返回
入侵检测系统研究毕业论

入侵检测系统研究毕业论

ID:23683031

大小:57.00 KB

页数:8页

时间:2018-11-09

入侵检测系统研究毕业论_第1页
入侵检测系统研究毕业论_第2页
入侵检测系统研究毕业论_第3页
入侵检测系统研究毕业论_第4页
入侵检测系统研究毕业论_第5页
资源描述:

《入侵检测系统研究毕业论》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、入侵检测系统研究毕业论摘要介绍了入侵检测系统的概念,了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的趋势作了有意义的预测。关键词入侵检测系统;CIDF;安全;防火墙0引言近年来,随着信息和网络技术的高速发展以及、或者军事利益的驱动,机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线入侵检测系统就被启用了。

2、1入侵检测系统(IDS)概念1980年,JamesP.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年DorothyE.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Netonitor)。自此之后,入侵检测系统才真正发展起来。Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问

3、信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用的个体(如黑客)或系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏资源的完整性,真实性和可用性的行为的软件。2入侵检测系统模型美国斯坦福国际所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2],该模型的检测就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发

4、展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(monIntrusionDetectionFramework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件:事件产生器(EventGenerators)事件分析器(Eventanalyzers)响应单元(Responseunits)事件数据库(Eventdatabases)它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主

5、机的系统日志中的信息。事件产生器的目的是从整个环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。3入侵检测系统的分类:现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。按照控制策略分类控制策略描述了IDS的各元素是如

6、何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫代理的方法,代理进行分析并做出响应决策。同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次

7、只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。按照信息源分类按照信息源分类是最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式

8、结构。按照分析方法分类按照分析方法IDS划分为滥用检测型IDS和异

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。