返回
入侵检测综述_一_

入侵检测综述_一_

ID:4165762

大小:430.58 KB

页数:3页

时间:2017-11-29

入侵检测综述_一__第1页
入侵检测综述_一__第2页
入侵检测综述_一__第3页
资源描述:

《入侵检测综述_一_》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、技术与应用户下瞬睡胃翻浸检测综述仁连八峰中科院研究生院信息安全国家重点实验室本文详细阐述了入浸检测系统的基本原理和功能模块,从数据源、检测方法和检测定时三个方面描述了人侵检测系统的分类,并对目前国内外入侵检测技术的研究现状,包括误用检测、异常检测、其它检测技术、以及商业化的入侵检测产品,作了详细的介绍和分析。大量的实践证明,保障网络系统的安全,仅仅依靠传人侵检测系统,统的被动防护是不够的,完整的安全策略应就是执行人侵检测。通过实时的工作的硬件或软件产品该包括实时的检测和响应。人侵分析,检查特定的攻击模式、系统配置、系统

2、漏洞、存,,检测工作为一门新兴的安全技术以在缺陷的程序版本以及系统或用户的行为模式监控与安,。其对网络系统的实时监测和快速响应的特性逐渐发展成为全有关的活动保障网络系统安全的关键部件。人侵检测提供了用于发现人侵攻击与合法用户滥用特权的一种方法,它基于的重要前提是人侵行为和合法行为是入检侧原理可区分的,也就是说可以通过提取行为的模式特征来判断该行为的性质。一个基本的人侵检测系统需要解决两个问题一是如何充分并可靠地提取描述行为特征的数据二是如何知识库耀黔根据特征数据,高效并准确地判定行为的性质。安全策系统功能模块掣应用于不

3、同的网络环境和不同的系统安全策略,人侵颤卿检测系统在具体实现上也有所不同。从系统构成上看,人侵检测系统至少包括数据提取、、响应处理三个部分,,人侵分析是、,否另外还可能结合安全知识库数据存储等功能模块提供更黑令︸为完善的安全检测及数据分析功能,如图所示图人图给出了人侵检测的基本原理图。人侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性翼行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权的或恶意的,。图人侵检测系统模块结构系统及网络行为为防范人侵行为提供有效的

4、手段全技术与应用八八下数据提取模块在人侵检测系统中居于基础地位,负中的审计数据进行分析,最后得出结果报告。,,一责提取反映受保护系统运行状态的运行数据并完成数据基于网络的人侵检测的过滤及其它预处理工作,为人侵分析模块和数据存储模网络人侵检测系统用于监视网络数据流。通常来说,网块提供原始的安全审计数据,是人侵检测系统的数据采集络适配器可以工作在两种不同的模式正常模式和混杂。,器。模式处于正常模式时网络适配器只,,丢弃其它人侵分析模块是人侵检测系统的核心模块包括对接收共享网络中发向本机的数据包目标主机的原始数据进行同步、整

5、理、组织、分类、特征提取以及各种数据包而当处于混杂模式时,网络适配器可以接收所有类型的细致分析,提取其中所包含的系统活动特征或模式,在网络中传输的数据包,并提交给操作系统或应用程序进用于。,。正常和异常行为的判断这种行为的鉴别可以实时进行行分析这种机制为进行网络数据流的监视和人侵检测提。。也可以是事后分析供了必要的数据来源网络人侵检测系统目前应用比较广响应处理模块的工作实际上回答了这样一个问题,泛,包括商业化的产品或是共享的工具,例如即发现人侵者的攻击行为之后,我们该怎么办可选的响应公司的、公司的,以及开放源代码措施包

6、括主动响应和被动响应。前者以自动的或用户设置的的等。,,方式阻断攻击过程或以其它方式影响攻击过程后者则只对基一于内核的人侵检测发生的事件进行报告和记录,由安全管理员负责下一步行动。监视器从操作系统内核收集数据,作为检测人侵或异常行为的根据。这种监视策略的特点是具备良好的检测效入侵检测系统类型,率和数据源的可信度目前主要针对开发源码的山系,。对人侵检可以依据不同的角度下,工。狈系统进行分类统最为著名的是基于内核的监视方案通常不仅、、面我们分别从数据源检测方法检测定时三个方面来描述,还包括数据分析仅满足于从系统内核收集数据

7、及相应的。入侵检测系统的类型响应机制,作为整体的检测系统进行运作。基于数据源的分类基于应用的人侵检测一,人侵检测系统首先需要解决的问题是数据源,或者说。。是审计事件发生器数据源可以使用多种方式进行分类监视器从运行的应用程序中收集数据,例如服,从人侵检测的角度来看最为直观的分类方法是按照数据务程序、服务程序、数据库管理系统等。数据源包。源所处的位置这种分类方案通常把系统的监视角度分为括了应用事件日志和其它存储于应用程序内部的数据信息。、、、、。五种类型主机网络内核应用程序目标基于目标的人侵检测一,一,基于主机的入侵检测对

8、基于目标的人侵检测系统来说,其监视器与本节中。系统通常部署在权限被授予和跟踪的主机上早在列出的其它监视器有所不同,因为它产生自身的审计数,,,年代末就指出通过日志文件的某些信息据。基于目标的监视器通常使用消息摘要算法,如多次登录失败的记录或访问机密文件的记录等就能分析来检测系统对象的更改,并将这种更改与系统的安全策略、。出非法用户

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。