四虎成人免费视频,国产一级a作爱视频免费观9看,色五月丁香亚洲,亚洲欧美性爱在线视频,1000部黄片免费观看一区,国产亚洲性生活视频播放,三级黄色在线视频网站

現(xiàn)在位置:范文先生網(wǎng)>商務(wù)管理論文>電子商務(wù)論文>入侵檢測(cè)概念、過(guò)程分析和布署

入侵檢測(cè)概念、過(guò)程分析和布署

時(shí)間:2023-02-20 08:37:13 電子商務(wù)論文 我要投稿
  • 相關(guān)推薦

入侵檢測(cè)概念、過(guò)程分析和布署

1、入侵檢測(cè)的基本概念

入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”(參見(jiàn)國(guó)標(biāo)GB/T18336)。入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科,其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行?募際。?腥肭旨觳獾娜砑?胗布?淖楹媳閌僑肭旨觳庀低常↖ntrusion Detection System,簡(jiǎn)稱IDS)。

2、入侵檢測(cè)系統(tǒng)的發(fā)展歷史

1980年JamesP.Anderson在給一個(gè)保密客戶寫的一份題為《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》的技術(shù)報(bào)告中指出,審計(jì)記錄可以用于識(shí)別計(jì)算機(jī)誤用,他給威脅進(jìn)行了分類,第一次詳細(xì)闡述了入侵檢測(cè)的概念。1984年到1986年喬治敦大學(xué)的DorothyDenning和SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的PeterNeumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型- IDES(Intrusion Detection Expert Systems入侵檢測(cè)專家系統(tǒng)),是第一個(gè)在一個(gè)應(yīng)用中運(yùn)用了統(tǒng)計(jì)和基于規(guī)則兩種技術(shù)的系統(tǒng),是入侵檢測(cè)研究中最有影響的一個(gè)系統(tǒng)。1989年,加州大學(xué)戴維斯分校的Todd Heberlein寫了一篇論文《A Network SecurityMonitor》,該監(jiān)控器用于捕獲TCP/IP分組,第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源,因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī),網(wǎng)絡(luò)入侵檢測(cè)從此誕生。

3、系統(tǒng)模型

為解決入侵檢測(cè)系統(tǒng)之間的互操作性,國(guó)際上的一些研究組織開(kāi)展了標(biāo)準(zhǔn)化工作,目前對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化工作的有兩個(gè)組織:IETF的Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)。CIDF早期由美國(guó)國(guó)防部高級(jí)研究計(jì)劃局贊助研究,現(xiàn)在由CIDF工作組負(fù)責(zé),是一個(gè)開(kāi)放組織。

CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)(IDS)的通用模型。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件:事件產(chǎn)生器(Event generators),用E盒表示;事件分析器(Event analyzers),用A盒表示;響應(yīng)單元(Responseunits),用R盒表示;事件數(shù)據(jù)庫(kù)(Event databases),用D盒表示。

圖1 CIDF模型結(jié)構(gòu)圖


CIDF模型的結(jié)構(gòu)如下:E盒通過(guò)傳感器收集事件數(shù)據(jù),并將信息傳送給A盒,A盒檢測(cè)誤用模式;D盒存儲(chǔ)來(lái)自A、E盒的數(shù)據(jù),并為額外的分析提供信息;R盒從A、E盒中提取數(shù)據(jù),D盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。A、E、D及R盒之間的通信都基于GIDO(generalized Intrusion detection objects,通用入侵檢測(cè)對(duì)象)和CISL(common intrusion specification language,通用入侵規(guī)范語(yǔ)言)。如果想在不同種類的A、E、D及R盒之間實(shí)現(xiàn)互操作,需要對(duì)GIDO實(shí)現(xiàn)標(biāo)準(zhǔn)化并使用CISL。



4、分類4.1 按照檢測(cè)類型劃分

從技術(shù)上劃分,入侵檢測(cè)有兩種檢測(cè)模型:

