基于LINUX下桥模式的入侵检测系统IDS的研究开题报告.pptVIP

基于LINUX下桥模式的入侵检测系统IDS的研究 导师： 报告人： 内容 入侵检测的概念，功能，分类等介绍 网络入侵检测的工作原理 网络入侵检测的缺陷 提出改进思想 工作计划安排 参考文献 入侵检测Intrusion Detection简介 入侵检测（Intrusion Detection），就是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。 入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 发现试图闯入、成功闯入、冒充其他用户、违反安全策略、用户对内部信息的泄漏、独占资源等等恶意使用。 IDS的功能 执行以下任务来实现： 　·监视、分析用户及系统活动； 　 ·系统构造和弱点的审计； 　 ·识别反映已知进攻的活动模式并向相关人士 报警； 　 ·异常行为模式的统计分析； 　 ·评估重要系统和数据文件的完整性；  　·操作系统的审计跟踪管理，并识别用户违反 安全策略的行为。 从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统，如图所示。 IDS的工作原理 IDS的工作原理（续） IDS分类（从数据源的角度） 基于主机的入侵检测系统HIDS HOST Intrusion Detection System : 用于保护关键应用的服务器及系统日志。 实时监视可疑的连接、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器应用。 基于主机的IDS通常采用查看针对可疑行为的审计记录来执行。它能够比较新的记录条目与攻击特征，并检查不应该改变的系统文件的校验和分析系统是否被侵入或者被攻击。 IDS分类（从数据源的角度）续 基于网络的入侵检测系统（NIDS) NET Intrusion Detection System NIDS的基本工作原理是嗅探，在关键的网段或交换部位侦听，将网卡设置为混杂模式，使得网卡可以接收网络接口上的所有数据。它是一种旁路监听网络数据的技术。 在实际的部署中，IDS是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。 IDS分类（从数据源的角度）续 混合式的入侵检测系统：两种入侵检测系统都具有自己的优点和不足，互相可作为补充。 基于主机的入侵检测系统可以精确地判断入侵事件，可对入侵事件立即进行反应，还可针对不同操作系统的特点判断应用层的入侵事件，其缺点是会占用主机宝贵的资源。 基于网络的入侵检测系统只能监视经过本网段的活动，并且精确度较差，而且在网络的交换机中难于配置，防入侵欺骗的能力也比较差; 但是它可以提供实时网络监视，并且监视力度更细致。 混合式 ：整体布局,在关键网段布局NIDS,在重要主机安装HIDS,这样既可发现网络中的攻击信息，也可从系统日志中发现异常情况。并且可以从HIDS所检测到的相对静态数据和NIDS检测到的动态数据中,使用数据挖掘算法挖掘出相关联的信息,进而挖掘出新的入侵方式. 基于网络的入侵检测系统NIDS模型 NIDS存在的问题 网络局限 ： 交换网络环境 ：监听端口 ，共享式HUB ，线 缆分流 网络拓扑局限：绕道经由其他未被监视的路径 而难以检测,TTL,MTU,TOS 协议局限：对于应用层的协议，一般的NIDS只简单的 处理了常用的如HTTP、FTP、SMTP等 ; TCP/IP设计当初并没有很好的考虑安全性 检测方法局限：常用的检测方法有特征检测、异常检测、状态检测、协议分析等,但是缺乏检测高水平攻击者的有效手段，很难实现一些复杂的需要大量计算与分析时间的攻击检测。 NIDS存在的问题（续） 资源及处理能力局限： 针对