資源描述:
《入侵檢測系統(tǒng)研究》由會員上傳分享,免費在線閱讀,更多相關內容在應用文檔-天天文庫。
1、從本學科出發(fā),應著重選對國民經濟具有一定實用價值和理論意義的課題。課題具有先進性,便于研究生提出新見解,特別是博士生必須有創(chuàng)新性的成果入侵檢測系統(tǒng)研究摘要介紹了入侵檢測系統(tǒng)的概念,分析了入侵檢測系統(tǒng)的模型;并對現(xiàn)有的入侵檢測系統(tǒng)進行了分類,討論了入侵檢測系統(tǒng)的評價標準,最后對入侵檢測系統(tǒng)的發(fā)展趨勢作了有意義的預測。關鍵詞入侵檢測系統(tǒng);CIDF;網(wǎng)絡安全;防火墻0引言近年來,隨著信息和網(wǎng)絡技術的高速發(fā)展以及政治、經濟或者軍事利益的驅動,計算機和網(wǎng)絡基礎設施,特別是各種官方機構的網(wǎng)站,成為黑客攻擊的熱門目標。近年來對電子商務的熱切需求,更加激化了這種入侵事件的增長趨勢。由于防火墻只防外
2、不防內,并且很容易被繞過,所以僅僅依賴防火墻的計算機系統(tǒng)已經不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。1入侵檢測系統(tǒng)概念1980年,James第一次系統(tǒng)闡述了入侵檢測的概念,并將入侵行為分為外部滲透、內部滲透和不法行為三種,還提出了利用審計數(shù)據(jù)監(jiān)視入侵活動的思想[1]。即其之后,1986年Dorothy提出實時異常檢測的概念[2]并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(tǒng),1990年,等設計出監(jiān)視網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng),NSM(NetworkSecurity課題份量和難易程度要恰當,博士生能在二年內作出結果,碩士生能在一年內作出結
3、果,特別是對實驗條件等要有恰當?shù)墓烙?。從本學科出發(fā),應著重選對國民經濟具有一定實用價值和理論意義的課題。課題具有先進性,便于研究生提出新見解,特別是博士生必須有創(chuàng)新性的成果Monitor)。自此之后,入侵檢測系統(tǒng)才真正發(fā)展起來。Anderson將入侵嘗試或威脅定義為:潛在的、有預謀的、未經授權的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為[4]:發(fā)現(xiàn)非授權使用計算機的個體或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權利以及企圖實施上述行為的個體。執(zhí)行入侵檢測任務的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為:檢測企圖破壞計算機資源的完整性,真實性和可用性的行為
4、的軟件。入侵檢測系統(tǒng)執(zhí)行的主要任務包括[3]:監(jiān)視、分析用戶及系統(tǒng)活動;審計系統(tǒng)構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統(tǒng)計分析異常行為模式;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計、跟蹤管理操作系統(tǒng),識別用戶違反安全策略的行為。入侵檢測一般分為三個步驟:信息收集、數(shù)據(jù)分析、響應。入侵檢測的目的:識別入侵者;識別入侵行為;檢測和監(jiān)視以實施的入侵行為;為對抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴大;2入侵檢測系統(tǒng)模型美國斯坦福國際研究所的于1986年首次提出一種入侵檢測模型[2],該模型的檢測方法課題份量和難易程度要恰當,博士生能在二年內作出結果,碩士生能在一年內作出結
5、果,特別是對實驗條件等要有恰當?shù)墓烙?。從本學科出發(fā),應著重選對國民經濟具有一定實用價值和理論意義的課題。課題具有先進性,便于研究生提出新見解,特別是博士生必須有創(chuàng)新性的成果就是建立用戶正常行為的描述模型,并以此同當前用戶活動的審計記錄進行比較,如果有較大偏差,則表示有異?;顒影l(fā)生。這是一種基于統(tǒng)計的檢測方法。隨著技術的發(fā)展,后來人們又提出了基于規(guī)則的檢測方法。結合這兩種方法的優(yōu)點,人們設計出很多入侵檢測的模型。通用入侵檢測構架組織,試圖將現(xiàn)有的入侵檢測系統(tǒng)標準化,CIDF闡述了一個入侵檢測系統(tǒng)的通用模型。它將一個入侵檢測系統(tǒng)分為以下四個組件:事件產生器(EventGenerator
6、s)事件分析器(Eventanalyzers)響應單元(Responseunits)事件數(shù)據(jù)庫(Eventdatabases)它將需要分析的數(shù)據(jù)通稱為事件,事件可以是基于網(wǎng)絡的數(shù)據(jù)包也可以是基于主機的系統(tǒng)日志中的信息。事件產生器的目的是從整個計算機環(huán)境中獲得事件,并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、修改文件屬性等強烈反應。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱,它可以是復雜的數(shù)據(jù)庫也可以是簡單的文本文件。3入侵檢測系統(tǒng)的分類:現(xiàn)有的IDS的分類,大都基于信息源和分析方法。為了體現(xiàn)對
7、IDS從布局、采集、分析、響應等各個層次及系統(tǒng)性研究方面的問題,在這里采用五類標準:控制策略、同步技術、信息源、分析方法、響應方式。課題份量和難易程度要恰當,博士生能在二年內作出結果,碩士生能在一年內作出結果,特別是對實驗條件等要有恰當?shù)墓烙?。從本學科出發(fā),應著重選對國民經濟具有一定實用價值和理論意義的課題。課題具有先進性,便于研究生提出新見解,特別是博士生必須有創(chuàng)新性的成果按照控制策略分類控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。