网络安全之入侵检测技术

网络安全之入侵检测技术

ID:23252259

大小:735.35 KB

页数:21页

时间:2018-11-06

网络安全之入侵检测技术_第1页
网络安全之入侵检测技术_第2页
网络安全之入侵检测技术_第3页
网络安全之入侵检测技术_第4页
网络安全之入侵检测技术_第5页
资源描述:

《网络安全之入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网络安全之入侵检测技术标签:网络入侵检测测评2012-07-3114:07中国移动通信研究院卢楠摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操

2、作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。1、背景目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。计算机病毐拒绝服务攻击關内部、外部泄密特洛伊木马逻辑炸弹蠡蜣虫图1目前网络安全

3、的主要威胁说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源ip地址、来源端口号、目的ip地址或端口号、服务类型(如WWW或是FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术己不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案

4、来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(IntrusionDetectionSystems)o2、入侵检测技术发展历史IDS即入侵检测系统,其英文全称为:IntrusionDetectionSystem。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。图2IDS通用模型IDS诞生于1980年,到目前为止己经有30余年的历史,在这3

5、0余年中,IDS的发展经过了4个阶段。第一阶段:概念诞生。IDS这个概念诞生于1980年4月,JamesP.Andrson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。第二阶段:模型发展

6、。从1984年到1986年,乔治敦大学的Do「othyDenning和SRI/CSL的PeterNeumann研究出了一个实时人侵检测系统模型,取名为IDES(入侵检测专家系统)。该模型由六个部分组成:主题、对象、审计记录、轮廓特征、异常记录、活动规则,如图3所示。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。1988年,SRI/CSL的TeresaLunt等人改进了Denning的入侵检测模型,并开发出了IDES。该系统包括一个异常检测器和一个专家

7、系统,分别用于统计异常模型的建立和基于规则的特征分析检测。图3IDES结构框架第三阶段:百家争鸣。1990年是入侵检测系统发展史上一个分水岭。加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异常主机,从此以后,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。第四阶段:继续演进。IDS在90年代形成的IDS两

8、大阵营的基础上,有了长足的发展,形成了更多技术及分类。除了根据检测数据的不同分为主机型和网络型入侵检测系统外,根据采用的检测技术,入侵检测系统可以分为基于异常的入侵检测(AnomalyDetection,AD)和基于误用(特征)的入侵检测(MisuseDetection,MD)。早期的IDS仅仅是一个监听系统或者提供有限的数据分析功能,而新一代IDS更是增加了应用层数据分析的能力;同时,其配合防火墙进行联动,形成功能互补,可更有效的阻断攻击事件。现有的入侵检测技术的分

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。