返回
基于主机和网络的入侵检测技术的比较与分析

基于主机和网络的入侵检测技术的比较与分析

ID:36805133

大小:352.74 KB

页数:3页

时间:2019-05-15

基于主机和网络的入侵检测技术的比较与分析_第1页
基于主机和网络的入侵检测技术的比较与分析_第2页
基于主机和网络的入侵检测技术的比较与分析_第3页
资源描述:

《基于主机和网络的入侵检测技术的比较与分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第22卷哈尔滨师范大学自然科学学报Vol.22,No.22006第2期NATURALSCIENCESJOURNALOFHARBINNORMALUNIVERSITY3基于主机和网络的入侵检测技术的比较与分析张军季伟东韩振强(哈尔滨师范大学)(哈尔滨电视台)【摘要】本文讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这两种方式融合在一起,以提供更加有效的入侵检测和保护措施.关键词:IDS;基于主机的入侵检测;基于网络的入侵检测WindowNT下的安全记录以及UNIX环境下的系0引言统记录.当有文件发生变化时,IDS将新

2、的记录条大多数IDS采取基于主机或基于网络的办法目与攻击标记相比较,看它们是否匹配.如果匹来辩认并躲避攻击.在任何一种情况下,IDS都要配,系统就会向管理员报警并向别的目标报告,以寻找“攻击标志”,即一种代表恶意或可疑意图攻采取措施.击的模式.当IDS在记录文件中寻找攻击标志时,基于主机的IDS在发展过程中融入了其它技它是基于主机的;当IDS在网络中寻找这些模式术.对关键系统文件和可执行文件的入侵检测的时,它是基于网络的.每种方法都有其优势和劣一个常用方法,是通过定期检查校验和来进行的,势,两种方法互为补充.一种真正有效的入侵

3、检测以便发现意外的变化.反应的快慢与轮询间隔的系统应将二者结合.频率有直接的关系.最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警.这1基于主机的入侵检测类检测方法将基于网络的入侵检测的基本方法融基于主机的IDS用于保护单台主机不受网络入到基于主机的检测环境中.图1为著名的STAT攻击行为的侵害,需要安装在被保护的主机上.该系统的结构图.类IDS控制文件系统以及重要的系统文件,确保尽管基于主机的IDS不如基于网络的IDS快OS不会被随意地删改.该类IDS能够及时发现捷,但它确实具有基于网络的IDS无法比拟的优

4、OS所受到的侵害,并且因它保存一定的校验信息点.这些优点包括:和所有系统文件的变更记录,所以在一定程序上①更好的辩识分析;还可以实现安全恢复机制.现在的基于主机的②可以检测到没有明显行为特征的入侵;IDS保留了一种有力的工具,以理解以前的攻击③能够对不同的OS进行有针对性的检测;形式,并选择合适的方法去抵御未来的攻击.基于④对特殊主机事件的紧密关注及低廉的成主机的IDS仍使用验证记录,但自动化程度大大本;提高,并发展了精密的可迅速做出响应的检测技⑤不会因网络流量影响性能;术.通常,基于主机的IDS可监探系统、事件和⑥适用于加密

5、和交换环境.收稿日期:2005-10-18黑龙江省教育厅科研项目资助(10541093),2005年度哈尔滨师范大学校骨干教师项目资助(KG2005-06)80哈尔滨师范大学自然科学学报2006年数据包将被丢弃.要截获不属于本地主机的数据,必须绕过系统正常工作的处理机制,直接访问网络底层,然后由应用程序而非上层协议(如IP和TCP等)对数据进行过滤处理,这样就可以截获到流经本地主机的所有数据.图2为伯克利数据包过滤器的原理图.图1STAT系统的结构图但是,基于主机的IDS也具有以下不足:①实时性较差;②无法检测数据包的全部;③

6、检测效果取决于日志系统;④占用主机资源;图2伯克利数据包过滤器的原理图⑤隐蔽性较差;在实际的网络环境中,许多网络采用了交换⑥若入侵者能够修改校验和,该IDS将无法运行环境(如交换机、路由器等),由于网络传输起到预期的作用.媒体不再具有广播特性,因此不能凭借网络接口的混杂模式来截获所有的数据包.此时常用的方2基于网络的入侵检测法是利用交换机或路由器上设置的监听端口或镜通常基于网络的IDS是作为一个独立的个体像端口,此时所有的网络信息数据包除按照正常放置于被保护的网络上,它使用原始的网络分组情况转发外,将同时转发到监听端口或镜像端

7、口,数据包作为进行攻击分析的数据源,一般利用一从而达到截获所有网络流量的目的.个运行在随机模式下的网络适配器来实时监视并在实际应用中,采用监听端口或镜像端口的分析通过网络的所有通信业务.它的攻击辩识模方法常常出现两个问题:块通常使用四种常用技术来识别攻击标志:①随着交换带宽的不断增长,并非所有的网模式、表达式或字节匹配;络流量都会反映在监听端口或镜像端口上;频率或穿越阀值;②并非所有的交换设备都提供类似的监听低级事件的相关性;端口或镜像端口.很多IDS会选择挂接在流量最统计学意义上的非常规现象检测.大的是上下行端口上,用来截获

8、进出内外网的数一旦检测到了攻击行为,IDS的响应模块就据流量.提供多种选项以通知、报警并对攻击采取相应的基于网络的IDS也有许多基于主机的IDS无反应.反应因产品而异,但通常都包括通知管理法提供的优点.实际上,许多用户在最初使用IDS员、中断连接并且/或为法庭分析和证据收集而

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。