入侵检测的网络安全..docVIP

Hi-DRA： 入侵检测的网络安全 ? 入侵检测系统监视计算机网络查找恶意操作的证据。 ?网络是复杂的系统，全面入侵检测解决方案能应付不同内容、 速度、 抽象和可访问流。 ?因此，有必要分散入侵检测传感器到多个受保护网络、网络的安全状况管理配置处理分析结果，以便可向管理员提供高级的网络安全状况的。 ?本文高速 wans 环境-DRA系统，一个具有网络监控、 分析和响应系统。系统异构、 高速环境中入侵检测传感器的模块化发展提供了一个框架。 此外，系统提供了一个支持传感器收集和解释动态配置基础结构。 系统一个整体能够提供精细跨wan监控同时也能够关联不同传感器分析的结果到安全性冲突的。 ? 关键字 — 警报相关异常检测计算机安全 入侵检测 误用检测，网络安全安全。 ? 一、 导言 这几年网络变得更大更快与高度动态。 特别是因特网在全球范围内的 TCP/IP 网络已经成为政府、 公司、 金融机构和数以百万计的用户一个关键基础。 全国范围内提供任务关键型服务的大规模基础设施通常由中央国家机构管理()。美国国家电网一个例子。 与此相反，其建设互联网是公司、 机构以及不同的有时相互冲突目标政府管理网络。 因此，关键任务网络必须，并在一个不受信任的异构环境互操作。 ?? 此模型表明网络基础结构的保护必须依靠本地的监测以及全球协调和控制。 本地监测解决保护域的问题主动型安全措施广泛的监测实时响应。 但本地的保障并不够。 蠕虫和分布式的拒绝服务 (DoS) 攻击显示基础设施未来的威胁将众多的域为受害人或不愿合作者。 因此，有要创建一个全国范围内的安全基础架构，来自不同的子系统的安全相关的信息的相关性，以获取基础结构安全状况的全局视图中央或分布式控制站的指挥和控制能力。 分析并重新配置控件网络的安全状况特别重要基础设施受到作为一个整体攻击，网络恐怖。 在这种情况下能够集成来自网络不同部分的信息协调对策，并可能反攻是重要的。 不幸的是，网络监测和监控的现有方法。 ? 当前技术网络监控与入侵检测不能应付日益增加的网络速度的主要是端到端的攻击。 ? 监视和监测工具不能动态配置实时响应新的威胁和关注度的变化。 ? 监测执行不考虑受保护的网络特点，拓扑部署服务。 ? 没有大型的协调和控制的基础，使人们能得到关联监测安全报告受保护的网络中对该类型和级别的监测进行控制。 在加利福尼亚大学Santa Barbara(UCSB)，我们高速广域网开发的网络监测、 分析和反应系统将会克服这些限制。高速 wan 的，称为DRA（高速 WAN 检测、 和分析） 的系统提供了增强监测、 分析和反应能力。 DRA 的体系结构。 这个数字代表三个受保护的网络DRA 监测组件并通过DRA 广域通信和控制基础结构连接。 受保护的网络被命名为, 。网络监测工具监测网络为代表，它通过一个高速链接（图中黑线）连接到互联网（即在椭圆形的数字中心）。该链接的分为分份，分配给专用链接。在每个环节设置了网络传感器进行网络分析。对分割和分配网络流量分析，网络传感器任务的过程第二节中介绍。除了监测网络上行传感器， 网是既基于主机基于网络的传感器。这些传感器可配置的，可监视监控的，其特征在第三节详细。这两种配置的传感器和分割算法密切针对受保护的网络。这可能由网络模型的部分组成。这个组件包含重要的有关网络安全保护的信息。该模型的结构和网络发现验证工具介绍[1]。该模型的一个实例是一个网络工具集的组合的手段完成。所收集的资料是作为一个系统用于配置和定制的基础。此外，同样的工具可以用来验证网络的实际配置模型中存储的信息。这个过程使安全管理员在受保护的网络管理信息系统配置和可能的漏洞。最后，监察显示器是本地到每个受保护的网络是通过高科技DRA的广域通信和控制基础设施，这是在锡耶纳系统的协调[2]。每个网络汇集组件连接基础设施。消息然后由一相互关联的协调服务器互联网（椭圆形的网际网路内的圆圈），使用Siena实现一个可扩展和生存的通信基础设施。这些基础设施，也是使用一或全球指挥和监控器，收到来自该保护警报，执行高级别情况分析和，并发送控制使用的基础设施保护网络。 由于空间的限制，我们只少数DRA 的组件。 因此，我们会限制我们应付高速网络分区技术、 我们提供高度可配置传感器传感器网络方法和我们的入侵检测警告关联方法。 本文的其余部分的结构，如下所示。 第二部分概述了我们的分区高速网络处理方法。 部分讨论我们的管理和控制高度可配置的网络和基于主机的传感器传感器网络方法。 第四概述相关进程的组件，并讨论实现此过程的工具。 第五提供了相关的工作。 最后，第六结论，并概括了今后的工作。 ? II.监测高速链接 ? 基于网络的入侵检测系统 (NIDSs) 对窃听网络链路上获得的数据包执