欢迎来到天天文库
浏览记录
ID:24376146
大小:51.00 KB
页数:4页
时间:2018-11-14
《基于网络的入侵检测系统的研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、基于网络的入侵检测系统的研究基于X络的入侵检测系统是一种积极主动的安全防护措施之一。本文在明确入侵检测系统重要性的基础上,分析了典型的X络入侵过程,并进一步详细研究了入侵检测系统的设计,主要涉及到数据包的采集及包重组调整等方面。关键词:X络技术;入侵检测;X络安全1引言 X络互联迅速的扩展,特别是Inter大范围的开放以及金融领域X络的接入,越来越多的系统遭到入侵攻击的威胁。这些威胁大多是通过挖掘操作系统和应用服务程序的弱点或缺陷((bug)来实现的。基于上述问题,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立安全的辅助系统,入侵检测系统(IDS)就是
2、这样一类系统。入侵检测作为安全防护的一个重要手段可以及时发现系统漏洞及入侵动机和行为,及时提醒管理人员采取相应的措施、显著的减少被入侵的可能性和可能造成的损失。因此研究基于X络的入侵检测系统具有重要的意义。2X络入侵过程的分析一个典型的X络入侵过程如图2-1所示:图2-1典型的入侵过程在这个入侵过程当中,我们可以发现,黑客想要攻击一个目标主机,首先要搜集该目标主机的一些信息,包括一些系统最新的安全漏洞和攻击方法,接着获取目标主机的账号信息,以便于登陆,当得到系统的访问权限后,便要得到超级用户的访问权限,以更好地把握攻击的主动权。值得注意的是,在进行上面的那些操作时,往往会在系统
3、中留下许多日志信息,这些信息会暴露黑客的存在及行踪[1]。因此,当一个黑客成功地入侵一台主机后第一件事就是删除踪迹,有的黑客可能会将所有的日志文件删除,这样做虽然可以保护自己,但是很容易被对方管理员发现本系统受到过入侵,及时做出相应的防护措施,如修改密码、删除后门等。3入侵检测系统的设计3.1入侵检测的功能描述 本文研究的入侵检测系统的功能主要分为四个部分:防范、检测、处理和管理,与这四个功能对应的组件是防火墙、入侵检测代理、响应组件和管理器。它们之间的关系如图3-1所示。图3-1入侵检测的功能组件 防火墙是X络安全的第一道防线,它将绝大多数攻击和入侵阻挡在受保护的X络之外
4、;检测代理是防火墙的必要补充,对已通过防火墙的X络子示为作进一步检查分析,发现潜在的威胁和攻击,并通知响应组件采取措施;响应组件根据X络的安个策略和检测代理的事件报告,实时改变防火墙的配置,使防火墙的防范措施得到进一步加强,从而使X络得到增强了的安全保护。这三个组件的核心是管理器,它负责完成整个系统的安全策略配置、各个组件的管理控制、安全认证、规则配置和系统日志等功能。3.2X络数据的采集数据流截获是入侵检测的第一步,是之后所有工作的基础。Libpcap是用户态下的数据包截获API函数接口,它支持BPF数据过滤机制。essage(DEBUG_STREAM,“CheckFin()
5、calledfor%sn”,direction“FROM_CLIENT”:“FROM_SERVER”);); …… If(SEQ_LT(pkt_seqs->base_seq+s->bytes_tracked)SEQ_GEQ(pkt_seq,(s->last_seq+s->essage(DEBUG_STREAM,“BadFINpacket,badsequence!n”)……) …… Return0} 未改进的IDS设备何次只对个包进行观测,不对之前的包进行缓存,这意味着只能通过标志位来确定会话的状态。例如,把ACK置位而SYN未置位的包看作处于已
6、连接的状态中。对防火墙来说这个方法有很大的缺点,利用它,一些端口扫描工具不使用通常的SYN连接包,而是发送只对ACK置位的包来进行检测,这样就可以绕过防火墙,防火墙会认为这些探测包处于某个已连接的会话中而让其通过。而改进的IDS可以识别出根据SNORT规则集生成的能够触发规则的包,但不进行TCP的三次握手过程。而对此类包,可以识别出不处于连续状态的攻击包,然后迅速地抛弃它们,避免再花费设备资源或人力来响应。4小结 总之,入侵检测系统作为一种积极主动的安全防护系统,得到了广泛的研究和应用。伴随着广域X的发展和黑客攻击技术的不断提高,入侵检测系统研究方向由于其先进的思想理念和安全
7、高效的检测技术将会得到重点的发展。
此文档下载收益归作者所有