(1)異常檢測(cè)模型(Anomaly Detection):檢測(cè)與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的行為,那么每項(xiàng)不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的特征(用戶輪廓),當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。這種檢測(cè)模型漏報(bào)率低,誤報(bào)率高。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義,所以能有效檢測(cè)未知的入侵。

(2)誤用檢測(cè)模型(Misuse Detection):檢測(cè)與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為,那么每種能夠與之匹配的行為都會(huì)引起告警。收集非正常操作的行為特征,建立相關(guān)的特征庫(kù),當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí),系統(tǒng)就認(rèn)為這種行為是入侵。這種檢測(cè)模型誤報(bào)率低、漏報(bào)率高。對(duì)于已知的攻擊,它可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型,但是對(duì)未知攻擊卻效果有限,而且特征庫(kù)必須不斷更新。

4.2 按照檢測(cè)對(duì)象劃分

基于主機(jī):系統(tǒng)分析的數(shù)據(jù)是計(jì)算機(jī)操作系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計(jì)記錄。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的主機(jī)系統(tǒng)。是由代理(agent)來(lái)實(shí)現(xiàn)的,代理是運(yùn)行在目標(biāo)主機(jī)上的小的可執(zhí)行程序,它們與命令控制臺(tái)(console)通信。

基于網(wǎng)絡(luò):系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù),基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器(sensor)組成,傳感器是一臺(tái)將以太網(wǎng)卡置于混雜模式的計(jì)算機(jī),用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包。

混合型:基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處,會(huì)造成防御體系的不全面,綜合了基于網(wǎng)絡(luò)和基于主機(jī)的混合型入侵檢測(cè)系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息,也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

5、入侵檢測(cè)過(guò)程分析

過(guò)程分為三部分:信息收集、信息分析和結(jié)果處理。

(1)信息收集:入侵檢測(cè)的第一步是信息收集,收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來(lái)收集信息,包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

(2)信息分析:收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,被送到檢測(cè)引擎,檢測(cè)引擎駐留在傳感器中,一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí),產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。

(3)結(jié)果處理:控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性,也可以只是簡(jiǎn)單的告警。



6、IDS部署實(shí)例

圖2 RealSecure的部署圖


圖2

為ISS(Internet Security Systems)RealSecure的部署圖,RealSecure是一種混合型的入侵檢測(cè)系統(tǒng),提供基于網(wǎng)絡(luò)和基于主機(jī)的實(shí)時(shí)入侵檢測(cè)。其控制臺(tái)運(yùn)行在Windows 2000上。RealSecure的傳感器是自治的,能被許多控制臺(tái)控制。各部分的功能如下:

(1)ReaISecure控制臺(tái):對(duì)多臺(tái)網(wǎng)絡(luò)傳感器和服務(wù)器代理進(jìn)行管理;對(duì)被管理傳感器進(jìn)行遠(yuǎn)程的配置和控制;各個(gè)監(jiān)控器發(fā)現(xiàn)的安全事件實(shí)時(shí)地報(bào)告控制臺(tái)。

(2)Network Sensor(網(wǎng)絡(luò)引擎):對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)并自動(dòng)對(duì)可疑行為進(jìn)行響應(yīng),最大程度保護(hù)網(wǎng)絡(luò)安全;運(yùn)行在特定的主機(jī)上,監(jiān)聽(tīng)并解析所有的網(wǎng)絡(luò)信息,及時(shí)發(fā)現(xiàn)具有攻擊特征的信息包;檢測(cè)本地網(wǎng)段,查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵,對(duì)發(fā)現(xiàn)的入侵做出及時(shí)的響應(yīng)。當(dāng)檢測(cè)到攻擊時(shí),網(wǎng)絡(luò)引擎能即刻做出響應(yīng),進(jìn)行告警/通知(向控制臺(tái)告警、向安全管理員發(fā)E-mail、SNMP trap、查看實(shí)時(shí)會(huì)話和通報(bào)其他控制臺(tái)),記錄現(xiàn)場(chǎng)(記錄事件日志及整個(gè)會(huì)話),采取安全響應(yīng)行動(dòng)(終止入侵連接、調(diào)整網(wǎng)絡(luò)設(shè)備配置,如防火墻、執(zhí)行特定的用戶響應(yīng)程序)。

