返回
网络安全技术之入侵检测

网络安全技术之入侵检测

ID:42668476

大小:48.76 KB

页数:7页

时间:2019-09-19

网络安全技术之入侵检测_第1页
网络安全技术之入侵检测_第2页
网络安全技术之入侵检测_第3页
网络安全技术之入侵检测_第4页
网络安全技术之入侵检测_第5页
资源描述:

《网络安全技术之入侵检测》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、河南理工大学计算机网络安全课程论文题目入侵检测技术学生姓名学号院系专业班级联系电话年月日论现代信息技术在网络信息安全里的应用之入侵检测技术摘要:本文主要讲解的是在网络信息安全里的应用——入侵检测技术。通过介绍入侵检测的概念、系统结构、系统的分类以及入侵检测的方法等几个方面系统的透彻的介绍入侵检测技术。关键词:网络信息安全入侵检测系统分类检测方法1入侵检测系统概述1.1基本概念入侵是指任何对系统资源的非授权使用行为,它对资源的完整性、保密性和可用性造成破坏,可使用户在计算机系统和网络系统中失去信任,使系统拒绝对合法用户服

2、务等。入侵者可以是一个手工发出命令的人,也可是一个基于入侵脚本或程序的自动发布命令的计算机。Anderson把入侵者分为两类:外部入侵者(一般指来自系统外部的非法用户)和内部入侵者(是指那些拥有一定的访问系统资源权限,但是企图获取更多的权利执行非授权操作的内部用户)。入侵检测就是要识别计算机系统或网络上企图或正在进行的入侵活动。而入侵检测系统就是完成入侵检测任务的系统。它是一种增强系统安全的有效方法。入侵检测对系统中用户或系统行为的可疑程度进行评估,并据此来鉴别系统中的当前行为是否正常,从而帮助系统管理员进行安全管理,

3、并对系统所受到的攻击采取相应的对策。评判一个入侵检测系统的好坏,主要用两个参数:虚警率和漏警率。虚警率是指将不是入侵的行为错检测为入侵行为的比率;而漏警率则是指将本来是入侵的行为判别为正常行为的比率。1.2入侵检测的系统结构应用于不同的网络环境和不同的系统安全策略,入侵检测系统在具体实现上也有所不同。从系统构成上看,入侵检测系统至少包括数据提取、入侵分析、响应处理三个部分,另外还可以结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能。一般的入侵检测系统结构如图所示。相应处理入侵分析知识库数据提取数

4、据存储其中数据提取模块在入侵检测系统中居于基础地位,负责提取反映受保护系统运行状态的运行数据,并完成数据的过滤及其它预处理工作,为入侵分析模块和数据存储模块提供原始的安全审计数据,是入侵检测系统的数据采集器。入侵分析模块是入侵检测系统的核心模块,包括对原始数据的同步、整理、组织、分类、特征提取以及各种类型的细致分析,提取其中所包含的系统活动特征或模式,用于正常和异常行为的判断。这种行为的鉴别可以实时进行,也可以是事后分析。响应处理模块对系统发现的入侵者的攻击行为采取相应的措施,响应措施主要包括被动响应和主动响应。2入侵

5、检测系统分类入侵检测系统有三种分类方法。第一种是根据其采用的技术分类,可以分为:(1)异常检测异常入侵检测的假设是入侵者活动异常于正常主体的活动,根据这一理念建立主体正常活动的“特征轮廓”,将当前主体的活动状况与已建立的主体的“特征轮廓”相比较,当违反其统计规律时,认为该活动可能“入侵”行为。异常检测的难题在于如何建立“特征轮廓”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。(2)误用检测误用检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。这一方法可以将

6、已有的入侵方法检查出来,但对新的入侵方法无能为力。这一方法的难点在于如何设计模式能表达的“入侵”现象而且不会将正常的活动也包含进来。由于异常检测与误用检测各有优缺点,许多实际入侵检测系统通常同时采用这两种方法。第二种分类方法是根据系统所监测的对象是主机还是网络来划分的:(1)基于主机的入侵检测系统基于主机的入侵检测系统通过监视与分析主机的审计记录检测入侵。这些系统的实现不全在目标主机上,有一些采用独立的外围处理机,如Haystack,另外下一代入侵检测专家系统(NDEs)使用网络将主机的信息传送到中央分析单元。但是它们

7、全部是根据目标系统的审计记录工作。这些系统的弱点是若不能及时采集到审计数据,入侵者会将主机审计子系统作为攻击目标从而避开入侵检测系统。(2)基于网络的入侵检测系统以网络安全监控器(NSM)为代表的基于网络的入侵检测系统通过在共享网段上对通信数据的监听采集数据,分析可疑现象。与主机系统相比较而言,这类系统对入侵者是透明的,入侵者本身不知道有入侵检测系统存在。由于这类系统并不需要主机提供对网络通信的保护而无需顾及异构主机间的不同架构。(3)基于网关的入侵检测系统目前的信息基础设施依赖于路由器来互联,新一代的高速网络结合了路

8、由与高速交换技术。Internet路由的基础非常薄弱,对于这些信息基础设施的攻击,特别是拒绝服务攻击将会使局部甚至整个信息基础设施无法使用,基于网关的入侵检测系统就是通过对网关中相关信息的提取,从而提供对整个信息基础设施的保护。第三种分类是根据系统的工作方式分为离线检测系统与在线检测系统:(1)离线检测系统离线检测系统是非实时工作

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。