计算机网络安全和入侵检测技术浅议

计算机网络安全和入侵检测技术浅议

ID:31296230

大小:58.84 KB

页数:8页

时间:2019-01-08

计算机网络安全和入侵检测技术浅议_第1页
计算机网络安全和入侵检测技术浅议_第2页
计算机网络安全和入侵检测技术浅议_第3页
计算机网络安全和入侵检测技术浅议_第4页
计算机网络安全和入侵检测技术浅议_第5页
资源描述:

《计算机网络安全和入侵检测技术浅议》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、计算机网络安全和入侵检测技术浅议摘要:计算机网络的安全已成为国家与国防安全的重要组成部分,而入侵检测技术是保证计算机网络安全的核心技术之一。本文在研究入侵检测概念的基础上,对入侵检测的过程进行了分析,并进行了分类,提出了入侵检测技术的发展趋势。关键词:入侵检测;网络攻击:网络安全中图分类号:TP393.08文献标识码:A文章编号:1674-7712(2013)18-0000-01一、入侵检测的历史入侵检测可追溯到1986年,SRI的Dorothy首次将入侵检测的概念作为一种计算机安全防御措施提出,并建立了一个独立于系统、程序

2、应用环境和系统脆弱性的通用入侵检测系统模型。90年代以前,SRI以及LosAlamos实验室都主要是针对主机IDS进行研究,分别开发了IDES、Haystack等入侵检测系统。1990年,UCD设计的网络安全监视器标志着入侵检测系统的研究进入网络领域。网络IDS的研究方法主要有两种:一是分析各主机的审计数据,并分析各主机审计数据之间的关系;二是分析网络数据包。由于90年代因特网的发展及通信和网络带宽的增加,系统的互连性已经有了显著提高,于是人们开始试图将主机和网络IDS集成。分布式入侵检测系统(DIDS)最早试图将基于主机的

3、方法和网络监视方法集成在一起。可见,入侵检测系统的发展主要经历了三个阶段:主机IDS的研究、网络IDS的研究、最后将主机和网络IDS集成。二、入侵检测的概念入侵检测的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。入侵检测系统(intrusiondetectionsystem,简称IDS)则是完成如上功能的独立系统。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前进行拦截和响应入侵,能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。三、

4、入侵检测的过程分析入侵检测的过程分为三部分:信息收集、信息分析和结果处理信息收集:入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点的不同网段和不同主机收集信息,这除了尽可能地扩大检测范围外,还有一个重要的因素就是从一个来源的信息有可能看不出一点,但是从几个来源的信息的不一致性却是可疑行为或入侵的最好标识。入侵检测利用的信息一般来自以下四个方面:系统和网络日志文件;目录和文件中的不期望的改变;程序执行中的不期望行为;物理形式的入侵信息。信息分析:对上述四类

5、收集到的信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。结果处理:当检测到入侵,就产生预先定义的响应,也可采取相应的措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的警告。四、入侵检测的分类(一)按照检测原理划分对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上分为两类:基于异常行为的入侵检测和基于特征的入侵检测。其中,基于特征的入侵检测又叫误用检测。1•基于异常行为的入侵检测基

6、于异常行为的入侵检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验等,然后将系统运行时的数值与所定义的正常情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况,对用户要求比较髙。其优点是:具有抽象系统正常行为从而监测系统异常行为的能力,这种能力不受系统以前是否知道这种入侵与否的限制,所以能够检测新的入侵行为。其缺点是:若入侵者了解到了检测规律,可使用逐渐改变系统指标的方法逃避检测;另外检测效率也不高,检测时间较长。2.基于特征的入侵检测基于特征的入侵检测是指将收集到的

7、信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单,如通过字符串配以寻找一个简单的条目或指令;也可以很复杂,如利用正规的数学表达式来表示安全状态的变化。一般来讲,一种进攻模式可以用一个过程或一个输出来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。(二)按照检测对象划分按照检测对象划分,入侵检测一般可分为主机型、网络型

8、两大类。1•基于主机的入侵检测系统基于主机的入侵检测系统通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑,就会向系统管理员报警或者做出适当的响应。主机入侵检测系统的优点:主机入侵检测系统对分析可能的攻击行为非常有用。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。