返回
《入侵检测技术论》word版

《入侵检测技术论》word版

ID:29893853

大小:47.00 KB

页数:4页

时间:2018-12-24

《入侵检测技术论》word版_第1页
《入侵检测技术论》word版_第2页
《入侵检测技术论》word版_第3页
《入侵检测技术论》word版_第4页
资源描述:

《《入侵检测技术论》word版》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、入侵检测技术论文-入侵检测系统的分析与研究摘要:本文主要针对计算机网络安全风险系数不断的提高,传统的计算机网络安全解决方案已难解决,曾经作为主要的计算机网络安全防范手段的防火墙技术,已经不能满足人们对日益增长的网络需求,作为对防火墙技术的有益补充,从而引入一种全新的计算机网络安全技术——入侵检测系统(IntrusionDetectionSystem,IDS),并对其分类、技术特征及其发展进行了深入的分析与研究。  关键字:网络安全防火墙技术入侵检测系统  1、引言  随着Internet网络技术的发展,以资源的共享以及传递信息的计算机网络系统,日益遭到恶意潜在的破坏与攻击,使得计算

2、机网络安全系统日益成为人们关注的热点,为了弥补传统的计算机网络安全技术的缺陷与不足,入侵检测系统已经成为计算机网络安全系统保护的一道保障,Dorothy.E.Denning在1986年首次提出了入侵检测系统的抽象模型,并提出将入侵检测系统纳入计算机网络安全系统,从而形成了全新的计算机网络安全的概念。  2、入侵检测系统定义  入侵检测系统作为一种积极主动的网络安全防护技术,提供对内部网络攻击、外部网络攻击与误操作实时保护,在网络系统体系受到危害之前作出响应入侵,入侵检测系统能很好的弥补防火墙技术的不足,至今为止,软件技术还不可能百分之百的保证系统中不存在安全漏洞,针对日益严重的网络

3、安全问题和安全需求,适应网络安全模型与动态安全模型应运而生,入侵检测系统在网络安全技术中占有重要的地位。  3、入侵检测系统分类  入侵检测系统由控制台(Console)与传感器(Sensor)两部分组成,控制台起到中央管理作用,传感器则负责采集数据与分析数据并生成安全事件的作用,入侵检测系统根据检测的对象可分为基于主机入侵检测系统与基于网络入侵检测系统。  3.1主机入侵检测系统HIDS  基于主机入侵检测通过全面监测主机的状态与用户操作进行检测分析,可以检测到主机、进程或用户异常行为,在受保护主机上有专门的检测代理系统,通过对系统日志和审计记录不间断监视与分析来发现系统的攻击,

4、及时发送警告信息和采取相应的措施来阻止攻击作用,其主要目的是在事件发生之后,能够提供足够分析来阻止进一步的攻击的用途。  3.2网络入侵检测系统NIDS  基于网络入侵检测系统放置在网络中比较重要的位置,可以不间断的监测网段中各种数据包,并且可以对每一个数据包或者可疑数据包进行特征分析与研究,网络入侵检测系统是可以使用原始网络数据包作为数据源,进行保护网络正常运行,如果这些数据包与产品内置某些规则相吻合,则入侵检测系统就会发出警报甚至于直接切断网络连接来进行防御,目前入侵检测系统大部分产品是基于网络的。  4、入侵检测技术类型  入侵检测技术通常分为两种类型:误用检测与异常检测。 

5、 4.1误用检测  误用检测是基于知识性检测系统,它是运用已知攻击方法定义好入侵模式,通过对这些入侵模式来判断是否发生是入侵行为,其主要包括状态转换分析、模型推理与特征检测技术等方法,因此很大一部分入侵是利用系统的脆弱性,通过对这些数据包进行分析,对入侵过程的条件、排列、特征与事件间之间的关系进行具体描述,并且对已知入侵行为与手段进行分析与提取,进行特征检测,通过系统对当前状态和攻击模式或者攻击签名匹配来进行判断入侵的行为,但这种方法依据具体特征进行判断,因此检测准确率很高,且检测结果有明确参照,因此总是滞后于新出现的攻击类型,所以需要不断的更新攻击特征库,系统依赖性很强,系统移植

6、性不太好,且维护工作量很大。  4.2异常检测  异常检测是基于行为检测系统,基于行为检测是指根据使用者行为或者资源的使用状况来判断是否发生入侵行为。它可以使用户模型进行自动更新,其主要缺陷是误检率很高,阈值很难设定,尤其在用户数目众多的时候,工作目的又经常改变的环境下,其次是由于统计要不断进行更新,如果入侵者知道某系统是在检测器的监视之中,入侵者可以慢慢的训练检测系统,因此在最初认为是异常的入侵行为,经过一段时间训练之后也认为是正常的数据了。  5、数据包分析与研究  如图5.1所示,图中可以看到入侵者发送大量的TCP数据包进行攻击:攻击的目的地址为:192.168.0.1,其端

7、口号为:8730,其时间都集中在很短的几秒钟之内,当前的网络流量迅速倍增,因为攻击者的源地址为测试机的源IP地址:219.216.12.1,其端口号为:2016,它与扫描攻击特征相吻合,因此可以判断发生异常攻击的入侵,且系统将自动产生报警信息通知系统管理员加以管理与防范  6、入侵检测技术的发展趋势  在过去20多年的时间里,入侵检测技术的研究一直很活跃,入侵检测技术的发展趋势向着实时响应、智能化、分布式入侵、入侵响应以及全面的安全防御方案发展,入侵检测技术作已经成为

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。