有效的辨别与防止攻击。相
对于针对攻击前期的动作开发对比的攻击特征
(Signature) , Behavior-based 的安全机制,则是专
注在防止攻击后期的破坏行为。因为如前所述,
攻击后期的行为能被更有效而精确的辨别出来,
且真正的破坏行为也都是在攻击最后期发生的,
Behavior-based 的安全机制忽略攻击程序是利用
何种手法进入内部网络,而专注在分析攻击程序
在攻击后期的破坏行为。举例来说,如果以一个
攻击后期的破坏行为是(网页服务器增加了一个
未被授权的使用者帐户),很多种攻击手法都会进
行此种非法行为,以对比特征为基础( Signature-
based)的安全机制需要好几个攻击特征 (Signa
ture)才能侦测出所有可能导致此种非法行为的
攻击,但是分析攻击行为为基础 (Bahavior-based)
的安全机制不但只是侦测出攻击行为,还能主动
防止攻击所产生的破坏。以对比特征为基础
(Signature-based)的安全机制由于误判率太高,即
使有主动回应的功能,使用者也要小心规则,因为
有可能阻止的是正常的网络连接。以分析攻击行
为为基础(Behavior-based) 的安全机制,根据分析
与交叉对比(Correlation)整个黑客攻击程序,可以
精确的从所有(可疑)的连接中辨别出真正的攻
击,也能够辨别出加过密的攻击程序,即使是经过
SSL 加密。
当应用程序(包括攻击程序)要开始执行时,
会存取所需要的系统资源。由于系统资源是由系
统核心(Kemel)来分配,因此应用程序(包括攻击
程序)会向系统核心来取得所需的资源,而应用程
序与系统核心之间的沟通称为Operating System
call(或 API call) ,并与所有来自同一应用程序的
OS calls 作交叉对比以辨别出攻击程序,及时的允
许一般应用程序正常以及拒绝攻击程序的执行。
要有效的分析 OS call,必须拦截所有来自 File
System、 network、Configuration(对 Windows 系统
的 registry 与 Unix 系统的 rc files 的读、写存取)
以及 Execution Space 的 OS calls。
因为以分析攻击行为为基础( Behavior-
based) 的安全机制主要优势在:
1)可以有效的回应已知未知的攻击,预防对
服务器与一般人电脑造成破坏;
2) 对攻击的预防几乎零误判率;
3) 不需陷入攻击特征(Signature) 与安全漏
洞在数目上的竞争;
4) 元需更新,因为入侵预防 (Inrusion Pre-
vention)系统并不会使用到攻击特征(Signature) 。
以分析攻击行为为基础(Behavior-based) 的
89
第4卷 第2期 华北科技学院学报 2007年4月
安全机制真正做到人侵预防而非只是侦测攻击 ,
于是也称之为人侵预防(Intrusion Prevention),可
以提供更广阔的保障。
参考文献:
[1] 刘美兰,姚京松.入侵检测预警系统及其性能
设计[A].第一届中国信息和通信安全学术会
议论文集,北京:科学出版社,1999:105—111
[2] Axelsson S.TheBase-RateFallacy anditsImpli—
cations for the Dificulty of Intrusion Detection.P
orceedingsof the 6th Conferenceon Computer and
Communication Security,NewYork."ACM press,
19 99:1-7
[3] 李信满,赵大哲,赵宏,等,基于应用德高速网
络入侵检测系统研究[J].通信学报,2002
[4] 李佳静,徐辉,潘爱民.入侵检测系统中的协议
分析子系统的设计和实现[J].计算机工程与应
用 .2o03
[5] 杨小平,苏静.基于协议分析的入侵检测技术
研究[J].计算机应用研究,2004
[6] 蒋建春,冯登国.网络入侵检测原理与技术
[M].国防工业出版社,2001
[7] 丁慧林.基于负载均衡机制的网络入侵检钡系
统的设计和实现.西安:电子科技大学出版社,
2o04
[8] P~kev Gopalakrishna,Eugene H.Spafford.A
Framework for Distributed Intrusion De tection
using Interest Driven Cooperating agen ts.De —
partment of Computer science,Purdue Universi—
ty,May 2001
Study Oil Network Intrusion Detection Technology Based On Intrusion Prevention
1VIA Yah—chun ,XIAO Chuang-ba
(1.North China Institute of Science and Technology,Yanjiao Beijing—East 101601;
2.Beijing University of Technology,Beij ing 100022)
Abstract:Asthe network continues to expand,the invasion andmeansof attack aremore sophisticatedandcovert.Duetothe
inherent shortcanings oftraditionalintrusion detection s~tem,it has been unableto adapttothe current network environment.
