資源描述:
《[精品]入侵檢測面臨的挑戰(zhàn)及對策》由會員上傳分享���,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1、入侵檢測面臨的挑戰(zhàn)及對策吳禮發(fā)摘要近兒年來�����,入侵檢測作為一種重要的網(wǎng)絡(luò)安全技術(shù)�,發(fā)展非常迅速。但是�����,網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展也給入侵檢測帶來了諸多挑戰(zhàn)����。本文首先簡要介紹了入侵檢測的基本原理和技術(shù),然后從多個角度重點(diǎn)分析了冃前入侵檢測所而臨的挑戰(zhàn)���,以及相應(yīng)的應(yīng)對策略�。關(guān)鍵字入侵檢測�����,入侵檢測系統(tǒng),網(wǎng)絡(luò)安全1概述近幾年來����,隨著Internet的高速發(fā)展和LI益普及,網(wǎng)絡(luò)入侵事件迅速增長�����,網(wǎng)絡(luò)安全越來越受到人們的重視��。作為一種重耍的網(wǎng)絡(luò)安全手段��,入侵檢測(ID:IntrusionDetection)得到了快速的發(fā)展��。入侵檢測是指通過從計算機(jī)網(wǎng)絡(luò)系統(tǒng)屮的若干關(guān)鍵點(diǎn)收集
2���、信息,并分析這些信息�����,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡彖��。入侵檢測系統(tǒng)(IDS:IntrusionDetectionSystem)被認(rèn)為是防火墻之后的第二道安全閘門�,從而提供對內(nèi)部攻擊��、外部攻擊和課操作的實(shí)時保護(hù)����,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵�。盡管入侵檢測技術(shù)發(fā)展很快,但面臨著一些問題�����。本文首先簡要介紹了入侵檢測的基本原理和技術(shù),然后從多個角度重點(diǎn)分析了入侵檢測所面臨的這些問題�����,并探討了相應(yīng)的對策�����。2入侵檢測目詢����,主要有兩類IDS:基于主機(jī)的和基于網(wǎng)絡(luò)的?;谥鳈C(jī)的IDS主要從受保護(hù)主機(jī)上收集信息,從而發(fā)現(xiàn)入侵證據(jù)。此類系統(tǒng)-般主要使用操作
3�����、系統(tǒng)的審計��、跟蹤H志作為輸入���,某些系統(tǒng)也會主動與主機(jī)系統(tǒng)進(jìn)行交互以獲得不存在于系統(tǒng)口志中的信息�����。其所收集的信息集中在系統(tǒng)調(diào)用和應(yīng)用層審計上,試圖從口志判斷濫用和入侵事件的線索�。基于網(wǎng)絡(luò)的IDS主要是從網(wǎng)絡(luò)屮的關(guān)鍵網(wǎng)段收集網(wǎng)絡(luò)分組信息����,并對流量進(jìn)行分析以提取其特征模式,再與已知攻擊特征相匹配或與匸常網(wǎng)絡(luò)行為原型相比較來識別攻擊事件��。它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測����,發(fā)現(xiàn)入侵事件并作出響應(yīng)。由于每一種IDS均冇其局限性,因此�����,綜合兩者優(yōu)點(diǎn)的綜合入侵檢測系統(tǒng)得到快速發(fā)展?��;旌戏植际饺肭謾z測系統(tǒng)可以從不同的主機(jī)系統(tǒng)�����、網(wǎng)絡(luò)部件和通過網(wǎng)絡(luò)監(jiān)聽方式收集數(shù)據(jù)�,這些系統(tǒng)綜
4���、介利用網(wǎng)絡(luò)數(shù)據(jù)和來自主機(jī)系統(tǒng)中的審計信息來發(fā)現(xiàn)入侵行為�。入侵檢測方法主要分為兩大類:基于異常(anomaly-based)的入侵檢測與基于特征(signature-based)的入侵檢測兩類�����。異常入侵檢測系統(tǒng)記錄用戶在系統(tǒng)上的活動���,并且根據(jù)這些記錄創(chuàng)建活動的統(tǒng)計報告�。如果報告表明它與正常用戶的行為冇明顯的不同���,那么檢測系統(tǒng)就會將這種活動視為入侵���。顯而易見�����,當(dāng)入侵集合與異?;顒蛹洗嬖谙嘟磺闆r時�,一定會存在“漏報(false-negative)和“誤報(falsepositive)v問題。為了使“漏報”和"誤報"的概率較為符合實(shí)際盂要����,這類系統(tǒng)的主要問題是選擇一個區(qū)
