返回
网络入侵检测系统技术

网络入侵检测系统技术

ID:14419705

大小:64.00 KB

页数:11页

时间:2018-07-28

网络入侵检测系统技术_第1页
网络入侵检测系统技术_第2页
网络入侵检测系统技术_第3页
网络入侵检测系统技术_第4页
网络入侵检测系统技术_第5页
资源描述:

《网络入侵检测系统技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络入侵检测系统的研究和发展摘 要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,该课题先从入侵检测系统的发展概述和演化,然后再进一步对IDS进行研究,沿着技术的发展方向还有在现实应用中遇到的问题惊醒讨论。关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史前言伴随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,特别是近两年,政府部门、军事机构、金融机构、企业的计算机网络频遭黑客袭击。攻击者可以从容地对那些没有安全保护的网络进行攻击和入侵,如进行拒绝服务攻击、从

2、事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等等。攻击和入侵事件给这些机构和企业带来了巨大的经济损失和形象的损害,甚至直接威胁到国家的安全。传统上,信息安全研究包括针对特定的系统设计一定的安全策略,建立支持该策略的形式化安全模型,使用身份认证、访问控制、信息加密和数字签名等技术实现安全模型并使之成为针对各种入侵活动的防御屏障。然而近年来随着系统入侵行为程度和规模的加大,安全模型理论自身的局限以及实现中存在的漏洞逐渐暴露出来,这是信息系统复杂化后的必然结果。增强系统安全的一种行之有效的方法是采用一个比较容易实现的

3、安全技术,同时使用辅助的安全系统,对可能存在的安全漏洞进行检查,入侵检测就是这样的技术。IDS被认为是防火墙之后的第而道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。1.入侵检测及IDS概述传统上,信息安全研究包括针对特定的系统设计一定的安全策略,建立支持该策略的形式化安全模型,使用身份认证、访问控制、信息加密和数字签名等技术实现安全模型并使之成为针对各种入侵活动的防御屏障。然而近年来随着系统入侵行为程度和规模的加大,安全模型理论自身的局限以及实现中存在的漏洞逐渐暴露出来,这是信息系统复杂化后的必然结果。增强系统安全的

4、一种行之有效的方法是采用一个比较容易实现的安全技术,同时使用辅助的安全系统,对可能存在的安全漏洞进行检查,入侵检测就是这样的技术。1.1入侵检测概述入侵检测的研究最早可追溯到20世纪80年代,但受到重视和快速发展是在Internet兴起之后。早在1980年,JAnderson等人就提出了入侵检测的概念,对入侵行为进行了简单地划分,提出使用审计信息跟踪用户可疑行为。1985年,Denning在Oakland提出第一个实时入侵检测专家系统模型,以及实时的、基于统计量分析和用户行为轮廓(Profile)的入侵检测技术。该模型是入侵检测研究领域的里程碑,此后大量的入侵检测系统模型开

5、始出现,很多都是基于Denning的统计量分析理论。进入90年代以后,随着Porras和Kemmerer基于状态转换分析的入侵检测技术的提出和完善,根据已知攻击模型进行入侵检测的方法成为该领域研究的另一热点。   入侵就是指连续的相关系列恶意行为,这种恶意行为将造成对计算机系统或者计算机网络系统的安全威胁,包括非授权的信息访问、信息的窜改设置以及拒绝服务攻击等等。入侵检测是指对恶意行为进行诊断、识别并做出响应的过程。实施入侵检测的系统称为入侵检测系统(IDS)。衡量入侵检测系统的两个最基本指标为检测率和误报率,两者分别从正、反两方面表明检测系统的检测准确性。   实用的入侵

6、检测系统应尽可能地提高系统的检测率而降低误报率,但在实际的检测系统中这两个指标存在一定的抵触,实现上需要综合考虑。除检测率和误报率外,在实际设计和实现具体的入侵检测系统时还应考虑操作方便性、抗攻击能力、系统开销大小、可扩展性、自适应能力、自学习能力以及实时性等。   从系统组成上看,入侵检测一般由3个部分组成:数据采集、入侵检测、响应。数据采集模块根据入侵检测类型的不同,采集不同类型的数据,比如网络的数据包、操作系统的系统调用日志或者应用日志。数据采集模块往往会对采集到的信息进行预处理,包括对信息进行简单的过滤,输出格式化的信息。前者有助于消除冗余数据,提升系统的性能;后者

7、可提升系统的互操作性。预处理后的信息一般都先存放到日志数据库中,再提交给分析引擎。分析引擎实现检测算法。从最简单的字符串匹配到复杂的专家系统甚至神经网络,分析引擎是入侵检测系统的核心,分析引擎最终判定一个行为是异常的还是正常的。检测策略包含了如何诊断入侵的配置信息、入侵的签名(也就是入侵的行为特征)。各种阈值也往往存放在检测策略中。状态信息包含了检测所需的动态信息,比如部分执行的入侵签名,当前发生在系统中的行为上下文等。分析引擎在做出行为的入侵判断后将判断的结果直接发给响应模块。响应模块然后根据响应策略中预定义的规

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。