返回
入侵检测系统技术综述

入侵检测系统技术综述

ID:19266470

大小:37.50 KB

页数:10页

时间:2018-09-30

入侵检测系统技术综述_第1页
入侵检测系统技术综述_第2页
入侵检测系统技术综述_第3页
入侵检测系统技术综述_第4页
入侵检测系统技术综述_第5页
资源描述:

《入侵检测系统技术综述》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、入侵检测系统技术综述本文由♀皓月♂贡献doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。入侵检测系统技术综述自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果摘要:大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程.文章以历史和实践的观点$透视入侵和入侵检测技术相互制约,相互促进的演进过程.关键词:关键词:计算机安全;入侵检测;入侵检测系

2、统;入侵检测系统的历史1、引言自从计算机问世以来,安全问题就一直存在。特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。2、概述计算机网络技术的飞速发展极大地改变了人们的学习、工作

3、以及生活方式。随着计算机及网络系统中存储的重要信息越来越多,系统的安全问题也显得E1益突出,我们需要尽可能找到更好的措施以保护系统免受入侵者的攻击,尽管已有许多防御技术,如防火墙,但它只是一种静态的被动的防护技术。要求事先设置规则。对于实时攻击或异常行为不能实时反应。无法自动调整策略设置以阻断正在进行的攻击。因而出现了入侵检测系统,它是一种动态的网络安全策略,能够有效地发现入侵行为和合法用户滥用特权的行为,它是P2DR(动态安全模型)的核心部分。3、入侵检测系统产生及其发展绝大多数入侵检测系统的处理效率低下,不能满足大规模和高带

4、宽网络的安全防护要求。这就决定了当前的入侵检测系统在未来信息战中的作用是有限的。因为信息战中双方使用的网络进攻手段肯定是储备的、从未出现的新手段。即使检测到攻击,现有的入侵检测系统的响应能力和实时性也很有限,不能预防快速脚本攻击,对于此类恶意攻击只能发现和纪录,而不能实时阻止。国内只有少数的网络入侵检测软件,相关领域的系统研究也是刚刚起步,与外国尚有很大差距。目前,在入侵检测的技术发展上还是存在着以下主要缺陷:(1)网络安全设备的处理速度慢。(2)入侵检测系统的漏报率和误报率高。(3)入侵检测系统的互动性能差,整个系统的安全性能

5、低。4、入侵检测系统的概论4.1入侵检测系统的概念入侵检测系统(IntrusionDetectionSystem,简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。4.2入侵检测系统的分类入侵

6、检测技术主要可以分成两类:异常入侵检测(AnomalyDetection)技术和误用人侵检测(MisuseDetec—tion)技术。4.2.1基于统计模型的异常入侵检测1)基于阈值测量(ThresholdMeasures)的检测。这种方法也称为操作模型(OperationalModel),是对某个时间段内时间的发生次数设置一个阈值,若超过该值就有可能出现异常情况。定义异常的阈值设置偏高就会导致误否定错误,误否定错误的后果不仅是检测不到入侵,而且还会给安全管理人员以安全的错觉。定义异常的阈值设置偏低就会导致难以忍受的误肯定判断,

7、误肯定过多就会降低入侵检测方法的效率而且会增添安全管理员的负担。2)基于平均值和标准偏差模型的检测。这种模型将观察到的前n个事件用变量x1,……,xn。来表示,这些变量的平均值mean和标准偏差stdev分别为:mean=(x1+……+xn)/nstdev=sqrt((x21+……+x2n)/(n+1)一mean2)对于一个新监测到的事件用xn?1表示,如果它落到置信区间mean±d*stdev之外就认为是异常的,d是标准偏移均值参数。这种方法的优点是能够动态地学习有关正常事件的知识,并通过置信区间的动态改变而表现出来。3)基于

8、马尔科夫进程模型的检测。该模型将离散的事件看作一个状态变量,然后用状态迁移矩阵刻画不同状态之间的迁移频率,而不是个别状态或审计纪录的频率。若观察到的新事件就给定的先前状态和矩阵来说发生的频率太低就认为是异常事件。该模型的优点是可以检测到不寻常的命令或事件序列而不

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。