浅析当前网络入侵检测系统的方案研究.pdf

浅析当前网络入侵检测系统的方案研究.pdf

ID:58304592

大小:224.60 KB

页数:2页

时间:2020-05-15

浅析当前网络入侵检测系统的方案研究.pdf_第1页
浅析当前网络入侵检测系统的方案研究.pdf_第2页
资源描述:

《浅析当前网络入侵检测系统的方案研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、科学技术浅析当前网络入侵检测系统的方案研究刘秀平(江西科技师范大学,江西南昌330000)摘要:随着互联网络的广泛应用,网络信息量迅速增长,网络安全问题日趋突出。入侵检测作为网络安全的重要组成部分,已成为目前研究的热点,本文介绍了入侵检测系统的概念、功能、模式及分类,指出了当前入侵检测系统存在的问题并提出了改进措施。在基于网络的计算机应用给人们生活带来方便的同时,网上黑客的攻击活动正以每年1O倍的速度增长,因此,保证计算机系统、网络以及整个信息基础设施的安全已经成为刻不容缓的重要课题。关键词:入侵检测;入侵检测系统;

2、网络安全1入侵检测系统的概念统日志信息、内核信息、应用审计信息、系统目标信息。防火墙作为一种边界安全的手段,在网络安全保护中起着重要作3、混合型用,其主要功能石控制对网络的非法访问,通过监视、限制、更改通混合型入侵检测结合了网络入侵检测和主机入侵检测二者的优过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对点,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入内屏蔽外部危险站点,以防范外对内的非法访问。然而,由于性能的侵检测。限制,防火墙通常不能提供实时的入侵检测能力,为了弥补防火墙存按照检测方法分类

3、在缺陷,引入了入侵检测IDs(IntrusionDetectionSystem)技术。1、异常检测(AnomalyDetection)入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,异常检测志根据用户行为或者资源状况正常程度,将当前情况在不影响网络性能的情况下,通过对网络的检测,帮助系统对付网络和轮廓(Profile)比较以发现入侵,不依赖具体行为,可发现未知攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻攻击。异常检测认为入侵是异常的子集,有统计分析、非参量统计识别和响应),提供对内部攻击、

4、外部攻击和误操作的实时保护。分析、专家系统、量化分析和基于规则的检测,但关键在正常模式入侵检测定义为识别为被授权使用的计算机系统和有合法权利使(NormalProfile)的建立及利用该模式与当前状况比较。用系统但却滥用特权的过程。即通过对计算机网络或系统中的若干关2、滥用检测(MisuseDetection)键点收集信息并对其进行分析,从而发现是否有违反安全策略的行为滥用检测方法定义入侵模式,通过模式是否出现来判断,也称基和被入侵的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系于知识的检测(KnowledgeB

5、asedDetection)。它依据具体攻击特统(IDS)。一个入侵检测产品通常由两部分组成,即传感器与控制征细微变化就会使之无能为力,漏报率较高,对系统依赖性高,一致台。传感器负责采集数据、分析数据并生成安全时间;控制台主要起性较差,检测范围守已知知识局限,难以检测内部入侵,而且将具体到中央管理作用。商品化的产品通常提供图形界面的控制台,这些控入侵手段抽象成知识也很困难,该方法主要有简单模式匹配、专家系制台基本上都支~WindowsNT平台。统、状态转移法、条件概率、击键监控、信息反馈批处理分析等。入侵检测系统的主

6、要功能有:3、特征检测(Specificati0n—BasedDetection)1、监视、分析用户及系统活动;2、核查系统配置和漏洞;3、识特征检测定义系统轮廓,将系统行为与轮廓比较,不属于正常行别已知进攻并向相关人员报警;4、统计分析异常行为:5、评估重要为的事件定义为入侵,该方法常采用某种特征语言定义系统的安全策系统和数据的完整性;6、操作系统日志管理,并识别违反安全策略的略,当系统特征不能准确囊括所有的状态时就会漏报或误报。用户活动。3入侵检测系统存在的问题和改进措施2入侵检测系统模型及分类1.面临的主要问题

7、随着技术的发展,后来人们又提出了基于规则的检测方法。通用(1)误报入侵检测架构(CIDF)组织,试图将现有的入侵检测系统标准化,阐误报是入侵检测系统将正常或合法操作作为入侵事件进行报警。述了一个入侵检测系统分为以下4个组件:事件产生器、事件分析器、假警报不但令人讨厌,并且降低了入侵检测系统的效率;而且攻击者相应单元和事件数据库,同时将需要分析的数据统称为事件。事件可往往可以利用包结构伪造无威胁“正常”假警报,以诱使被攻击方把以是基于网络的数据包,也可以是基于主机的系统日志中的信息。事入侵检测系统关掉。件产生器的目的是

8、从整个计算机环境中获得事件,并向系统其他部分由于不同的网络及主机存在不同的安全问题,不同的入侵检测系提供此事件:事件分析器分析得到的事件并产生分析结果;响应单元统有各自的功能;因此没有一个入侵检测系统可以完全避免误报。则是队分析结果做出反应的功能单元,它可以做出切断连接、修改文(2)漏报件属性等强烈反应;事件数据库是存放各种中间和最终数据地方的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。