网络入侵检测系统研究

网络入侵检测系统研究

ID:21751036

大小:54.00 KB

页数:6页

时间:2018-10-24

网络入侵检测系统研究_第1页
网络入侵检测系统研究_第2页
网络入侵检测系统研究_第3页
网络入侵检测系统研究_第4页
网络入侵检测系统研究_第5页
资源描述:

《网络入侵检测系统研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、网络入侵检测系统研究:针对X络入侵检测系统的几个瓶颈,对X络入侵检测系统做研究。在此基础上设计一个整体策略,并给出X络入侵检测系统的基本实现,最后给出基于CEV规则库的应用。  关键词:X络入侵;检测系统;设计  :TP309:A:1671-7597(2011)0310080-01    0引言  在X络的入侵检测系统的基础之上则需要改变X卡(iscuousmode)。  在当今倡导的“百兆桌面”的思想下,整个X络的数据通信庞大,在高速X络下传统基于X络的入侵检测检测系统有那些速度瓶颈。  1)系统软硬件平台的本身处理能力构成瓶颈。2)传统获取数据包方式耗费资源影响性能。

2、3)基于特征匹配的检测方式随着规则增多性能下降。4)协议分析模块的速度瓶颈。针对这几个瓶颈,本文对X络入侵检测系统做了研究。在此基础上设计了一个整体策略,并给出了X络入侵检测系统的基本实现,最后给出了基于CEV规则库的应用。  1系统整体设计策略  基于X络的入侵检测系统使用监测X络收集信息数据的,以此来确定X络入侵。X络安全工具要求具有实时性,这就要求其本身必须是一个安全的应用程序,不能由于引入了它给X络带来不安全的因素,要保证X络监测的实时性和有效性就应该有合理的系统结构作为保障,与此同时还应该充分考虑实际应用环境,以便适应高速X络的需求,考虑到上述因素,系统设计原则

3、和策略如下:  1)使用组件的模块化思想,同时参考了系统的分布式入侵检测想法,以确保系统能成功地扩展到分布式入侵检测。2)对系统和X络性能的影响和资源占用降到最低;而不是给主机系统与计算机X络环境,引入新的安全风险和安全问题。3)在高速X络环境中,以确保数据收集的完整性。4)系统是在特征的基础上的入侵检测技术,所以在解决检测瓶颈时可以通过高效的模式匹配技术来完成。5)丰富的基本规则。对于基于特征的入侵检测系统,在检测更过的攻击时要有相应的规则库与其相匹配,这样才能检测出更多的攻击,为了尽可能的将攻击事件和遗漏可以控制在一定范围内。  2系统基本实现方法  针对高速X络环境

4、下入侵检测系统面临的问题,从数据的采集到处理,和规则库的设计都需要进行改进。下面先介绍系统的结构设计图,然后分别介绍在各个部分的相应改进。系统的数据流程如图1所示。  捕包和分析作为一个整体的X络检测单元,这样在未来面临分布式入侵检测系统时可以将这部分改进成为Agent。  2.1数据包捕获模块。报文捕获是指把某个X络所检测到的数据报文完整的收集到一起。并进行分析,过滤等处理,发送到上层协议分析模块以便能够继续进行应用。  2.2协议分析模块。协议分析模块改进了传统的模式匹配技术,它主要是确定数据包的协议类型,上层的数据分析模块可以继续检测数据包,所有协议树可以构成一个协

5、议书,具体协议是树状结构的一个节点,使用二进制树来表示。图2所示。分析X络数据包也就是一个根到叶子的路径的分析。为了实现非常灵活的协议分析可以在程序中动态维护和配置此树结构。  2.3数据分析模块。使用模式匹配技术对数据进行分析。再入侵特征规则库中储存所有攻击信号所表示的模拟信号,如果在规则库中可以寻找到当前的数据,那么就可以确定是这种入侵行为。如一个HTTP请求找到"/cgi-bin/phf",在服务器上,那么这可能是一攻击者正在寻找系统的CGI漏洞的。  2.4规则库及分析模块。使用现有的计算机系统中的公共/风险和漏洞的入侵规则库对异常行为进行检测。规则库是符合我国的

6、实际权威,完整的库的需要,与国家信息产业发展相适应,并有专业的人员进行更新和维护,较好的解决规则库的方案可以更新规则库。  2.5响应模块。当检测系统检测到异常时发出的响应便是响应模块。  3基于CVE规则库应用  2002年设计的在CVE基础上的入侵检测专家系统规则库是《保障国家信息X络空间安全战略规划》首批启动项目《计算机系统公共弱点/风险(CVE)数据库》,同时还是某个市级机关的科技攻关项目《计算机系统漏洞数据库》。此数据库包含2000多条基于CVE的检测规则,这些规则的设计是:每条规则分为规则头部和规则选项两个部分。规则头部有规则的操作、协议、目标IP地址、原IP

7、地址、X络掩码、端口、CVEID。规则的选项有需要检测模式信息和报警信息。  如:alerttcpanyany->182.179.1.0/24111(content:"

8、000186a5

9、";msg:"CVE-1999-1207:mountdaccess";)。描述的是在使用TCP协议链接X络182.179.1.0/24111的任何主机的111端口的数据包时,一旦出现000186a5,就发出警告信息CVE-1999-1207:mountdaccess。  规则头部是指圆括号前的部分,规则选项则是指圆括号中的部分。选项关键字指的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。