網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)

網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)

ID:14419705

大小:64.00 KB

頁數(shù):11頁

時間:2018-07-28

網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)_第1頁
網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)_第2頁
網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)_第3頁
網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)_第4頁
網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)_第5頁
資源描述:

《網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究和發(fā)展摘 要:自從計算機(jī)問世以來,安全問題就一直存在著,使用者也一直未給予足夠的重視,結(jié)果連接到Internet上的計算機(jī)暴露在愈來愈頻繁的攻擊中,該課題先從入侵檢測系統(tǒng)的發(fā)展概述和演化,然后再進(jìn)一步對IDS進(jìn)行研究,沿著技術(shù)的發(fā)展方向還有在現(xiàn)實應(yīng)用中遇到的問題驚醒討論。關(guān)鍵詞:計算機(jī)安全;入侵檢測;入侵檢測系統(tǒng);入侵檢測系統(tǒng)的歷史前言伴隨著計算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)攻擊和入侵事件與日俱增,特別是近兩年,政府部門、軍事機(jī)構(gòu)、金融機(jī)構(gòu)、企業(yè)的計算機(jī)網(wǎng)絡(luò)頻遭黑客襲擊。攻擊者可以從容地對那些沒有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵,如進(jìn)行拒絕服務(wù)攻擊、從

2、事非授權(quán)的訪問、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時獲得內(nèi)部信息、傳播計算機(jī)病毒、摧毀主機(jī)等等。攻擊和入侵事件給這些機(jī)構(gòu)和企業(yè)帶來了巨大的經(jīng)濟(jì)損失和形象的損害,甚至直接威脅到國家的安全。傳統(tǒng)上,信息安全研究包括針對特定的系統(tǒng)設(shè)計一定的安全策略,建立支持該策略的形式化安全模型,使用身份認(rèn)證、訪問控制、信息加密和數(shù)字簽名等技術(shù)實現(xiàn)安全模型并使之成為針對各種入侵活動的防御屏障。然而近年來隨著系統(tǒng)入侵行為程度和規(guī)模的加大,安全模型理論自身的局限以及實現(xiàn)中存在的漏洞逐漸暴露出來,這是信息系統(tǒng)復(fù)雜化后的必然結(jié)果。增強(qiáng)系統(tǒng)安全的一種行之有效的方法是采用一個比較容易實現(xiàn)的

3、安全技術(shù),同時使用輔助的安全系統(tǒng),對可能存在的安全漏洞進(jìn)行檢查,入侵檢測就是這樣的技術(shù)。IDS被認(rèn)為是防火墻之后的第而道安全閘門,它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)聽,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。1.入侵檢測及IDS概述傳統(tǒng)上,信息安全研究包括針對特定的系統(tǒng)設(shè)計一定的安全策略,建立支持該策略的形式化安全模型,使用身份認(rèn)證、訪問控制、信息加密和數(shù)字簽名等技術(shù)實現(xiàn)安全模型并使之成為針對各種入侵活動的防御屏障。然而近年來隨著系統(tǒng)入侵行為程度和規(guī)模的加大,安全模型理論自身的局限以及實現(xiàn)中存在的漏洞逐漸暴露出來,這是信息系統(tǒng)復(fù)雜化后的必然結(jié)果。增強(qiáng)系統(tǒng)安全的

4、一種行之有效的方法是采用一個比較容易實現(xiàn)的安全技術(shù),同時使用輔助的安全系統(tǒng),對可能存在的安全漏洞進(jìn)行檢查,入侵檢測就是這樣的技術(shù)。1.1入侵檢測概述入侵檢測的研究最早可追溯到20世紀(jì)80年代,但受到重視和快速發(fā)展是在Internet興起之后。早在1980年,JAnderson等人就提出了入侵檢測的概念,對入侵行為進(jìn)行了簡單地劃分,提出使用審計信息跟蹤用戶可疑行為。1985年,Denning在Oakland提出第一個實時入侵檢測專家系統(tǒng)模型,以及實時的、基于統(tǒng)計量分析和用戶行為輪廓(Profile)的入侵檢測技術(shù)。該模型是入侵檢測研究領(lǐng)域的里程碑,此后大量的入侵檢測系統(tǒng)模型開

