入侵防御系统技术研究

【摘 要】本文在充分研究当前入侵检测系统基础上，对现有入侵防御系统技术进行了介绍。对PDRR模型和传统入侵检查模型进行了对比，最后对IPS当前存在问题进行了分析，为未来安全防护结构发展方向进行了介绍。

【关键词】IPS PDRR 入侵检测

一、引言

目前计算机网络融人到人类社会的方方面面， 与此同时计算机网络本身的安全问题也日益严重。传统上网络系统的安全主要由防火墙和人侵检测两大支柱技术来保障， 这两大技术对网络系统的安全都曾经起到重大的作用， 为维护网络系统的安全做出过巨大的贡献。另一方面， 网络攻击技术也在不断的发展， 出现了小分片攻击、慢扫描、Ddos攻击、加密攻击等新的攻击技术， 甚至还出现了专门攻击防火墙与人侵检测系统等网络安全软件的攻击程序， 这一切都对传统的网络安全技术提出了挑战， 对网络安全技术的发展提出了新的要求。

同时， 防火墙和人侵检测系统自身也存在一些固有的弱点， 使得自身的发展受到限制。如防火墙本身容易受到攻击， 且对于内部网络出现的问题经常束手无策。人侵检测系统是保障网络正常运行的重要工具， 具有识别人侵特征和安全审记等功能， 人侵检测系统可以检测出已知的和未知的人侵， 是一种主动式安全检测技术。人侵检测系统可以分为两大类异常人侵检测系统和误用人侵检测系统， 由于检测误差的存在， 异常人侵检测系统会产生较高的误报率， 从而产生大量的警报， 使真正的人侵信息淹没在虚假的警报信息中而误用人侵检测系统会出现较高的漏报率， 不能检测到未知的人侵同时， 由于人侵检测系统必须要对网络中所有通过的数据包进行检测， 而检测本身又是一个非常耗时的过程， 这就使得人侵检测系统本身的负载量非常大， 导致检测效率的下降和引起网络性能的瓶颈另外， 人侵检测系统虽然具有响应模块， 但入侵检测系统的响应技术的发展严重滞后， 大量的人侵信息不能够自动处理， 必须要人工干预， 人工处理的速度很慢， 效果很差， 这也影响了人们对性能的信心。

目前第三种重要的网络安全技术―入侵预防系统（IPS）已经产生。人侵预防系统（IPS）将会成为下一代的网络安全技术。具备一定程度的智能处理功能， 能够防御住未知的攻击， 是一种比防火墙和更为主动的防御系统。

二、PDRR模型

传统的网络安全模型， 基本原理都是建立在基于权限管理的访问控制理论基础上的， 都是静态的， 如Bell-Lapadula模型、Biba模型、信息流控制的格模型、Iris授权模型、数据隐藏模型、消息过滤模型等。但是随着网络的深人发展， 静态的网络安全模型已经不能适应当前的分布式、动态变化、发展迅速的网络环境。针对日益严重的网络安全问题和越来越突出的安全需求， 代表“ 动态安全模型” 的“PDRR模型” 应运而生。在研究信息安全及网络战防御理论的过程中， 美国国防部提出了信息保障的概念， 并给出了包含保护、检测、响应3个环节的动态安全模型， 即P2DR模型， 后来又增加了恢复环节， 形成了PDRR模型。PDRR模型结构图如图：

PDRR模型是在整体的安全策略的控制和指导下， 综合运用防护、检测、响应、恢复四种工具， 全方位确保被保护系统的安全。首先利用防护工具对被保护系统提供基础的防护同时， 利用检测工具了解和评估系统的安全状态通过适当的响应将系统调整到“ 最安全” 和“ 风险最低” 的状态通过恢复操作将受到攻击影响的系统恢复到原始的健康状态。防护、检测、响应和恢复组成了一个完整的、动态的安全循环周期。

安全策略是指在一个特定的环境里， 为保证提供一定级别的安全保护所奉行的基本思想、所遵循的基本原则。“ 可信计算机系统评估准则”TCSEC 中定义安全策略为“ 一个组织为、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总和”。PDRR模型中， 安全策略已经从以前的被动保护转到了主动防御。因此， PDRR的安全策略是对整个局部网络实施的分层次、多级别的包括安全审计、人侵检测、告警和修复等应急反应功能的实时处理系统策略。

三、结束语

IPS的发展是一个寻求在准确检测攻击的基础上防御攻击的过程， 是功能由单纯审计跟踪到审计跟踪结合访问控制的扩展， 实现了由被动防御过渡到主动防御， 并且将人侵检测和访问控制紧密融合。入侵防护系统IPS适时顺应了安全保障体系中主动防御以及功能融合、集中管理的趋势， 日益受到越来越多的人们的关注。本文针对聚类技术进行了相关的研究，首先给出了聚类的基本概念和相关的描述，说明了聚类分析技术的重要性。随后针对相关的聚类分析方法进行了研究，分析了它们的特点和优、缺点。本章最后，给出了聚类分析的数学模型，研究了应用人工鱼群计算技术解决聚类问题的思路和方法，同时针对该算法进行了相关的改进，使算法具有较好的全局收敛能力和计算效率。

虽然目前IPS的技术还不是很成熟， 但是随着技术的发展和数据处理能力的提高， 技术将日益完善， 并必将在信息安全体系中起到越来越重要的作用。在未来， IPS可以采用一些更为先进的技术来提高系统的性能， 如并行处理检测技术来提高检测速度， 协议重组分析和事件关联分析技术来进一步加大检测的深度， 机器学习技术来提高自适应能力等， 以及进一步提高IPS的响应性能， 数据挖掘技术进一步提高网络数据的应用价值， 使具备更高的智能性。IPS是网络安全领域的一个新的卫士， 它的出现必将极大地增强网络安全领域的实力， 开辟网络安全领域发展的一个新的局面， 为互联网提供更高层次的安全保障。

参考文献：

[1] 于海涛，李梓，王振福，等.入侵检测相关技术的研究[J].智能计算机与应用，2013.

[2] 周绪川，蔡利平.移动Ad Hoc网络的入侵检测机制[J].中国民航飞行学院学报，2007，18（2）：212-215.

[3] 张宏亮.BP算法在IDS中的应用与实现的研究.兰州大学硕士学位论文.2005