(3)Server Sensor(服務(wù)器代理,安裝在各個(gè)服務(wù)器上):對(duì)主機(jī)的核心級(jí)事件、系統(tǒng)日志以及網(wǎng)絡(luò)活動(dòng)實(shí)現(xiàn)實(shí)時(shí)入侵檢測(cè);具有包攔截、智能報(bào)警以及阻塞通信的能力,能夠在入侵到達(dá)操作系統(tǒng)或應(yīng)用之前主動(dòng)阻止入侵;自動(dòng)重新配置網(wǎng)絡(luò)引擎和選擇防火墻阻止黑客的進(jìn)一步攻擊。

7、發(fā)展趨勢(shì)

對(duì)分析技術(shù)加以改進(jìn):采用當(dāng)前的分析技術(shù)和模型,會(huì)產(chǎn)生大量的誤報(bào)和漏報(bào),難以確定真正的入侵行為。采用協(xié)議分析和行為分析等新的分析技術(shù)后,可極大地提高檢測(cè)效率和準(zhǔn)確性,從而對(duì)真正的攻擊做出反應(yīng)。協(xié)議分析是目前最先進(jìn)的檢測(cè)技術(shù),通過(guò)對(duì)數(shù)據(jù)包進(jìn)行結(jié)構(gòu)化協(xié)議分析來(lái)識(shí)別入侵企圖和行為,這種技術(shù)比模式匹配檢測(cè)效率更高,并能對(duì)一些未知的攻擊特征進(jìn)行識(shí)別,具有一定的免疫功能;行為分析技術(shù)不僅簡(jiǎn)單分析單次攻擊事件,還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生、攻擊行為是否生效,是入侵檢測(cè)技術(shù)發(fā)展的趨勢(shì)。

增進(jìn)對(duì)大流量網(wǎng)絡(luò)的處理能力:隨著網(wǎng)絡(luò)流量的不斷增長(zhǎng),對(duì)獲得的數(shù)據(jù)進(jìn)行實(shí)時(shí)分析的難度加大,這導(dǎo)致對(duì)所在入侵檢測(cè)系統(tǒng)的要求越來(lái)越高。入侵檢測(cè)產(chǎn)品能否高效處理網(wǎng)絡(luò)中的數(shù)據(jù)是衡量入侵檢測(cè)產(chǎn)品的重要依據(jù)。

向高度可集成性發(fā)展:集成網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)管理的相關(guān)功能。入侵檢測(cè)可以檢測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)包,當(dāng)發(fā)現(xiàn)某臺(tái)設(shè)備出現(xiàn)問(wèn)題時(shí),可立即對(duì)該設(shè)備進(jìn)行相應(yīng)的管理。未來(lái)的入侵檢測(cè)系統(tǒng)將會(huì)結(jié)合其它網(wǎng)絡(luò)管理軟件,形成入侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體的工具。


【入侵檢測(cè)概念、過(guò)程分析和布署】相關(guān)文章:

無(wú)線局域網(wǎng)入侵檢測(cè)現(xiàn)狀和要點(diǎn)08-05

權(quán)力概念分析08-17

企業(yè)概念與地位的法律分析08-18

光纖擾動(dòng)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)08-06

分析環(huán)境與自然資源的概念08-05

在概念形成過(guò)程中強(qiáng)化思維訓(xùn)練08-07

DES算法實(shí)現(xiàn)過(guò)程分析08-06

職務(wù)分析—過(guò)程與方法初探08-06

職務(wù)分析—過(guò)程與方法初探08-06