資源描述:
《基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、系統(tǒng)檢測摘要:IDS是計算機的監(jiān)視系統(tǒng),它通過實時監(jiān)視系統(tǒng),一旦發(fā)現(xiàn)異常情況就發(fā)出警告。IDS入侵檢測系統(tǒng)以信息來源的不同和檢測方法的差異分為幾類:根據(jù)信息來源可分為基于主機IDS和基于網(wǎng)絡(luò)的IDS,根據(jù)檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同于防火墻,IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備,沒有跨接在任何鏈路上,無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里,"所關(guān)注流量"指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視的網(wǎng)絡(luò)報文。在如今
2、的網(wǎng)絡(luò)拓?fù)渲?,已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò),絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此,IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。這些位置通常是:服務(wù)器區(qū)域的交換機上;Internet接入路由器之后的第一臺交換機上;重點保護網(wǎng)段的局域網(wǎng)交換機上。關(guān)鍵詞:安全故障分析前言基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)用原始的網(wǎng)絡(luò)包作為數(shù)據(jù)源,它將網(wǎng)絡(luò)數(shù)據(jù)中檢測主機的網(wǎng)卡設(shè)為混雜模式,該主機實時接收和分析網(wǎng)絡(luò)中流動的數(shù)據(jù)包,從而檢測是否存在入侵行為,基于網(wǎng)絡(luò)的IDS通常利用
3、一個運行在隨機模式下的網(wǎng)絡(luò)適配器來實時檢測并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)他的攻擊辨識模塊通常使用四種常用技術(shù)來標(biāo)識攻擊標(biāo)志:模式、表達式或自己匹配;頻率或穿越閥值;低級時間的相關(guān)性;統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測,一旦檢測到了攻擊行為,IDS響應(yīng)模塊就提供多種選項以通知,報警并對攻擊采取響應(yīng)的反應(yīng),尤其適應(yīng)于大規(guī)模網(wǎng)絡(luò)的NIDS可擴展體系結(jié)構(gòu),知識處理過程和海量數(shù)據(jù)處理技術(shù)等。一、系統(tǒng)組成5系統(tǒng)組成主要是指Editman便攜數(shù)字采編系統(tǒng)產(chǎn)品由那幾部分組成。根據(jù)不同的客戶需要,Editman的產(chǎn)品配置也不同,一般來說Editm
4、an便攜數(shù)字采編系統(tǒng)是由SONY小型DVCAM攝錄一體機、帶有IEEE1394接口的SONY筆記本和相應(yīng)的非線性編輯軟件三部分組成。二、系統(tǒng)缺陷1998年2月,SecureNetworksInc.指出IDS有許多弱點,主要為:IDS對數(shù)據(jù)的檢測;對IDS自身攻擊的防護。由于當(dāng)代網(wǎng)絡(luò)發(fā)展迅速,網(wǎng)絡(luò)傳輸速率大大加快,這造成了IDS工作的很大負(fù)擔(dān),也意味著IDS對攻擊活動檢測的可靠性不高。而IDS在應(yīng)對對自身的攻擊時,對其他傳輸?shù)臋z測也會被抑制。同時由于模式識別技術(shù)的不完善,IDS的高虛警率也是它的一大問題。三、通信協(xié)議IDS
5、系統(tǒng)內(nèi)部各組件之間需要通信,不同廠商的IDS系統(tǒng)之間也需要通信。因此,有必要定義統(tǒng)一的協(xié)議。IETF目前有一個專門的小組IntrusionDetectionWorkingGroup(IDWG)負(fù)責(zé)定義這種通信格式,稱作IntrusionDetectionExchangeFormat(IDEF),但還沒有統(tǒng)一的標(biāo)準(zhǔn)。設(shè)計通信協(xié)議時應(yīng)考慮以下問題:系統(tǒng)與控制系統(tǒng)之間傳輸?shù)男畔⑹欠浅V匾男畔ⅲ虼吮仨氁3謹(jǐn)?shù)據(jù)的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸(同時防止主動和被動攻擊);通信的雙方均有可能因異
6、常情況而導(dǎo)致通信中斷,IDS系統(tǒng)必須有額外措施保證系統(tǒng)正常工作。四、檢測技術(shù)4.1辨識真故障與假故障平時常見的計算機故障現(xiàn)象中,有很多并非真正的硬件故障,而是由于軟件故障或者不熟悉某些設(shè)置、系統(tǒng)特性而造成的假故障現(xiàn)象。認(rèn)識下面的微機假故障現(xiàn)象有利于快速確認(rèn)故障原因,避免不必要的故障檢索工作。(1)5、檢查電源線、插座、開關(guān)和各外設(shè)連接線。各種線、插座開關(guān)等脫落、接觸不良均會導(dǎo)致設(shè)備工作異常,遇到獨立供電的外設(shè)故障時,首先應(yīng)檢查設(shè)備電源是否正常,插頭/插座是否接觸良好。檢查微機各部件間數(shù)據(jù)、控制連線是否連接正確和可靠,是否
7、有松動現(xiàn)象。(2)、檢查系統(tǒng)新特性和設(shè)置方面的問題。很多“故障”現(xiàn)象其實是硬件設(shè)備或操作系統(tǒng)的新特性造成的,也有設(shè)置方面原因的造成的。例如:顯示器設(shè)置、硬盤跳線、多了解主機、外設(shè)、應(yīng)用軟件的新特性,有助于增加排除假故障發(fā)生了故障,首先應(yīng)先判斷自身操作是否有疏忽之處,而不要盲目斷言某設(shè)備出了問題。(3)、辨識軟件故障和硬件故障。計算機故障中因病毒、軟件損壞、沖突等原因?qū)е碌能浖收险加休^高的比例,可通過判斷計算機硬件啟動過程是否正常,或重新安裝系統(tǒng)軟件等方法辨識是軟件故障還是硬件故障。4.2常見硬件故障檢測維修方法(1)、
8、直接觀察法:觀察是維修過程中第一要法,它貫穿于整個維修過程中,觀察時運用“望、聞、聽、切”四種方法?!巴奔从^察系統(tǒng)板卡、芯片表面是否有燒焦、變色、開裂痕跡,還要看有無異物掉進主板的元器件之間(造成短路)?!奥劇奔幢媛勚鳈C、板卡中是否有燒焦的氣味,便于發(fā)現(xiàn)故障和確定短路所在地?!奥牎眴訒r內(nèi)置喇叭、電源風(fēng)扇、軟/硬盤