入侵检测系统中检测引擎的分析与实现

入侵检测系统中检测引擎的分析与实现

ID:31488275

大小:1.98 MB

页数:132页

时间:2019-01-12

入侵检测系统中检测引擎的分析与实现_第1页
入侵检测系统中检测引擎的分析与实现_第2页
入侵检测系统中检测引擎的分析与实现_第3页
入侵检测系统中检测引擎的分析与实现_第4页
入侵检测系统中检测引擎的分析与实现_第5页
资源描述:

《入侵检测系统中检测引擎的分析与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、华中科技大学硕士学位论文(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。从这些角度看待安全问题,入侵检测非常必要,它将弥补传统安全保护措施的不足。目前入侵检测系统主要包括三种体系结构:基于主机的入侵检测系统(Host IntrusionDetectionSystem,HIDS)、基于网络的入侵检测系统(NetworkIntrusion DetectionSystem,NIDS)、分布式入侵检测系统(DistributedIntrusionDetectionSystem, DIDS)[7]。随着互联网的普及、网络

2、技术的发展和入侵方法的发展,单一主机已经不能有效对付入侵和网络攻击,网络入侵检测系统和分布式入侵检测成为入侵检测的一个主要发展方向。入侵检测系统可以在一定程度上主动预防和检测系统内、外部的入侵,并做出适当响应,动态改变网络的安全性。而入侵检测系统检测引擎作为入侵检测系统的核心也日益成为当前的研究热点。1.2入侵检测系统面临的问题入侵检测系统技术主要面临着以下挑战[9][10][11]。一、如何提高入侵检测系统的检测速度,以适应网络通信的要求。入侵检测系统应尽可能实时地对获得的数据进行分析和报警,这就导致对所在系统的要求越来越高。网络安全设备的处理速度一直是影

3、响网络性能的一大瓶颈,虽然入侵检测系统通常以并联方式接入网络的,但如果其检测速度跟不上网络数据的传输速度,那么检测系统就会漏掉其中的部分数据包,从而导致漏报而影响系统的准确性和有效性。在入侵检测系统中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源。商业产品一般都建议采用当前最好的硬件环境,并要求使用更快的匹配查询算法。尽管如此,仍然太多流量无法监视。因此大部分现有的入侵检测系统只有几十兆的检测速度,较快的NIDS也只可以检查 100MbpsLAN上的流量,从中识别至多几百种攻击特征。然而如今许多局域网运行在一个相

4、当高的速度,如千兆以太网已十分普遍,目前许多城市都已建成了千兆以太城域网。由于网络速度增长一直比高速的包特征分析技术快。如今的入侵检测系统无法可靠地检测网络流量,于是就存在着丢失数据,或无法检测更多特征的危险。虽然入侵检测技术一直在改进,在加速,然而网络的速度也一直在增长。对百兆以上的流量,单一的入侵检测系统仍很难应付。另外随着网络流量的进一步加大,在PC机上运行纯软件系统的方式需要突破,需要设计专门的硬件系统来支持。二、如何减少入侵检测系统的漏报和误报,提高其安全性和准确度。2华中科技大学硕士学位论文基于模式匹配分析方法的入侵检测系统将所有入侵行为和手段及

5、其变种表达为一种模式或特征,检测主要判别网络中搜集到的数据特征是否在入侵模式库中出现,因此,面对着每天都有新的攻击方法产生和新漏洞发布,攻击特征库不能及时更新是造成入侵检测系统漏报的一大原因。而基于异常发现的入侵检测系统通过流量统计分析建立系统正常行为的轨迹,当系统运行时的数值超过正常阈值,则认为可能受到攻击,该技术本身就导致了其漏报误报率较高。另外,大多入侵检测系统是基于单包检查的,协议分析得不够,因此无法识别伪装或变形的网络攻击,也造成大量漏报和误报。入侵检测系统产品趋于误肯定。对于入侵检测系统来说当pingofdeath攻击发生 时产生告警是容易的。但

6、如果入侵检测系统每次看到任何类型的ping时都产生告警, 它就会产生相反的效应。事实上,足智多谋的攻击者通常会先制造“狼来了”的现象,通过产生许多看上去像是误肯定的告警,从而蒙蔽网络安全管理员,使他们掉以轻心,简单地过滤或忽视这些告警,可能就使严重的攻击事件被忽视。目前没有评估基于网络的入侵检测系统产品产生的误肯定的限制标准。而基于主机的入侵检测系统虽然只能对单个主机进行检测、可获得的信息量较少,但获取的是面向操作系统和应用的信息,可读性较好,分析效率较高,能够结合操作系统行为和用户行为来进行判定,因而准确性高。三、如何提高入侵检测系统的互动性能,从而提高整

7、个系统的安全性能。 基于网络入侵检测系统可以很容易与防火墙结合,当发现有攻击行为时,过滤掉所有来自攻击者的IP的数据。在大型网络中,网络的不同部分可能使用了多种入侵检测系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些入侵检测系统之间以及基于网络的入侵检测系统和其他安全组件之间如何交换信息,共同协作来发现 攻击、做出响应并阻止攻击是关系整个系统安全性的重要因素。例如,漏洞扫描程序 例行的试探攻击就不应该触发入侵检测系统的报警;而利用伪造的源地址进行攻击, 就可能联动防火墙关闭服务从而导致拒绝服务,这也是互动系统需要考虑的问题。不恰当的反应很容易带来新的

8、问题,一个典型的例子便是:攻击者假冒大量不同的IP进

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。