|
|
职称论文发表 | 职称论文发表 专业提供:发表论文、论文发表、毕业论文、职称论... | |
住在汉口网 | 住在汉口网是一个专业提供汉口房产信息、车辆服务、生活服务、招... | |
职称论文网 | 职称论文网提供:发表论文、论文发表、毕业论文、职称论等服务。 | |
|
1 入侵检测系统简介
1.1 入侵检测系统的模型
1987年Dorothy E Denning提出了入侵检测的模型,首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分:
(1) 主体; (2)对象;(3)审计记录; (4)活动档案;(5)异常记录; (6)活动规则。
1.2 入侵检测系统的分类
通过对现有入侵检测系统的研究,可以由信息源的不同对入侵检测系统进行分类:即、基于主机的入侵检测系统(HIDS);通过监视和分析主机的审计记录来达到入侵检测。主要在分布式、加密、交换的环境中监控,能准确地判断出攻击是否发生。 基于网络的入侵检测系统(NIDS);通过在共享网段上对通信数据的侦听采集数据,分析可疑现象,这类系统不需要主机提供严格的审计,几乎不占主机资源,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。
2 入侵检测技术
入侵检测技术主要分为两类:异常入侵检测(Anomaly Detection)和误用入侵检测(Misuse Detection)。
2.1 异常入侵检测
异常入侵检测是指为所监测的系统建立一个正常情况下的描述文件,任何违反该描述的事件的发生都被认为是可疑的,即观测活动偏离正常系统使用方法的程度。
2.2误用入侵检测
误用入侵检测是对已知系统和应用软件的弱点进行入侵建模,从而对观测到的用户行为和资源使用情况进行模式匹配而达到检测的目的;误用入侵检测的主要假设是入侵活动能够被精确地按照某种方式进行编码,并可以识别基于同一弱点进行攻击的入侵方法的变种。
2.3两种方法的分析比较
误用入侵检测是根据已知的系统或应用程序漏洞建立异常行为模型,然后将用户行为与之进行匹配,相同则为入侵。因此,这种方法的优点是由于建模对象为已知的,所以可以得到较高的准确度;但是对于已知攻击的某些变体或是新型的攻击,它就无能为力了。
3 入侵检测系统面临的问题
这些年入侵检测系统得到了飞快的发展,越来越多的公司和科研机构投入到它的研究和开发中去,入侵检测已经成为人们在网络安全领域中关注的热点。但是,它也有很多不足,主要有以下几点:
(1) 体系结构存在问题。现在的很多入侵检测系统是从原来的基于网络或基于主机的入侵检测系统经过不断改进而得来的,在体系结构等方面不能满足分布、开放等要求。(2) 误报率和漏报率高。(3) 不同的入侵检测系统之间不能互操作。在大型网络中,网络不同的部分可能使用了不同的入侵检测系统,但现在的入侵检测系统之间不能交换信息,使得发现攻击时难以找到攻击的源头,甚至给入侵者制造了攻击的漏洞。 (4) 入侵检测系统不能和其它的网络安全产品互操作。一个安全的网络中应该根据安全政策使用多种安全产品,但目前的大多数入侵检测系统不能很好地和其它安全产品协作。
4 入侵防御系统——入侵检测系统的发展
入侵防御系统也称为入侵防护系统(Intrusion Prevention System,IPS)是一种主动的、积极的入侵防范、嵌入式的阻挡系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。
4.1基于Multi-Agent的分布式入侵防御系统模型
在网络的通信中,98%都由HTTP、FTP、SMTP和DNS构成,因此所有这些协议都可能被黑客用来发动攻击。作为入侵防御的核心工作方式,Agent防护群在应用层中阻挡大范围的攻击,保护网络的安全。在MAgentDIPS这个模型中,Agent防护群的作用是:
(1) SMTP-Agent防护群
监控接收和发送的邮件的内容,以保护网络的安全。
(2)HTTP-Agent防护群
检测由用户接入万维网时进出网络的流量。它选择性的过滤内容,保护网络浏览用户和其它依赖互联网的应用免受基于HTML的攻击。它的主要功能包括:有效检测和控制内部用户接入Internet时的网络流量,同时有选择地过滤内容,过滤Java和ActiveX控制,删除客户连接的信息,删除cookies,避免一切基于HTTP浏览而受到攻击的可能。
(3)FTP-Agent防护群
提供的保护包括,把进入连接或者出去连接都限制为“只读”,设定有效连接的时间,禁止利用FTP登录站点命令,从而避免黑客进行恶意的连串攻击,有效保护企业资源。
(4)DNS-Agent防护群
通过保护协议的一致性和有选择性地过滤包头内容,全面保护企业的网络。
(5)IAS-Agent审计跟踪群
协助各类Agent防护群,保存异常现场数据,分析安全现状,协助改进安全策略和防护系统。
4.2 入侵防御系统的组成及功能要求
入侵防御系统由事件分析单元、响应单元、审计单元和控制管理单元组成。各单元功能由其相应的Agent群完成。
5 结束语
本文主要讲述了IDS所使用的技术及IPS的模型。如何有效地挖掘网络数据资源解决已知攻击检测及防御始终是IPS的基本功能,具备智能检测变异的、未知的入侵行为并采取有效的免疫防御措施是IPS的期望目标(作者单位:江苏徐州医药高等职业学校) 职称论文发表网http://www.issncn.com
职称论文发表网http://www.issncn.com
|
|
|
|
|
所有资料均源于网上的共享资源及期刊共享,请特别注意勿做其他非法用途。 |
如有侵犯您的版权或其他有损您利益的行为,请联系指出,我们会立即进行改正或删除有关内容! |
- 投稿邮箱:83041061@qq.com 服务热线:027-62220402 手机: 18907137973
联系地址:武汉市江汉区新华下路江花苑13楼 电子地图
- Copyright (C) 2007-2009 http://www.issncn.com/ All Rights Reserved.. 鄂ICP备:09016318号
技术支持:腾浪科技
法律顾问:廖泉冰律师
|
|