返回
入侵检测技术研究概述

入侵检测技术研究概述

ID:19280718

大小:29.50 KB

页数:6页

时间:2018-09-30

入侵检测技术研究概述_第1页
入侵检测技术研究概述_第2页
入侵检测技术研究概述_第3页
入侵检测技术研究概述_第4页
入侵检测技术研究概述_第5页
资源描述:

《入侵检测技术研究概述》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、入侵检测技术研究概述本文由dontyoulin贡献doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。入侵检测技术研究概述郭风(酒钢(集团)检修工程公司系统所,甘肃嘉峪关735100摘要:入侵检测是保护信息安全的重要途径,是一种新的动态安全防御技术,它是继防火墙之后的第二道安全防线。介绍入侵检测的相关概念,总结了入侵检测系统的功能、分类及入侵检测的过程,并对入侵检测的方法进行了简要分析,为进一步研究提供参考。关键词:入侵检测;入侵检测系统;检测过程;检测方法中图分类号:TV31如何建立安全而又健壮的网络系统,保

2、证重要信息的安全性,已经成为研究的焦点。以往采用的方式多是防火墙的策略,它可以防止利用协议漏洞、源路由、地址仿冒等多种攻击手段,并提供安全的数据通道,但是它对于应用层的后门,内部用户的越权操作等导致的攻击或窃取,破坏信息却无能为力。另外,由于防火墙的位置处在网络中的明处,自身的设计缺陷也难免会暴露给众多的攻击者,所以仅仅凭借防火墙是难以抵御多种多样层出不穷的攻击的,这种静态的安全技术自身存在着不可克服的缺点。为了保证网络系统的安全,就需要有一种能够及时发现并报告系统中未授权或异常现象的技术,即入侵检测技术。1入侵检测的基本概念入侵检测是指“通

3、过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。”入侵检测是检验和响应计算机误用的学科,是通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出相应。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术可以分为两类:I)滥用检测(MisuseDetection)滥用检测是利用已知的入侵方法和系统的薄弱环节识

4、别非法入侵。该方法的主要缺点为:由于所有已知的入侵模式都被植人系统中,所以,一旦出现任何未知形式的入侵,都无法检测出来。但该方法的检测效率较高。2)异常检测(AnomalyDetection)异常检测是通过检查当前用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或越权操作。该方法的优点是无需了解系统缺陷,适应性较强。但发生误报的可能性较高。2人侵检测系统入侵检测系统(IDS:IntrusionDetectionSystern)是实现入侵检测功能的一系列的软件、硬件的组合。它是入侵检测的具体实现。作为一种安全管理工具,它从不同的系统

5、资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为作出自动的反应,并报告检测过程的结果。入侵检测系统就其最基本的形式来讲,可以说是一个分类器,它是根据系统的安全策略来对收集到的事件/状态信息进行分类处理,从而判断出人侵和非入侵行为。入侵检测系统的主要功能有:1)监视、分析用户及系统行为,查找非法用户和合法用户的越权操作;2)系统配置和漏洞的审计检查;3)评估重要系统和数据文件的完整性;4)识别、反应已知攻击的行为模式并报警;5)异常行为模式的统计分析;6)操作系统的审计跟踪管理及违反安全策略的用户行为的识别。2.1入侵检测系统分类入

6、侵检测系统中的用户行为主要表现为数据形式。根据数据的来源不同,入侵检测系统可以分为基于主机的和基于网络的两种。前者的数据来自操作系统的审计数据,后者来自网络中流经的数据包。由于用户的行为都表现为数据,因此,解决问题的核心就是如何正确高效地处理收集到的数据,并从中得出结论。2.1.1按照输入数据来源分类(1)基于主机的入侵检测系统基于主机的入侵检测系统(HIDS:Host2basedIntrusionDetectionSystem)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(AttackS

7、ignature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统就各系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的IDS有着明显的优点:(a)非常适合于加密和交换环境;(b)近实时的检测和响应;(c)不需要额外的硬件。同时也存在着一些不足:会占用主机的系统资源,增加系统负荷,而且针对不同的操作平台必须开发出不同的程序,另外所需配置的数量众多。但是对系统内在的结构却没有任何约束,同时可以利用操

8、作系统本身提供的功能,并结合异常检测分析,更能准确的报告攻击行为。(2)基于网络的入侵检测系统基于网络的入侵检测系统(NIDS:Network-basedIntru

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。