返回
基于宽带网的入侵检测系统研究

基于宽带网的入侵检测系统研究

ID:21878348

大小:54.00 KB

页数:6页

时间:2018-10-25

基于宽带网的入侵检测系统研究_第1页
基于宽带网的入侵检测系统研究_第2页
基于宽带网的入侵检测系统研究_第3页
基于宽带网的入侵检测系统研究_第4页
基于宽带网的入侵检测系统研究_第5页
资源描述:

《基于宽带网的入侵检测系统研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于宽带网的入侵检测系统研究摘要:以入侵检测技术为研究对象,提出一个基于宽带X的入侵检测系统模型,给出了其设计方案,采用协议分析和模式匹配相结合的方法,设计并实现一个基于X络的入侵检测系统TcpIDS,实现对已知攻击的检测,并可以检测出违反协议规范的、可能是新的未知攻击的可疑活动。关键词:入侵检测;分布式;数据分流;协议分析1.引言入侵检测就是对计算机X络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。随着宽带X络的应用,传统的X络入

2、侵检测系统显得力不从心。本文的试图在Linux环境下设计一个比较有效的基于宽带X的入侵检测系统。2.BNIDS的系统结构BNIDS(BroadNet),即基于宽带X的入侵检测系统,是为带宽在1G以上的X络设计的。传统的X络入侵检测系统一般应用在带宽不超过100M的X络上,对于超过100M的X络,漏报率高,实时性差,甚至无能为力。因此,BNIDS很好地适应了X络带宽的发展。BNIDS框架由数据采集整理agent、数据检测agent、监控agent和响应agent组成。这些agent可以分布在不同的机

3、器上,甚至不同的X络上。整个系统采用集中一分布式的控制结构,部件之间相互独立,以通过消息相互防作,完成对分布式攻击的检测和处理。BNIDS的结构如图1所示。图1BNIDS的结构①数据采集整理agent数据采集整理agent,具有智能负载均衡功能,可以放置在要检测的主干X的X段上,用来收集X络上的数据包,并对来自X络的数据包进行数据分流以及约简等预处理。数据采集整理agent采用了零拷贝技术,数据报从X络设备到数据采集整理agent空间传递的过程中,减少数据拷贝次数,减少系统调用,实现CPU的零参与

4、,彻底消除CPU在这方面的负载。②检测agent检测agent是执行入侵检测功能的部件,可以独立运行。但通常在监控agent的管理下运行,它可以采用任何入侵检测技术。通常,对来自主机的数据采用专家系统检测技术,对来自X络的数据采用防议分析和模式匹配相结合的检测技术。检测agent实时检测来自于数据采集整理agent处理过的数据,对其进行监视、统计、分析,发现可疑行为,对于自己可以确定为攻击的行为作出处理,进行记录并作为各地区信息报告给监控agent,自己无法确定性质的异常行为,则转化推诱上,进行记

5、录,并及时与其它监控agent联系,交流信息。③监控agent监控agent是整个系统的控制决策中心。安全管理员通过它来配置系统的安全策略、设定运行参数、更新模式库、观察系统的运行、监督系统的安全状态。当安全策略改变,监控agent就请求检测agent和响应agent改变其安全策略。它还接收各代理的事件和告警消息,并将这些信息进行综合,根据安全策略要求,通知响应agent采取必要措施。④响应agent响应agent将受保护X络和外部X络分离并对入侵行为进行制止和反击,对入侵事件进行日记或发邮件给管

6、理员,是防火墙技术和响应技术综合的部件。它可以独立运行,也可以接受监控agent发来的响应命令和改变配置的消息,执行必要操作,如改变安全策略、对攻击行为进行反击等。3.BNIDS的工作流程BNIDS的工作流程如下图所示。图2BNIDS的工作流程BNIDS可运用在超过1G的X络上,应用范围是传统入侵检测系统无法比拟的。BNIDS采用了协议分析和模式匹配相结合的检测技术,误报率大大降低;采用了数据分流和数据约简技术,漏报率几乎为零,做到了实时性。BNIDS的设计采用了很多复杂技术,实现BNIDS需要较

7、高的软硬件条件。下面研究利用协议分析的入侵检测技术设计并实现的基于TCP/IP协议分析的X络入侵检测系统(TcpIDS)。BNIDS和TcpIDS都运用了协议分析的入侵检测技术,但两者的应用场合不一样,BNIDS适用于带宽在1G以上的主干X络,而TcpIDS适用于带宽在不超过100M的X络。4.TcpIDS的设计与实现本论文采用高速包捕获、协议议分析与模式匹配相结合的方法检测攻击,设计并实现了一个协议分析与模式匹配相结合的X络入侵检测系统TcpIDS,实现对攻击的实时检测,并可识别出违反协议规范的

8、、可能是新的未知攻击的可疑活动。TcpIDSs的工作原理是:在一个共享X段上捕获、分析原始的IP数据包,根据协议规范对数据包进行解码、组合,形成各种协议的分组结构;对各种协议的分组结构进行分析,判别数据包是否合理,并从中分解出特征信息;将分解出来的特征与攻击特征库中的特征进行模式匹配,以发现可疑的攻击;对无效、违反协议规范及带有攻击性的数据包进行实时地记录和报警。TcpIDS是一个在Linux9.0系统下运行的基于协议分析与模式匹配相结合的X络入侵检测系统,它的主要功能是X络监视、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。