特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學(xué)習(xí)啦>論文大全>畢業(yè)論文>計(jì)算機(jī)論文>計(jì)算機(jī)網(wǎng)絡(luò)>

對入侵檢測系統(tǒng)進(jìn)行探究

時(shí)間: 若木633 分享

  近年來,隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治、經(jīng)濟(jì)或者軍事利益的驅(qū)動(dòng),計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,非凡是各種官方機(jī)構(gòu)的網(wǎng)站,成為黑客攻擊的熱門目標(biāo)。近年來對電子商務(wù)的熱切需求,更加激化了這種入侵事件的增長趨向。由于防火墻只防外不防內(nèi),并且很輕易被繞過,所以僅僅依靠防火墻的計(jì)算機(jī)系統(tǒng)已經(jīng)不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。

  1、 入侵檢測系統(tǒng)(IDS)概念

  1980年,James P.Anderson 第一次系統(tǒng)闡述了入侵檢測的概念,并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種,還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1。即其之后,1986年Dorothy E.Denning提出實(shí)時(shí)異常檢測的概念[2并建立了第一個(gè)實(shí)時(shí)入侵檢測模型,命名為入侵檢測專家系統(tǒng)(IDES),1990年,L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng),NSM(Network Security Monitor)。自此之后,入侵檢測系統(tǒng)才真正發(fā)展起來。

  Anderson將入侵嘗試或威脅定義為摘要:潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為[4摘要:發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體(如“黑客”)或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測任務(wù)的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為摘要:檢測企圖破壞計(jì)算機(jī)資源的完整性,真實(shí)性和可用性的行為的軟件。

  入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括[3摘要:監(jiān)視、分析用戶及系統(tǒng)活動(dòng);審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式,向相關(guān)人士報(bào)警;統(tǒng)計(jì)分析異常行為模式;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計(jì)、跟蹤管理操作系統(tǒng),識(shí)別用戶違反平安策略的行為。入侵檢測一般分為三個(gè)步驟摘要:信息收集、數(shù)據(jù)分析、響應(yīng)。

  入侵檢測的目的摘要:(1)識(shí)別入侵者;(2)識(shí)別入侵行為;(3)檢測和監(jiān)視以實(shí)施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴(kuò)大;

  2、 入侵檢測系統(tǒng)模型

  美國斯坦福國際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2,該模型的檢測方法就是建立用戶正常行為的描述模型,并以此同當(dāng)前用戶活動(dòng)的審計(jì)記錄進(jìn)行比較,假如有較大偏差,則表示有異?;顒?dòng)發(fā)生。這是一種基于統(tǒng)計(jì)的檢測方法。隨著技術(shù)的發(fā)展,后來人們又提出了基于規(guī)則的檢測方法。結(jié)合這兩種方法的優(yōu)點(diǎn),人們設(shè)計(jì)出很多入侵檢測的模型。通用入侵檢測構(gòu)架(Common Intrusion Detection Framework簡稱CIDF)組織,試圖將現(xiàn)有的入侵檢測系統(tǒng)標(biāo)準(zhǔn)化,CIDF闡述了一個(gè)入侵檢測系統(tǒng)的通用模型(一般稱為CIDF模型)。它將一個(gè)入侵檢測系統(tǒng)分為以下四個(gè)組件摘要:

  事件產(chǎn)生器(Event Generators)

  事件分析器(Event analyzers)

  響應(yīng)單元(Response units)

  事件數(shù)據(jù)庫(Event databases)

  它將需要分析的數(shù)據(jù)通稱為事件,事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件,并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱,它可以是復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件。

  3、 入侵檢測系統(tǒng)的分類摘要:

  現(xiàn)有的IDS的分類,大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性探究方面的新問題,在這里采用五類標(biāo)準(zhǔn)摘要:控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。

  (1)按照信息源分類

  按照信息源分類是目前最通用的劃分方法,它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS?;谥鳈C(jī)的IDS通過分析來自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來檢測攻擊。基于主機(jī)的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕捉并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊。分布式IDS,能夠同時(shí)分析來自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流,系統(tǒng)由多個(gè)部件組成,采用分布式結(jié)構(gòu)。

  (2)按照分析方法分類

  按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個(gè)對過去各種入侵方法和系統(tǒng)缺陷知識(shí)的數(shù)據(jù)庫,當(dāng)收集到的信息和庫中的原型相符合時(shí)則報(bào)警。任何不符合特定條件的活動(dòng)將會(huì)被認(rèn)為合法,因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設(shè)的基礎(chǔ)之上的,即任何一種入侵行為都能由于其偏離正?;蛘咚谕南到y(tǒng)和用戶活動(dòng)規(guī)律而被檢測出來。所以它需要一個(gè)記錄合法活動(dòng)的數(shù)據(jù)庫,由于庫的有限性使得虛警率比較高。

  (3)按照控制策略分類

  控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個(gè)中心節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測和報(bào)告。在部分分布式IDS中,監(jiān)控和探測是由本地的一個(gè)控制點(diǎn)控制,層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。在全分布式IDS中,監(jiān)控和探測是使用一種叫“代理”的方法,代理進(jìn)行分析并做出響應(yīng)決策。

