返回
IDS入侵检测系统

IDS入侵检测系统

ID:37276614

大小:66.50 KB

页数:13页

时间:2019-05-20

IDS入侵检测系统_第1页
IDS入侵检测系统_第2页
IDS入侵检测系统_第3页
IDS入侵检测系统_第4页
IDS入侵检测系统_第5页
资源描述:

《IDS入侵检测系统》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、本文由你的卡拉是条狗贡献doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。IDS入侵检测IDS基本定义当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题摆在人们面前。公司一般采用防火墙作为安全的第一道防线。而随着攻击者技能的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,目前的网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管

2、理员的工作不断加重,不经意的疏忽便有可能造成重大的安全隐患。在这种情况下,入侵检测系统IDS(IntrusionDetectionSystem)就成了构建网络安全体系中不可或缺的组成部分。IDS是英文“IntrusionDetectionSystemsSystems”的缩写,中文意思是“入Intrusion侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一

3、幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。IDS的起源1、1980年,JamesP.Anderson的《计算机安全威胁监控与监视》(《ComputerSecurityThreatMonitoringandSurveillance》)第一次详细阐述了入侵检测的概念;提出计算机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开山之作。2、1984年到1986年,乔治敦大学的DorothyDenni

4、ng和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)3、1990年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS4、1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集

5、成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。5、从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。入侵检测的原理入侵检测可分为实时入侵检测和事后入侵检测两种。实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理

6、人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。入侵检测的通信协议IDS系统组件之间需要通信,不同的厂商的IDS系统之间也需要通信。因此,定义统一的协议,使各部分能够根据协议所制订的标准进行沟通是很有必要的。IETF目前有一个专门的小组IDWG(IntrusionDetectionWorkingGroup)负责定义这种通信格式,称作IntrusionDetectionExchangeFormat。目前只有相关的草案,并未形成正式的RFC文档。尽管如此,草案为IDS各部分

7、之间甚至不同IDS系统之间的通信提供层协议,其设计多其他功能(如可从任意端发起连接,结合了加密、身份验证等)。CIDF模型(CIDF)阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Eventgenerators)事件分析器(Eventanalyzers)响应单元(Responseunits)事件数据库(Eventdatabases)CIDF将IDS需要分析的数据统称为事件(event),它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。入侵检测的分类按入侵检测

8、的手段、IDS的入侵检测模型可分为基于网络和基于主机两种。1)基于主机模型)也称基于系统的模型,它是通过分析系统的审计数据来发现可疑的活动,如内存和文件的变化等。其输入数据主要来源于系统的审计日志,一般只能检测该主机上发生的入侵。这种模型有以下优点:一是性能价格比高:在主机数量较少的情况下,这种方法的性能价格比可能更高。二是更加细致:这种方法可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。