欢迎来到天天文库
浏览记录
ID:37495778
大小:286.75 KB
页数:25页
时间:2019-05-12
《防火墙与入侵检测八入侵检测技术的发展趋势》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第八章入侵检测技术的发展趋势攻击技术的发展趋势入侵检测技术的发展趋势攻击技术的发展趋势攻击行为的复杂化和综合化入侵者不再单纯地使用某一种手段对系统进行攻击,而是同时采用多种手段。入侵者通常综合地使用多种嗅探方法尽量全面地获得用户系统的服务和结构特性,随后根据获得的信息有针对性地采用多种渗透和攻击方法,最大限度地确保入侵行为的成功实施。多种攻击行为往往掩盖了入侵者的真实目的,使得系统难于进行分析和判断。攻击技术的发展趋势攻击行为的扩大化随着计算机技术的普及,针对主机或者网络的攻击行为再也不是只能由一小撮高手才能进行的游戏,任何感兴趣的人都可以通过非常容易获得的各种攻击
2、工具完成针对目标系统的入侵,而且这种行为往往造成目标系统的严重损失。很多恶意的或者心存不满的人甚至相互敌对的国家都已经认识到了这一点,这几年层出不穷的计算机安全案件以及数次国家间的战争行动都证明了计算机系统攻击行为的巨大破坏力。攻击技术的发展趋势攻击行为的隐秘性其实保证攻击行为的隐秘性是攻击技术的一个经典话题,简单说就是如何使得受害者不能找到罪犯。随着计算机技术研究的不断深入,人们对计算机系统本身以及网络与协议的特性的认识越来越深刻,有更多的隐秘手段应用到了攻击技术中。诸如间隔探测、乱序探测、系统权限跃迁以及嵌套式入侵等多种方法都已经被广泛地使用,并且其操作的执行也
3、愈加细致和精确,因此也就更加难于被发现和跟踪。攻击技术的发展趋势对防护系统的攻击以往的攻击行为都是直接针对用户系统的资源和数据进行的,攻击操作都选择小心地避开用户系统的安全防护措施,因此操作上多有掣肘,难于达到攻击的目的。现在出现了攻击用户系统安全防护措施的趋势——攻击者对安全防护措施进行试探和分析,获取安全防护措施的特性知识和漏洞信息,进而采取有针对性的操作使得防护措施失效或被旁路。其根本目的还是为了更容易且有效地获取用户系统的资源和数据。攻击技术的发展趋势攻击行为的网络化单独的攻击主机的能力毕竟是有限的。而且受制于其所处的网络位置和连接特性,很多时候不能更好地执
4、行攻击操作。此外,单独的攻击主机由于目标确定,也容易被用户系统的安全防护措施跟踪识别。网络化的攻击行为可以充分利用网络上多台傀儡主机的特点和能力,在短时间内执行很高强度的攻击操作,使得目标系统难于应对。而且真正的攻击者淹没在多台次傀儡主机的攻击行为之中,非常难于发现。此外,目标系统的安全防护措施穷于应付突如其来的攻击操作,无法付出更多的精力去跟踪识别谁是真正的入侵者。入侵检测系统的设计考虑用户需求分析检测功能需求足够的检测功能发生在外部的针对本地网络的攻击行为进行有效检测,以期发现潜在的外部威胁以网络入侵检测技术为主在某些安全保护等级要求高的内部网络环境中,需对内部
5、网络中用户的异常活动进行检测主机入侵检测技术比较适用难点:如何将非法操作和一定范围内的合法操作区分开来跟踪任何用户对系统内关键对象和资源的访问情况,并建立正常访问的行为模式。检测内部用户用来获取更高授权时所利用的常见漏洞发掘过程。入侵检测系统的设计考虑用户需求分析响应需求对所检测的异常行为进行响应是否有可能被攻击者用来实施拒绝服务攻击具体的响应需求确认用户实施恶意攻击行为后,自动注销用户帐号调查过程中,暂停用户帐号或降低用户的权限等级并限制访问范围入侵检测系统的设计考虑用户需求分析操作需求后台操作不需要人力干预,代理和传感器需要自动收集各种数据,发送到某个代理点进行
6、集聚处理可能存在的风险:没有人的及时参与,系统的性能指标可能逐步降低并导致部件故障和系统崩溃按需操作系统提供安全管理员在特定时候进行各种按需任务的操作能力通常与后台操作结合起来预定操作在设定的时间内或按照设定的频率,传送各个检测部件的统计信息和报表信息每天集中对各个系统部件进行维护,包括修改规则配置、重新应用审计策略等入侵检测系统的设计考虑用户需求分析操作需求实时操作全天候操作针对大型的网络基础设施不间断的实时的进行威胁检测和响应工作平台范围需求数据来源需求检测性能需求基于网络入侵检测网络带宽情况网络节点入侵检测各节点数据的关联分析性能基于主机的入侵检测目标监控系统
7、日志产生的速度以及系统处理审计记录的速度要求。应用程序入侵检测需要注意从各种特定程序处收集数据的性能需求分布式入侵检测控制台和检测组件之间通信接口性能以及系统所能监控节点数目入侵检测系统的设计考虑系统安全设计原则机制的经济性原则在有效的前提下,尽可能保持实现简单能够通过手工检查方式或者数学证明方式进行有效的正确性和有效性评估验证过程复杂系统必将导致出错的倾向性大于简单系统可靠默认原则保护机制的设计应该确保在默认情况下,任何主体没有访问的特权,而保护机制的设计应该指出在哪些特定的条件下允许访问操作。完全调节原则保护机制检查对每个对象的每次访问操作,必须确保该次操作
此文档下载收益归作者所有