1. 研究目的与意义
随着计算机及网络的飞速发展,网络技术的应用也日益普及。随着网络的开放性、共享性和互联程度的不断扩大,众多的企业、组织、政府部门和机构都在组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展的强大动力,其地位越来越重要。伴随着网络的发展,网络的安全问题也逐渐突出。用户传统上采用防护墙作为网络安全的第一道防线,而随着网络知识的普及、攻击软件及资源的易获取性,普通的用户都可以成为黑客。计算机网络的安全性主要包括网络服务的可用性、网络信息的保密性和网网络信息的完整性。自九十年代以来,入侵检测一直是一个非常活跃的研究领域。入侵检测算法主要研究针对计算机和网络系统的非法攻击,并采取行之有效的措施,改进算法,从而避免重要数据的破坏和丢失。
2. 国内外研究现状分析
由于检测技术在网络安全防护中起的作用直观重要,因此国内外个科研机构非常重视对ids技术的研究。国外研究机构对ids的研究起步较早,至今已形成了成熟的技术和产品,如cisco公司的netranger、iss的realsecure、anzen的nfr、sri公司的ides、一级多个开放源代码的系统(如snort,bro等)。
iss(国际互联网安全系统公司)的realsecure提供基于网络和基于主机的入侵检测代理,具有较为先进的只能攻击识别技术,能够监控网络传输并自动检测和响应可以的行为,在系统受到危害之前拦截和响应攻击。
enterasys公司的dragon由网络传感器、主机传感器、策略管理器和安全信息管理器四部分组成,其中网路传感器采用了一个专利分析算法,具有较高的检测性能;主机传感器通过一个模块化架构为大多数操作系统提供基于主机的入侵检测;策略管理器对各种规模的应用进行集中的企业级管理;安全信息管理器通过一个集成的检测、分析和报告系统,集中收集所有安全信息,并在高速数据库中对网络中各种事件进行规格化,与其他安全防护设备提供的数据一起进行关联分析。
3. 研究的基本内容与计划
入侵检测技术发展到见天已经取得了巨大的进展,现有的入侵检测系统已经能够在很大程度上抵御对系统的攻击,但不可否认现有的入侵检测系统还存在着很多不足之处,比如:攻击特征库的更新不及时,不同的入侵检测系统之间不能互操作,缺乏有效跟踪分析等。
由于目前大部分ids产品都是网络入侵检测系统,而nids还面临着一些列诸如检测速度瓶颈的问题。因此,本人将致力于对现有的检测技术改善提高。
研究时间表:
4. 研究创新点
直接从实际入手,分析需求,经过自己的之前对理论知识的系统的学习,提出改进方法,并建立模型,用实际数据进行测试,以达到真实的效果。