5、分異常事件的“閾值”O(jiān)而調(diào)整和更新某些系統(tǒng)特征度量值的方法非常復(fù)雜���,開銷巨大。特征入侵檢測(也稱為謀用入侵檢測)是事先對已知的入侵方式進(jìn)行定義(即定義入侵方式的特征)�,并且將這些方式寫進(jìn)系統(tǒng)中。然后���,將網(wǎng)絡(luò)上檢測到的攻擊與系統(tǒng)定義的已知入侵特征進(jìn)行對比�����,如果兩者相同����,則認(rèn)為發(fā)生了入侵?;谔卣鞯娜肭謾z測系統(tǒng)是建立在使用某種模式或者特征描述方法能夠?qū)θ魏我阎暨M(jìn)行表達(dá)這一理論:基礎(chǔ)上的。并幾��,它不適合檢測一些未知特征的攻擊�����。一般來說���,入侵檢測系統(tǒng)由三部分構(gòu)成:傳感器(sensor),分析器(analyzer)和用戶接口(userinterface)o傳感器����,也稱為
6�����、探測引擎(engine),它的作用是收集數(shù)據(jù)��。它所收集的數(shù)據(jù)中包含入侵的信息或證據(jù)����。分析器接收一個或多個傳感器送來的數(shù)據(jù)����,并根據(jù)這些信息判斷是否有入侵事件發(fā)牛�����。用戶接口的主要功能是使得用戶查看系統(tǒng)的輸岀或控制系統(tǒng)的行為�。在某些系統(tǒng)屮,用戶接口相當(dāng)于“管理者”(manager或director)>"控制臺”(console)o3入侵檢測面臨的挑戰(zhàn)和對策3.1網(wǎng)絡(luò)攻擊帶來的挑戰(zhàn)近兒年來�,網(wǎng)絡(luò)安全技術(shù)發(fā)展迅速。但是�,網(wǎng)絡(luò)攻擊事件卻呈快速增長趨勢。一個很重要的原因是網(wǎng)絡(luò)攻擊技術(shù)在以更快的速度發(fā)展��。攻擊者在不斷地提高他們攻擊網(wǎng)絡(luò)系統(tǒng)的能力�����,變換攻擊模式和攻擊工具����。攻擊工具提
7�、供的攻擊方式也越來越復(fù):朵�����,向高度的口動化���、復(fù)雜化和分布式方向發(fā)展。而入侵檢測技術(shù)的發(fā)展跟不上攻擊能力捉高的步伐�。3」」攻擊工具的自動化網(wǎng)絡(luò)攻擊從最初的手工發(fā)起和實(shí)施已發(fā)展到高度的白動化攻擊。-?般來說����,攻擊者實(shí)施自動化攻擊主要包插四個步驟:掃描攻擊冃標(biāo);攻陷冃標(biāo)�����;利川攻陷的冃標(biāo)發(fā)起新一輪的攻擊���;協(xié)調(diào)管理所發(fā)起的所有攻擊����。自動化���、分布式攻擊工具的出現(xiàn)使得上述每一個步驟均可白動完成���。例如���,大最的分布式拒絕服務(wù)(DDOS:DistributedDenialOfService)攻擊T具,著名的紅色代碼和Nimda病毒等均是自動化程度很高的攻擊工具�。3.1.2攻擊工具的復(fù)
8、雜化為了防
![[精品]入侵檢測面臨的挑戰(zhàn)及對策_(dá)第1頁](https://f25.wenku365.com/file-convert/2021/07/12/05/35/939f85c84524e3391abc6e2e24fe21e1/img/1.jpg)
![[精品]入侵檢測面臨的挑戰(zhàn)及對策_(dá)第2頁](https://f25.wenku365.com/file-convert/2021/07/12/05/35/939f85c84524e3391abc6e2e24fe21e1/img/2.jpg)
![[精品]入侵檢測面臨的挑戰(zhàn)及對策_(dá)第3頁](https://f25.wenku365.com/file-convert/2021/07/12/05/35/939f85c84524e3391abc6e2e24fe21e1/img/3.jpg)
![[精品]入侵檢測面臨的挑戰(zhàn)及對策_(dá)第4頁](https://f25.wenku365.com/file-convert/2021/07/12/05/35/939f85c84524e3391abc6e2e24fe21e1/img/4.jpg)
