返回
入侵检测技术的发展研究——从ips到ims

入侵检测技术的发展研究——从ips到ims

ID:9545004

大小:52.50 KB

页数:4页

时间:2018-05-03

入侵检测技术的发展研究——从ips到ims_第1页
入侵检测技术的发展研究——从ips到ims_第2页
入侵检测技术的发展研究——从ips到ims_第3页
入侵检测技术的发展研究——从ips到ims_第4页
资源描述:

《入侵检测技术的发展研究——从ips到ims》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、入侵检测技术的发展研究——从IPS到IMS摘要随着计算机网络的飞速发展,网络安全越来越受到人们的重视。本文从入侵检测技术的发展入手,研究和分析了IPS及IMS技术,最后提出了网络安全技术的发展方向――网络安全管理。关键词IDS;IPS;IMS;网络安全;管理1引言随着计算机网络的飞速发展,网络安全风险系数不断提高,曾经作为最主要安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构

2、的完整性。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。IDS作为网络安全架构中的重要一环,其重要地位有目共睹。随着技术的不断完善和更新,IDS正呈现出新的发展态势,IPS(入侵防御系统)和IMS(入侵管理系统)就是在IDS的基础上发展起来的新技术。2网络入侵检测技术的发展网络入侵检测技术发展到现在大致经历了三个阶段:第一阶段:入侵检测系统(IDS),IDS能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了

3、信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。[2]第二阶段:入侵防御系统(IPS),相对与IDS比较成熟的技术,IPS还处于发展阶段,IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术,可以主动的、积极的防范、阻止系统入侵,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断,这样攻击包将无法到达目标,从而可以从根本上避免攻击。第三阶段:入侵管理系统(IMS),IMS技术实

4、际上包含了IDS、IPS的功能,并通过一个统一的平台进行统一管理,从系统的层次来解决入侵行为。3IPS研究与分析IPS是针对IDS的不足而提出的,因此从概念上就优于IDS。IPS相对与IDS的进步具体体现在:(1)在IDS阻断功能的基础上增加了必要的防御功能,以减轻检测系统的压力;(2)增加了更多的管理功能,如处理大量信息和可疑事件,确认攻击行为,组织防御措施等;(3)在IDS监测的功能上增加了主动响应的功能,一旦发现有攻击行为,立即响应,主动切断连接;(4)IPS以串联的方式取代IDS的并联方式接入网络中,通过直接嵌入到网络流量中提供主动防护,预先对入侵活

5、动和攻击性网络流量进行拦截。3.1IPS关键技术研究IPS通常由探测器和管理器组成。探测器包括流量分析器、检测引擎、响应模块、流量调整器等主要部件,如图1所示[3]:图1探测器组成由于IPS采用串连工作方式,流量分析器需要完成三个基本的功能:(1)截获网络数据包并处理异常情况。异常数据包不一定是恶意攻击,但通过合适的方式处理掉,就可以为检测引擎省去一些不必要的处理工作。例如,流量分析器丢弃校验和出错的数据包,以后检测引擎就不必要处理这样的坏包。(2)剔除基于数据包异常的规避攻击。例如,分析器可以根据它对目标系统的了解,进行数据包的分片重组,还可以处理协议分析

6、或校正异常等,从而识别规避攻击。(3)执行类似防火墙的访问控制,根据端口号IP地址阻断非法数据流。检测引擎是IPS中最有价值的部分,一般都基于异常检测模型和滥用检测模型,识别不同属性的攻击。IPS存在的最大隐患是有可能引发误操作,这种“主动性”误操作会阻塞合法的网络事件,造成数据丢失,最终影响到商务操作和客户信任度。为避免发生这种情况,IPS中采用了多种检测方法,最大限度地正确判断已知和未知攻击。有些IPS检测引擎的模块则已细化到针对缓冲区溢出、DDoS/DoS、网络蠕虫的检测。响应模块需要根据不同的攻击类型制定不同的响应策略,如丢弃数据包、中止会话、修改防

7、火墙规则、报警、日志等。流量调整器主要完成两个功能:数据包分类和流量管理。目前,大部分IPS根据协议进行数据包分类,未来将提供具体到根据用户或应用程序进行数据包分流的功能,通过对数据包设置不同的优先级,优化数据流的处理。图2反映了IPS对攻击响应的过程[4]:图2IPS对攻击的响应过程当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer2(介质访问控制层)至Layer7(应用层)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。IPS可以做到逐一字

8、节地检查数据包。所有流经IPS的数据包都被分类,分类

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。