返回
入侵检测技术作业2

入侵检测技术作业2

ID:31220490

大小:99.37 KB

页数:5页

时间:2019-01-07

入侵检测技术作业2_第1页
入侵检测技术作业2_第2页
入侵检测技术作业2_第3页
入侵检测技术作业2_第4页
入侵检测技术作业2_第5页
资源描述:

《入侵检测技术作业2》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、计算机入侵检测技术张兴2010210603423.1、简述入侵检测系统体系结构的发展历史,并分析引入移动Agent的效果。1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指岀,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDcnning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型TDES(IntrusionDetectionExpertSystems入侵检测专家系统),是第一个在

2、一个应用屮运用了统计和基于规则两种技术的系统,是入侵检测研究屮最冇影响的一个系统。1989年,加州人学戴维斯分校的ToddHeberlein写了一篇论文《ANetworkSecurityMonitor^,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。常见的入侵检测系统具有如下的结构,如图所示。数据提取模块为系统提供数据,数据分析模块对数据进行深入分析,结果处理模块进行告警与相关处理。I.引入移动Agent技术可从以卜•几个方面对传统IDS进行完善(1)改善了容易

3、受控于单个节点的缺陷。由于移动Agent的随机迁移和自动藏匿功能,使得攻击者很难确定Agent的位置。(2)加快响应速度。由丁•移动Agent的移动计算能力,大量的数据分析在叶节点就可以完成,无需回送给屮央处理部件。(1)减少网络负荷。移动Agent尽可能将计算移至数据所在地,而非将数据移至计算所在地,这样就减少了网络的负荷。(2)自治和异步执行。移动Agent可以存在且独立于创建平台,满足了上述需要。(3)动态适应。移动Agent系统具有对坏境的感知能力并能及时响应变化,这对于入侵检测非常重耍。(4)使得系统更易扩展。无需在新近接入节点的设备上安装信息汇聚模块,

4、只需由命令控制节点将移动Agent发送到被检测设备上即可。4.1、简述拥塞控制的若干方法,及其优缺点。(1)随机早期检测算法RED(RandomEarlyDetection)随机早期检测算法是按一定的概率丢弃进入路由器的数据包。RED的早期设计思路是避免丢弃属于同一连接的连续数据包,从而提高连接的吞吐量。通过分摊包丢失率,RED可以在各连接Z间获得较好的公平性,对突发业务的适应性较强。该方法对DDoS攻击的防护作用不大,这是因为其思路是分摊包丢失率,对正常业务和攻击数据“过分公平",不能做到有所区分,从而导致在攻击发生时大量正常业务无法得到服务。(2)显示拥塞指示

5、算法ECN(ExplicitCongestionNotification)前面两种拥塞控制算法都是通过包丢失來告诉端系统,网络已经发生拥寒。而显示拥塞指示算法通过明确的拥塞提示(RFC2481)来实现拥塞控制,对一次性大批量数据传输的效呆比较理想,但对时延冇一定要求。该方法对防护DDoS攻击效果不大,原因在于无攻击特征识别和区分功能,在攻击发生时智能性较差。(3)公平排队算法FQ(FairQueuing)在公平排队算法中路由器对每个输出线路都建有一个排队队列。当一条线路空闲时,路由器就来冋扫描所有队列,依次将每队的第一个包发出。FQ的带宽分配独立于数据包大小,各种

6、服务在队列中儿乎是同时开始的。因此在没有牺牲统计复用的情况下提供了另外的公平性,与端到端的拥塞控制机制可以较好地协同。它的缺点在于实现起來很复杂,需要每个数据流的排队处理、每个流的状态统计、数据包的分类以及包调度的额外开销等。(1)加权公平排队算法WFQ(WeightedFairQueuing)加权公平排队算法是FQ的改进算法。根据不同数据流的不同带宽要求,对每个排队队列采用加权方法分配缓存资源,从而增加FQ对不同应用的适应性,该算法还有其它一些改进算法。该方法通过改进后可用于防护DDoS攻击,思路是首先对攻击进行检测和分类,然后将入口数据按攻击数据、正常数据、可

7、疑数据三种类型分别排队处理,对攻击数据直接丢弄,而通过对可疑和正常数据赋予相应权值来提供不同质量的服务。(2)加权随机先期检测加权随机先期检测WRED(WeightedRandomEarlyDetection):是将随机先期检测与优先级排队结合起來,这种结合为高优先级分组提供了优先通信处理能力。当某个接口开始岀现拥塞时,它冇选择地丢弃较低优先级的通信,而不是简单地随机丢弃分组。该方法通过改进后可用于防护DDoS攻击,思路与WFQ类似,它们都符合评价标准的条件三,改进应从增加条件一和条件二着手。(3)定制排队定制排队是为允许具有不同最低带宽和延迟要求的应用程序共享网

8、络而设计的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。