返回
入侵检测技术作业2new

入侵检测技术作业2new

ID:18711799

大小:77.00 KB

页数:5页

时间:2018-09-20

入侵检测技术作业2new_第1页
入侵检测技术作业2new_第2页
入侵检测技术作业2new_第3页
入侵检测技术作业2new_第4页
入侵检测技术作业2new_第5页
资源描述:

《入侵检测技术作业2new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机入侵检测技术张兴2010210603423.1、简述入侵检测系统体系结构的发展历史,并分析引入移动Agent的效果。1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型-IDES(IntrusionDetectionExpertSystems入侵检测专家系统),是第

2、一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。1989年,加州大学戴维斯分校的ToddHeberlein写了一篇论文《ANetworkSecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。常见的入侵检测系统具有如下的结构,如图所示。数据提取模块为系统提供数据,数据分析模块对数据进行深入分析,结果处理模块进行告警与相关处理。引入移动Agent技术可从以下几个方面对传统IDS进行完善(1)改善了

3、容易受控于单个节点的缺陷。由于移动Agent的随机迁移和自动藏匿功能,使得攻击者很难确定Agent的位置。(2)加快响应速度。由于移动Agent的移动计算能力,大量的数据分析在叶节点就可以完成,无需回送给中央处理部件。(3)减少网络负荷。移动Agent尽可能将计算移至数据所在地,而非将数据移至计算所在地,这样就减少了网络的负荷。(4)自治和异步执行。移动Agent可以存在且独立于创建平台,满足了上述需要。(5)动态适应。移动Agent系统具有对环境的感知能力并能及时响应变化,这对于入侵检测非常重要。(6)使得系统更易扩展。无需在新近接入节点的设备上安装信息汇聚

4、模块,只需由命令控制节点将移动Agent发送到被检测设备上即可。4.1、简述拥塞控制的若干方法,及其优缺点。(1)随机早期检测算法RED(RandomEarlyDetection)随机早期检测算法是按一定的概率丢弃进入路由器的数据包。RED的早期设计思路是避免丢弃属于同一连接的连续数据包,从而提高连接的吞吐量。通过分摊包丢失率,RED可以在各连接之间获得较好的公平性,对突发业务的适应性较强。该方法对DDoS攻击的防护作用不大,这是因为其思路是分摊包丢失率,对正常业务和攻击数据“过分公平”,不能做到有所区分,从而导致在攻击发生时大量正常业务无法得到服务。(2)显

5、示拥塞指示算法ECN(ExplicitCongestionNotification)前面两种拥塞控制算法都是通过包丢失来告诉端系统,网络已经发生拥塞。而显示拥塞指示算法通过明确的拥塞提示(RFC2481)来实现拥塞控制,对一次性大批量数据传输的效果比较理想,但对时延有一定要求。该方法对防护DDoS攻击效果不大,原因在于无攻击特征识别和区分功能,在攻击发生时智能性较差。(3)公平排队算法FQ(FairQueuing)在公平排队算法中路由器对每个输出线路都建有一个排队队列。当一条线路空闲时,路由器就来回扫描所有队列,依次将每队的第一个包发出。FQ的带宽分配独立于数

6、据包大小,各种服务在队列中几乎是同时开始的。因此在没有牺牲统计复用的情况下提供了另外的公平性,与端到端的拥塞控制机制可以较好地协同。它的缺点在于实现起来很复杂,需要每个数据流的排队处理、每个流的状态统计、数据包的分类以及包调度的额外开销等。(4)加权公平排队算法WFQ(WeightedFairQueuing)加权公平排队算法是FQ的改进算法。根据不同数据流的不同带宽要求,对每个排队队列采用加权方法分配缓存资源,从而增加FQ对不同应用的适应性,该算法还有其它一些改进算法。该方法通过改进后可用于防护DDoS攻击,思路是首先对攻击进行检测和分类,然后将入口数据按攻击

7、数据、正常数据、可疑数据三种类型分别排队处理,对攻击数据直接丢弃,而通过对可疑和正常数据赋予相应权值来提供不同质量的服务。(5)加权随机先期检测加权随机先期检测WRED(WeightedRandomEarlyDetection):是将随机先期检测与优先级排队结合起来,这种结合为高优先级分组提供了优先通信处理能力。当某个接口开始出现拥塞时,它有选择地丢弃较低优先级的通信,而不是简单地随机丢弃分组。该方法通过改进后可用于防护DDoS攻击,思路与WFQ类似,它们都符合评价标准的条件三,改进应从增加条件一和条件二着手。(6)定制排队定制排队是为允许具有不同最低带宽和延

8、迟要求的应用程序共享网络而设计的。定制

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。