返回
网络入侵检测系统

网络入侵检测系统

ID:13069559

大小:22.69 KB

页数:5页

时间:2018-07-20

网络入侵检测系统_第1页
网络入侵检测系统_第2页
网络入侵检测系统_第3页
网络入侵检测系统_第4页
网络入侵检测系统_第5页
资源描述:

《网络入侵检测系统》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、106网络技术2010年4月刊信息与电脑ChinaComputer&Communication随着Internet的迅速发展,计算机及计算机网络逐渐成为被攻击的目标,从而导致公司形象受损商业信息失窃、研究数据被盗、个人信息失密等,因此计算机及网络的安全问题成为研究的焦点.要保证计算机网络的安全,首先要防止对网络的攻击行为,现在一般使用防火墙技术进行防范。另外,当防火墙被攻破或被绕开时,还要能够及时发现这种恶意行为,并在这种行为对系统或数据进行破坏之前,能够采取一定的行为,如进行报警、切断连接、封掉IP或进行反击等,这就是入侵检测技术(IntrusionDetectionTechnolog

2、y,简称IDT)。一、入侵检测技术1980年,JamesP.Anderson在题为《ComputSecurityThreatMonitoringandSurveillance》(《计算机安全威胁监控和监视》)的技术报告中,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为内部渗透、外部渗透和不法行为3种,提出了利用审计跟踪数据监视活动的思想。入侵检测技术就是依据这一思想建立起来的一种积极主动的安全防护技术,它提供了对内部攻击、外部攻击和误操作的实时保护,能在网络系统受到危害之前进行拦截和响应。它主要完成以下功能:监视、分析用户和系统的活动检查系统的

3、配置和漏洞;评估关键系统和数据的完整性;识别代表已知的攻击活动模式;对反常行为模式进行统计分析;对操作系统进行校验管理,判断是否有破坏安全的用户行为。二、入侵检测技术分类根据不同的结构和监听策略,入侵检测系统主要分为两类:基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。(一)主机型入侵检测系统主机型入侵检测系统通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。HIDS一般监视WindowsNT上的系统、事件、安全日志以及Unix环境中的SYSLOG文件。一旦发现这些文件发生任何变化,IDS将比较新的日志记录与攻击签名

4、以发现他们是否匹配。主机型入侵检测系统具有以下优点:对分析“可能的攻击行为”非常有用;非常适用于加密和交换环境;比较实时的检测和应答;不需要额外的硬件。它的弱点是:如果把HIDS安装在需要保护的设备上,则会降低系统的效率。另外,它还依赖于服务器固有的日志和监视能力。(二)网络型入侵检测系统网络型入侵检测系统一般放在比较重要的网段内不停的监视网段中的各种数据包,并对每一个数据包或可疑的数据包进行特征分析。如果数据包与系统内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前大部分入侵检测产品都是基于网络的。网络入侵检测系统的优点是:它不会在业务系统的主机中安装额外的软件,从

5、而不会影响主机的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能;当网络入侵检测系统发生故障时不会影响正常业务的运行;部署一个网络入侵检测系统的风险远低于布置一个主机型入侵检测系统。但是,网络入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络数据包,在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。三、入侵检测技术的发展趋势入侵检测技术可以用于文件系统的完整性检测、用户行为检测和网络异常检测等.但是仅仅发现入侵行为还不够,还必须采取进一步的措施以制止攻击,避免造成进一步危害,如改变网络配置、切断连接、向

6、攻击者发出警告信息、进行反击等。理想的情况是,在入侵行为造成危害之前就已经采取了必要的措施。(一)分布式入侵检测为了克服基于主机的入侵检测和基于网络的入侵检测的不足,现在人们又提出了一种新的入侵检测技术,即分布式入侵检测(DistributedIntrusionDetectionSystem,简称DIDS).分布式入侵检测有两方面的含义,一是对分布式攻击的入侵检测技术,二是入侵检测系统采用分布式计算技术.分布式入侵检测技术主要有层次式入侵检测和协作式入侵检测两类.协作式入侵检测系统各分布部件之间不存在主从之分,相互协作,优点是比较灵活,系统的容错能力较强,各分布部件可以独立工作;缺点是各

7、分布部件之间的协调算法比较复杂,缺少一个统一的处理模块,不利于对全局的安全事件的理解。而层次式入侵检测系统则把系统分成若干层次,上层部件控制下层部件,它的优点是系统由控制中心统一控制,有利于大规模入侵事件的检测,效率比协作式高;缺点是如果主控模块遭到破坏,则整个系统的工作会受到影响,系统的可扩充性也较差.目前流行的Manager/Agent结构不仅可以监控整个网络的入侵和攻击行为、审查日志文件,还可以进行实时入侵活动的探测,代表了网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。