联动式入侵防御系统研究

联动式入侵防御系统研究

ID:9313957

大小:109.50 KB

页数:8页

时间:2018-04-27

联动式入侵防御系统研究_第1页
联动式入侵防御系统研究_第2页
联动式入侵防御系统研究_第3页
联动式入侵防御系统研究_第4页
联动式入侵防御系统研究_第5页
资源描述:

《联动式入侵防御系统研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、联动式入侵防御系统研究摘要:结合目前所拥有的网络安全技术,设计了联动式入侵防御系统。此系统从被动防护状态上升为主动式防御,在对网络安全事件进行准确响应的状况下,能够动态地调整策略,以达到自动保护关键数据的作用。该系统具有重要的实用性。关键词:入侵防御系统;联动式;网络安全中图分类号:TP309.5文献标识码:A文章编号文章编号:16727800(2013)0010015402作者简介:刘韬(1975-),男,硕士,中国人民解放军95899部队高级工程师,研究方向为指挥控制系统设计与装备故障诊断。0引言部署在防火墙后的入侵检测系统(IntrusionDetect

2、ionSystem,IDS),可以在网络或允许访问网络的信息中收集,通过分析找出系统中的一些违规行为和攻击性现象。尽管有多种网络入侵检测系统性能看起来不错,但在网络入侵检测系统的设计和位置决定了它的响应能力相对有限,入侵发生时网络很难作出有效反应,需要和其他网络安全设备相匹配,组成网络入侵检测,提高安全系统的响应能力。入侵检测与防火墙联动,可以建立一个更全面的实时入侵检测和安全系统的及时响应,实现了多种现有技术的优势互补。因此,建立一个全面的安全系统是必须的。8联动就是把不同的产品以及技术利用组合的方法,达到整体技术上的提高,以适应目前网络安全作为一个整体、立

3、体的要求,从而应对各种各样攻击手段。从本质上来看,产品之间的联动,是一个信息交流的安全机制。本文中的联动主要是指防火墙和入侵检测两者间的联动,通过这两项技术的整合,形成联动式入侵防御系统。1设计原则入侵防御系统要在复杂的环境中发挥作用,需要明确以下几点原则。1.1可靠性和可用性嵌入式设备在无法正常运行的条件下会出现对重要网络访问途径中断的现象,造成DoS情况的产生。在此情境下,IPS一旦出现故障现象,应该及时failopen,或者利用其它的备份进行代替,以降低故障发生率。另外,IPS需要能够支持对入侵特征库的更新功能。1.2扩充性联动安装在网关的位置,其他防御

4、机制也可以集成到这个系统以实现整个内部网络的全方位保护,并集中管理入侵防御系统。此入侵防御系统将加入新的防御机制,需要发送相关信息到管理中心完成注册,并且需要保障其对系统中其他部分没有影响,防御机制在请求撤销的时候也需要保证方便实施整个过程。1.3独立性8这里的独立性主要是指当入侵防御系统处于独立状态下,能够自行防护,保障其安全工作。一旦其他防御机制参与到入侵防御系统进行合作防御的时候,需要保证其他防御机制在出现故障的情况下不影响入侵防御系统本身的防御功能,在防御部分做到独立。1.4内嵌式(inline)工作模式入侵防御系统所能够体现出来的防御性工作原理必须是

5、建立在内嵌式的模式当中,在此情况下将可疑的数据包丢掉,并且对数据流后续的流量进行阻断。1.5实时侦测与阻断能力对异常情况进行实时侦测并且进行阻断是入侵检测系统自身所具备的能力,一旦其他的防御系统加入到与入侵防御系统的合作中,对于攻击性的检测将更加准确清晰。1.6易于操作性对于联动网络入侵防御系统管理员,不应该大范围部署系统以改变整个网络,它所接入到网络中的形式应该是比较透明的。应提供专门的系统管理模块,加强系统的可造性,提供一个友好的用户平台。2系统框架设计8如图1所示,在本文的研究中,主要包括初始化模块、包捕获/解码器、预处理器以及检测引擎等,入侵检测的功能

6、通过在这些模块中的互动协调来实现。每个模块主要有以下功能特点:(1)初始化模块:主要是将网卡接口打开,对网络的数据包进行捕获,初始化检测引擎工作。(2)数据包捕获/解码器:首先是数据包到达网卡之后,本模块完成对数据包的捕获工作,接着将原始的数据包进行解码,以完成高层协议的解码工作,最后在对应的环境里将数据库进行储存。(3)预处理器:本模块中主要是通过插件形式,将协议中的异常情况进行检测,主要包括重组以及HTTP规划,还有一些特殊攻击下的检测能力。在配备的时候用户需要灵活地进行变动来应对本模块自身的性能消耗问题。(4)检测引擎:该模块入侵检测技术主要是在基于特征

7、/规则的条件下,对特征规则进行构建和解析,来捕获网络数据包的特征分析,看是否在规则的匹配上有效,以确定是否入侵。(5)入侵报警模块:入侵防御系统运用不同的响应形式对相关的危险等级进行分类,对高水平的入侵,启动报警响应请求阻止机制。(6)战略联动模块:对入侵报警模块提出的信息进行接收,并判断此信息的截止时间和方法,在此基础上,控制策略的变化,采取包过滤模块添加删除规则。8(7)包过滤模块:此模块用来停止攻击活动,主要功能是滤包,包括状态检测和透明代理地址伪装功能。(8)审计日志管理模块:负责所有入侵事件日志和审计管理信息。入侵信息包括源IP地址、攻击类型、时间攻

8、击、源端口、风险水平等,其目的是能够在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。