  (4)按照同步技術(shù)分類

  同步技術(shù)是指被監(jiān)控的事件以及對這些事件的分析在同一時(shí)間進(jìn)行。按照同步技術(shù)劃分,IDS劃分為間隔批任務(wù)處理型IDS和實(shí)時(shí)連續(xù)性IDS。在間隔批任務(wù)處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息,并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。很多早期的基于主機(jī)的IDS都采用這種方案。在實(shí)時(shí)連續(xù)型IDS中,事件一發(fā)生,信息源就傳給分析引擎,并且馬上得到處理和反映。實(shí)時(shí)IDS是基于網(wǎng)絡(luò)IDS首選的方案。

  (5)按照響應(yīng)方式分類

  按照響應(yīng)方式IDS劃分為主動(dòng)響應(yīng)IDS和被動(dòng)響應(yīng)IDS。當(dāng)特定的入侵被檢測到時(shí),主動(dòng)IDS會(huì)采用以下三種響應(yīng)摘要:收集輔助信息;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞;對攻擊者采取行動(dòng)(這是一種不被推薦的做法,因?yàn)樾袨橛悬c(diǎn)過激)。被動(dòng)響應(yīng)IDS則是將信息提供給系統(tǒng)用戶,依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動(dòng)。

  4、 IDS的評(píng)價(jià)標(biāo)準(zhǔn)

  目前的入侵檢測技術(shù)發(fā)展迅速,應(yīng)用的技術(shù)也很廣泛,如何來評(píng)價(jià)IDS的優(yōu)缺點(diǎn)就顯得非常重要。評(píng)價(jià)IDS的優(yōu)劣主要有這樣幾個(gè)方面[5摘要:(1)準(zhǔn)確性。準(zhǔn)確性是指IDS不會(huì)標(biāo)記環(huán)境中的一個(gè)合法行為為異常或入侵。(2)性能。IDS的性能是指處理審計(jì)事件的速度。對一個(gè)實(shí)時(shí)IDS來說,必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(cuò)(fault tolerance)。當(dāng)被保護(hù)系統(tǒng)遭到攻擊和毀壞時(shí),能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。(5)自身反抗攻擊能力。這一點(diǎn)很重要,尤其是“拒絕服務(wù)”攻擊。因?yàn)槎鄶?shù)對目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS,再實(shí)施對系統(tǒng)的攻擊。(6)及時(shí)性(Timeliness)。一個(gè)IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果,以便在系統(tǒng)造成嚴(yán)重危害之前能及時(shí)做出反應(yīng),阻止攻擊者破壞審計(jì)數(shù)據(jù)或IDS本身。

  除了上述幾個(gè)主要方面,還應(yīng)該考慮以下幾個(gè)方面摘要:(1)IDS運(yùn)行時(shí),額外的計(jì)算機(jī)資源的開銷;(2)誤警報(bào)率/漏警報(bào)率的程度;(3)適應(yīng)性和擴(kuò)展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。

  5、 IDS的發(fā)展趨勢

  隨著入侵檢測技術(shù)的發(fā)展,成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中。入侵檢測系統(tǒng)的典型代表是ISS(國際互聯(lián)網(wǎng)平安系統(tǒng)公司)公司的RealSecure。目前較為聞名的商用入侵檢測產(chǎn)品還有摘要:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內(nèi)的該類產(chǎn)品較少,但發(fā)展很快,已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。

  人們在完善原有技術(shù)的基礎(chǔ)上,又在探究新的檢測方法,如數(shù)據(jù)融合技術(shù),主動(dòng)的自主代理方法,智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為摘要:

  (1)大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架,顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測,不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此,必須發(fā)展大規(guī)模的分布式入侵檢測技術(shù)。

  (2)寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn),各種寬帶接入手段層出不窮,如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測成為一個(gè)現(xiàn)實(shí)的新問題。

  (3)入侵檢測的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先,目前的技術(shù)還不能對付練習(xí)有素的黑客的復(fù)雜的攻擊。其次,系統(tǒng)的虛警率太高。最后,系統(tǒng)對大量的數(shù)據(jù)處理,非但無助于解決新問題,還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列新問題的好方法。

  (4)和網(wǎng)絡(luò)平安技術(shù)相結(jié)合。結(jié)合防火墻,病毒防護(hù)以及電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)平安保障。

  6、 結(jié)束語

  在目前的計(jì)算機(jī)平安狀態(tài)下,基于防火墻、加密技術(shù)的平安防護(hù)固然重要,但是,要根本改善系統(tǒng)的平安目前狀況,必須要發(fā)展入侵檢測技術(shù),它已經(jīng)成為計(jì)算機(jī)平安策略中的核心技術(shù)之一。IDS作為一種主動(dòng)的平安防護(hù)技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。隨著網(wǎng)絡(luò)通信技術(shù)平安性的要求越來越高,入侵檢測技術(shù)必將受到人們的高度重視。

68398