- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
5.5 入侵检测系统
5、入侵检测系统
5.1 入侵检测的发展历史5.2 入侵检测系统的分类5.3 发展趋势及主要研究方向5.4 IDS技术面临挑战
5.5.1 入侵检测的发展历史
入侵检测的发展历史
????1980年,James Anderson最早提出入侵检测概念????1987年,D.E.Denning首次给出了一个入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出。????1988年,Morris蠕虫事件直接刺激了IDS的研究????1988年,创建了基于主机的系统,主要有:IDES,Haystack等等????1989年,提出基于网络的IDS系统,主要有:NSM, NADIR,DIDS等等
入侵检测的发展历史
????90年代,不断有新的思想提出,如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统;????2000年2月,对Yahoo!、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮;????2001年至今,RedCode、求职信等新型病毒的不断出现,进一步促进了IDS的发展。
5.5.2 入侵检测系统的分类
5.5.2.1 基于主机的入侵检测系统
基于主机的入侵检测系统
????初期多以基于主机的入侵检测研究为主,即在每个要保护的主机上运行一个代理程序。????它以计算机主机作为目标环境,只考虑系统局部范围的用户,因此大大简化了检测任务。由入侵检测工具对主机的审计信息分析来进行检测,并报告安全可疑事件。
基于主机的入侵检测系统
检测内容:统调用、端口调用、系统日志、安全审记、应用日志
基于主机的入侵检测系统具有以下优点:
???1.性能价格比高,适用在主机数量较少的情况下;???2.更加细腻,可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取;???3.视野集中,最有可能区分正常的活动和非法的活动;???4.易于用户剪裁,每一个主机有其自己的代理;???5.对网络流量不敏感,一般不会因为网络流量的增加而丢掉对网络行为的监视。???6.随着Internet的发展,基于网络的攻击日益增多。基于主机的IDS已难以胜任入侵检测任务,入侵检测也发展为基于网络的入侵检测,主要研究方向为分布式系统。
?
5.5.2.2 基于网络的入侵检测系统
基于网络的入侵检测系统
????基于网络的入侵检测系统,是通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击模式或将引起网络系统异常,以此来判别是否为入侵者。
基于网络的入侵检测系统
基于网络的检测有以下优点:
1.侦测速度快,实时性好;??? 2.隐蔽性好,网络上的监测器不易遭受攻击;??? 3.视野更宽,可以在网络的边缘上制止攻击;??? 4.使用较少的监测器进行保护;??? 5.占用资源少。
目前,开发特定的工具来侦听网络数据报文,分析负载,搜索可疑命令成为检测网络攻击的主要手段。管理员可以通过分布少量的工具检测到大多数攻击。
5.5.3.1 发展趋势
发展趋势
????随着网络攻击手段向分布式方向发展(如目前出现的分布DOS攻击),并采用了各种数据处理技术,其破坏性和隐蔽性也越来越强。相应的,也要求入侵检测系统向分布式结构发展,采用分布收集信息、分布处理、多方协作的方式,将基于主机的IDS和基于网络的IDS结合使用,构筑面向大型网络的IDS。同时,在处理速度及各类相关性能上也有了更高的要求。
5.5.3.2 主要研究方向
主要研究方向
??? l.IDS体系结构研究??? 2.具有多系统的互操作性,重用性的通用入侵检测框架,总体结构和各部件相互关系;??? 3.系统安全策略;??? 4.具有可伸缩性的统一的IDS系统结构;??? 5.IDS的管理等;??? 6.研究DARP提出的通用入侵检测框架[The Common Intrusion Detection Framework (CIDF);设计具有可伸缩性、重用性的系统框架;制定安全、健壮、可扩展的安全策略。
安全通信技术研究
????目前,分布式系统中的安全通讯机制也是研究领域的一个热点,而且,目前尚无明确有效的标准。其主要研究内容有:????l.安全认证机制;????2.建立高效的安全通道;????3.远程控制等安全。
5.5.3.3 入侵检测(ID)技术研究
入侵检测(ID)技术研究
????目前已有的入侵检测技术包括基于知识的检测和基于行为的检测。????基于知识的检测包括专家系统、模型推理、状态转换图、信号分析、Petri nets图等;这种方法由于依据具体特征库进行判断,所以准确度很高、方便响应。但与具体系统依赖性太强,移植性不好,维护工作量大,受已有知识的
文档评论(0)