返回
面向入侵检测的网络安全监测实现模型

面向入侵检测的网络安全监测实现模型

ID:33283986

大小:131.03 KB

页数:4页

时间:2019-02-23

面向入侵检测的网络安全监测实现模型_第1页
面向入侵检测的网络安全监测实现模型_第2页
面向入侵检测的网络安全监测实现模型_第3页
面向入侵检测的网络安全监测实现模型_第4页
资源描述:

《面向入侵检测的网络安全监测实现模型》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、第22卷第2期小型微型计算机系统Vol122No122001年2月MINI-MICROSYSTEMFeb.2001文章编号:100021220(2001)0220145204面向入侵检测的网络安全监测实现模型龚 俭 董 庆 陆 晟(东南大学计算机系 南京210096)摘 要:本文提出了一种面向入侵监测的网络安全监测模型,它由数据采集、决策分析和分析机三个独立的部分以层次方式构成,能够对已知的网络入侵方式进行有效地实时监测.文章给出了基于安全分析机概念的安全知识表达方法,并对扫描(scan),teardrop,land等常见攻

2、击方式进行了特征刻划.此外,论文还对安全监测系统设计中应当考虑的问题,如报警问题进行了讨论.关键词:网络安全;安全监测;入侵检测;扫描;teardrop;land;报警机制分类号:TP393.1文献标识码:A1 引 言采集层,分析决策层和分析机层(见图1).数据采集层的主要功能是获取分析所需的数据.因为系网络安全监测系统是保障网络正常运行的重要工具,它统是基于网络的,所以决定了数据采集的方法是从网络上直与网络运行管理系统相结合,可有效地监察网络用户的使用接抓取数据包.数据采集部分的另一个任务是把获取的数据行为.网络安全监测系

3、统的基本功能包括检测出正在发生的转换成标准形式,准备用于下一层分析.抓取的数据主要是攻击活动;发现(track)攻击活动的范围和后果;诊断并发现TCPöIP协议的报头信息.攻击者的入侵方式和入侵地点,并给出解决建议;以及收集并记录入侵的活动证据.网络安全监测系统可分为异常检测(anomalydetection)和入侵检测(misusedetection或rule2based)两类,前者通过采集和统计发现网络或系统中的异常行为,向管理员提出警告;后者通过对采集的信息按已知的知识进行分析,发现正在发生和已经发生的入侵行为.异常检

4、测系统通常具有较强的检测能力,可发现新的安全问题.但是由于异常行为是相对而言的,因此这类系统存在误报问题,而且配置和管理比较复杂,需要较高的技术水平.入侵检测系统依赖所谓的攻击知识数据库,因此有较高的处理效率,管理简单(类似于现有的计算机病毒检测程序),但这类系统要求攻击知识数据库必须及〔1,2〕时更新,而且不能处理未知的问题或现有问题的变形.网络安全监测系统可以根据数据采集方式的不同分为基〔3,4〕于网络和基于主机两类,而它们在处理上又可以分别采用图1 安全监测系统的模型框架实时处理和批处理两种不同的方式.一般而言,基于网

5、络的安全监测系统具有较好的实时性,获得的信息也更全面,反应更分析决策层是对数据采集层送来的数据进行初次分析.灵敏,从而在系统的设计和实现难度上也更大一些.所以,面当有一个报文由采集部分送来,分析决策层就匹配各个分析向网络的实时安全监测系统是目前研究的一个热点.机的启动条件,启动满足条件的分析机.因此它具有协调各个本文提出了一个面向实时入侵监测的网络安全监测实现分析机工作的任务,是本系统的主控部分.模型,其主要特点是采用了层次化的集成框架,具有良好的适分析机层是一系列针对某种攻击设计的一组分析程序.应性和可扩充性,这一点对CE

6、RT每年要报告250个左右的分析决策层进行上下文无关分析,而分析机层负责具体的、上新漏洞这一事实来说是十分重要的〔10〕.下文有关的分析工作.每个分析机可以根据需要拥有各自的存储空间,存储分析所需的历史数据.本系统目前实现了三个2 系统的模型框架分析机:扫描分析机,teardrop分析机和land分析机.分析机层的另一个重要的部分是报警.这个实现模型将入侵检测分为三层来处理,分别是数据  收稿日期:2000201204 基金项目:本课题受“8632317201203299”课题资助 作者简介:龚俭,教授、博士生导师,主要研究

7、方向为网络安全、网络管理、网络体系结构.陆晟,博士研究生,主要研究方向为网络安全监测.©1995-2004TsinghuaTongfangOpticalDiscCo.,Ltd.Allrightsreserved.146小 型 微 型 计 算 机 系 统2001年  系统的工作方式为:位于第一和第二层的各进程始终处于工作状态,而位于第三层的各分析机组件则处于睡眠状态,5 上下文相关的安全分析这些组件由系统设在第二层主控部分根据不同的条件分别来所谓上下文相关的安全分析是指对当前安全事件的分析启动.各个分析机自动完成分析工作,然后

8、重新进入睡眠状要与过去所了解的相关历史联系起来,从而有可能作出比态.What2If方式更准确的判断.在本文所建议的实现模型中,上层次间的关联关系通过自定义的数据接口标准实现,以下文相关的安全分析分别由不同的分析机完成.从功能上讲,保证良好的可扩展性.在实现中这个特性主要体现在第二层这些分析

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。