【摘 要】本文在充分研究當前入侵檢測系統(tǒng)基礎上，對現(xiàn)有入侵防御系統(tǒng)技術進行了介紹。對PDRR模型和傳統(tǒng)入侵檢查模型進行了對比，最后對IPS當前存在問題進行了分析，為未來安全防護結構發(fā)展方向進行了介紹。

【關鍵詞】IPS PDRR 入侵檢測

一、引言

目前計算機網絡融人到人類社會的方方面面， 與此同時計算機網絡本身的安全問題也日益嚴重。傳統(tǒng)上網絡系統(tǒng)的安全主要由防火墻和人侵檢測兩大支柱技術來保障， 這兩大技術對網絡系統(tǒng)的安全都曾經起到重大的作用， 為維護網絡系統(tǒng)的安全做出過巨大的貢獻。另一方面， 網絡攻擊技術也在不斷的發(fā)展， 出現(xiàn)了小分片攻擊、慢掃描、Ddos攻擊、加密攻擊等新的攻擊技術， 甚至還出現(xiàn)了專門攻擊防火墻與人侵檢測系統(tǒng)等網絡安全軟件的攻擊程序， 這一切都對傳統(tǒng)的網絡安全技術提出了挑戰(zhàn)， 對網絡安全技術的發(fā)展提出了新的要求。

同時， 防火墻和人侵檢測系統(tǒng)自身也存在一些固有的弱點， 使得自身的發(fā)展受到限制。如防火墻本身容易受到攻擊， 且對于內部網絡出現(xiàn)的問題經常束手無策。人侵檢測系統(tǒng)是保障網絡正常運行的重要工具， 具有識別人侵特征和安全審記等功能， 人侵檢測系統(tǒng)可以檢測出已知的和未知的人侵， 是一種主動式安全檢測技術。人侵檢測系統(tǒng)可以分為兩大類異常人侵檢測系統(tǒng)和誤用人侵檢測系統(tǒng)， 由于檢測誤差的存在， 異常人侵檢測系統(tǒng)會產生較高的誤報率， 從而產生大量的警報， 使真正的人侵信息淹沒在虛假的警報信息中而誤用人侵檢測系統(tǒng)會出現(xiàn)較高的漏報率， 不能檢測到未知的人侵同時， 由于人侵檢測系統(tǒng)必須要對網絡中所有通過的數據包進行檢測， 而檢測本身又是一個非常耗時的過程， 這就使得人侵檢測系統(tǒng)本身的負載量非常大， 導致檢測效率的下降和引起網絡性能的瓶頸另外， 人侵檢測系統(tǒng)雖然具有響應模塊， 但入侵檢測系統(tǒng)的響應技術的發(fā)展嚴重滯后， 大量的人侵信息不能夠自動處理， 必須要人工干預， 人工處理的速度很慢， 效果很差， 這也影響了人們對性能的信心。

目前第三種重要的網絡安全技術—入侵預防系統(tǒng)（IPS）已經產生。人侵預防系統(tǒng)（IPS）將會成為下一代的網絡安全技術。具備一定程度的智能處理功能， 能夠防御住未知的攻擊， 是一種比防火墻和更為主動的防御系統(tǒng)。

二、PDRR模型

傳統(tǒng)的網絡安全模型， 基本原理都是建立在基于權限管理的訪問控制理論基礎上的， 都是靜態(tài)的， 如Bell-Lapadula模型、Biba模型、信息流控制的格模型、Iris授權模型、數據隱藏模型、消息過濾模型等。但是隨著網絡的深人發(fā)展， 靜態(tài)的網絡安全模型已經不能適應當前的分布式、動態(tài)變化、發(fā)展迅速的網絡環(huán)境。針對日益嚴重的網絡安全問題和越來越突出的安全需求， 代表“ 動態(tài)安全模型” 的“PDRR模型” 應運而生。在研究信息安全及網絡戰(zhàn)防御理論的過程中， 美國國防部提出了信息保障的概念， 并給出了包含保護、檢測、響應3個環(huán)節(jié)的動態(tài)安全模型， 即P2DR模型， 后來又增加了恢復環(huán)節(jié)， 形成了PDRR模型。PDRR模型結構圖如圖：

PDRR模型是在整體的安全策略的控制和指導下， 綜合運用防護、檢測、響應、恢復四種工具， 全方位確保被保護系統(tǒng)的安全。首先利用防護工具對被保護系統(tǒng)提供基礎的防護同時， 利用檢測工具了解和評估系統(tǒng)的安全狀態(tài)通過適當的響應將系統(tǒng)調整到“ 最安全” 和“ 風險最低” 的狀態(tài)通過恢復操作將受到攻擊影響的系統(tǒng)恢復到原始的健康狀態(tài)。防護、檢測、響應和恢復組成了一個完整的、動態(tài)的安全循環(huán)周期。

安全策略是指在一個特定的環(huán)境里， 為保證提供一定級別的安全保護所奉行的基本思想、所遵循的基本原則?！?可信計算機系統(tǒng)評估準則”TCSEC 中定義安全策略為“ 一個組織為發(fā)布、管理和保護敏感的信息資源而制定的一組法律、法規(guī)和措施的總和”。PDRR模型中， 安全策略已經從以前的被動保護轉到了主動防御。因此， PDRR的安全策略是對整個局部網絡實施的分層次、多級別的包括安全審計、人侵檢測、告警和修復等應急反應功能的實時處理系統(tǒng)策略。

三、結束語

IPS的發(fā)展是一個尋求在準確檢測攻擊的基礎上防御攻擊的過程， 是功能由單純審計跟蹤到審計跟蹤結合訪問控制的擴展， 實現(xiàn)了由被動防御過渡到主動防御， 并且將人侵檢測和訪問控制緊密融合。入侵防護系統(tǒng)IPS適時順應了安全保障體系中主動防御以及功能融合、集中管理的趨勢， 日益受到越來越多的人們的關注。本文針對聚類技術進行了相關的研究，首先給出了聚類的基本概念和相關的描述，說明了聚類分析技術的重要性。隨后針對相關的聚類分析方法進行了研究，分析了它們的特點和優(yōu)、缺點。本章最后，給出了聚類分析的數學模型，研究了應用人工魚群計算技術解決聚類問題的思路和方法，同時針對該算法進行了相關的改進，使算法具有較好的全局收斂能力和計算效率。

雖然目前IPS的技術還不是很成熟， 但是隨著技術的發(fā)展和數據處理能力的提高， 技術將日益完善， 并必將在信息安全體系中起到越來越重要的作用。在未來， IPS可以采用一些更為先進的技術來提高系統(tǒng)的性能， 如并行處理檢測技術來提高檢測速度， 協(xié)議重組分析和事件關聯(lián)分析技術來進一步加大檢測的深度， 機器學習技術來提高自適應能力等， 以及進一步提高IPS的響應性能， 數據挖掘技術進一步提高網絡數據的應用價值， 使具備更高的智能性。IPS是網絡安全領域的一個新的衛(wèi)士， 它的出現(xiàn)必將極大地增強網絡安全領域的實力， 開辟網絡安全領域發(fā)展的一個新的局面， 為互聯(lián)網提供更高層次的安全保障。

參考文獻：

[1] 于海濤，李梓，王振福，等.入侵檢測相關技術的研究[J].智能計算機與應用，2013.

[2] 周緒川，蔡利平.移動Ad Hoc網絡的入侵檢測機制[J].中國民航飛行學院學報，2007，18（2）：212-215.

[3] 張宏亮.BP算法在IDS中的應用與實現(xiàn)的研究.蘭州大學碩士學位論文.2005