5、始出現(xiàn),很多都是基于Denning的統(tǒng)計量分析理論。進(jìn)入90年代以后,隨著Porras和Kemmerer基于狀態(tài)轉(zhuǎn)換分析的入侵檢測技術(shù)的提出和完善,根據(jù)已知攻擊模型進(jìn)行入侵檢測的方法成為該領(lǐng)域研究的另一熱點(diǎn)。???入侵就是指連續(xù)的相關(guān)系列惡意行為,這種惡意行為將造成對計算機(jī)系統(tǒng)或者計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅,包括非授權(quán)的信息訪問、信息的竄改設(shè)置以及拒絕服務(wù)攻擊等等。入侵檢測是指對惡意行為進(jìn)行診斷、識別并做出響應(yīng)的過程。實施入侵檢測的系統(tǒng)稱為入侵檢測系統(tǒng)(IDS)。衡量入侵檢測系統(tǒng)的兩個最基本指標(biāo)為檢測率和誤報率,兩者分別從正、反兩方面表明檢測系統(tǒng)的檢測準(zhǔn)確性。???實用的入侵

6、檢測系統(tǒng)應(yīng)盡可能地提高系統(tǒng)的檢測率而降低誤報率,但在實際的檢測系統(tǒng)中這兩個指標(biāo)存在一定的抵觸,實現(xiàn)上需要綜合考慮。除檢測率和誤報率外,在實際設(shè)計和實現(xiàn)具體的入侵檢測系統(tǒng)時還應(yīng)考慮操作方便性、抗攻擊能力、系統(tǒng)開銷大小、可擴(kuò)展性、自適應(yīng)能力、自學(xué)習(xí)能力以及實時性等。???從系統(tǒng)組成上看,入侵檢測一般由3個部分組成:數(shù)據(jù)采集、入侵檢測、響應(yīng)。數(shù)據(jù)采集模塊根據(jù)入侵檢測類型的不同,采集不同類型的數(shù)據(jù),比如網(wǎng)絡(luò)的數(shù)據(jù)包、操作系統(tǒng)的系統(tǒng)調(diào)用日志或者應(yīng)用日志。數(shù)據(jù)采集模塊往往會對采集到的信息進(jìn)行預(yù)處理,包括對信息進(jìn)行簡單的過濾,輸出格式化的信息。前者有助于消除冗余數(shù)據(jù),提升系統(tǒng)的性能;后者

7、可提升系統(tǒng)的互操作性。預(yù)處理后的信息一般都先存放到日志數(shù)據(jù)庫中,再提交給分析引擎。分析引擎實現(xiàn)檢測算法。從最簡單的字符串匹配到復(fù)雜的專家系統(tǒng)甚至神經(jīng)網(wǎng)絡(luò),分析引擎是入侵檢測系統(tǒng)的核心,分析引擎最終判定一個行為是異常的還是正常的。檢測策略包含了如何診斷入侵的配置信息、入侵的簽名(也就是入侵的行為特征)。各種閾值也往往存放在檢測策略中。狀態(tài)信息包含了檢測所需的動態(tài)信息,比如部分執(zhí)行的入侵簽名,當(dāng)前發(fā)生在系統(tǒng)中的行為上下文等。分析引擎在做出行為的入侵判斷后將判斷的結(jié)果直接發(fā)給響應(yīng)模塊。響應(yīng)模塊然后根據(jù)響應(yīng)策略中預(yù)定義的規(guī)

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費(fèi)完成后未能成功下載的用戶請聯(lián)系客服處理。