Especially in the large-scale high-speed network environm ent,facing the attack of different characteristics,it shows inadequa—
cies.Meanwhile,the intrusion detection system,as a basic framewo rk of intrusion prevention s~tem,has become the focus of
researches made by domesticandforeignscholars.
This article focuseson researchon the stl-LlCtUreofintrusion prevention s~tem.Inthis article,the authorputsforwardagen eric
intrusion prevention systemthroughin.-depth analysisof ctt~entandtypicalintrusiondetection system technologybasedon char·-
acteristics.The author also explains the points of Intrusion Prevention System’S accc~nplishment and makes a preliminary dis—
Cussion on the principle of intrusion prevention system ’s acom'tplishmen t.
KeyWords:IntrusionDe tection;Intrusion Prevention;network safety;NIDS;Worm Virus
维普资讯
第 4卷第 2期 华北科技学院学报 2007 年 4 月
安全机制真正做到人侵预防而非只是侦测攻击,
于是也称之为入侵预防(Intrusion Prevention) ,可
以提供更广阔的保障。
参考文献:
[1] 刘美兰,姚京松.入侵检测预警系统及其性能
设计[A]. 第一届中国信息和通信安全学术会
议论文集,北京:科学出版社, 1999: 105-111
[2] Axelsson S. The Base-Rate Fallacy and its Impli-
cations for the Dificulty of Intrusion Detection. P
orl臼edingsof the 6th Conferenceon Computer and
Communication Security . NewYork:ACM press ,
1999:1-7
[3] 李信满,赵大哲,赵宏,等、基于应用德高速网
络入侵检测系统研究[J].通信学报,2∞2
[4] 李佳静,徐辉,潘爱民.入侵检测系统中的协议
分析子系统的设计和实现[J].计算机工程与应
用,2∞3
[5] 杨小平,苏静.基于协议分析的入侵检测技术
研究[J] .计算机应用研究,2004
[6] 蒋建春,冯登国.网络入侵检测原理与技术
[M]. 国防工业出版社,2001
[7] 丁慧林.基于负载均衡机制的网络入侵检领系
统的设计和实现.西安:电子科技大学出版社,
2∞4
[8] Rajeev G叩alakrishna , Eugene H. 句afford. A
Framework for Distributed Intrusion Detection
using Interest Driven coo阳ating Agents. De-
partment of Computer science , Purdue Universi-
ty ,岛1ay 2001
Study on Network Intrusion Detection T,配hnol叫0' Based on Intrusion Prevention
MA Yan-chun 1 , XIAO αω咆『缸2
(1. North China Instìtute of Science and Technology , Yanjiao Beijing-East 101601;
2. Beijing University of Technolc町, Beij ing 100022)
Ahstract: As the network ∞ntinues to 回归时, the invasion and means of attack are more sc咱phisticated and ∞vert. Due to the
i出erent shortcomings of traditional intrusion detection system , it has been unable to adapt to the current network environment.
Especially in the large-scale high叩便d network environment , facing the attack of different characteristics, it show百 inad吨U且
cies. Meanwhile , the intrusion detection system, as a basic framework of intrusion prevention system , has b仅:ome the focus of
r臼臼rches made by d由lestic and foreign scholars.
This article f,∞uses on research on the structure of intrusion prevention system. In this article , the author puts forward a generic
intrusion prevention system through in-depth analysis of current and typical intrusion detectiα1 system technology b笛edonch缸
acteristics. The author also 四plains the 阳nts of Intrusi∞Prevention System' s accomplishment and makes a prelinùnary dis-
αlSSÌon on the principle of intrusion prevention system' s acα)ffiplishment.
KeyW,倒也 Intrusion Detection; Intrusion Prevention; network safety; NIDS; Worm Virus
90
