- 1、本文档共14页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
应用于下一代分布式入侵检测系统的多传感器数据融合
摘要:
下一代计算机空间的入侵检测系统将从异质的分布式网络中的多传感器融合数据,以形成计算机空间的态势估计(cyberspace situational awareness)。本文初步提出了一些使用多传感器数据融合作为基层模型的工程要素;概括了当前基于Internet的入侵检测系统和基本的数据融合构架;使用TCP/IP模型开发传感器框架模型和数据库模型;推荐使用SNMP ASN.1 MIB结构表示依赖于内容的威胁和脆弱性数据库。
介绍
入侵检测系统概述
Internet入侵数据融合
基于融合的入侵检测系统
传感器数据缩减(Reduction)和威胁对象
结束语
致谢
参考目录
关于本文
介绍
据估计安全评估工具的市场从1999年起以每年1.5亿美元的增长率增长,到2002年已经超过了6亿美元[1]。能源部(Department of Energy)近日召集网络安全专家就恶意代码、异常活动和入侵检测等领域向美国政府的RD技术规划提供指导[2]。显然,快速增长的计算机空间入侵检测和态势评估市场面临严峻的技术挑战。
图1说明了态势评估推论的层次在计算机操作(cyberoperations)时既要支持作战管理又要支持网络管理[3]。商业和军事都需要对计算机空间的入侵检测和态势评估系统;在充满干扰的环境下精密的电子器件必须能够辨识对象,跟踪对象,计算速度,估计有计划的威胁。这都是需要一定技术的。
??
Figure 1: Hierarchy of IDS Data Fusion Inferences
网络安全技师认为当前的IDS在技术上还没有先进到足以抵御攻击的悄无声息(non-signature based cyberattacks)(下一章详述)。NATO的服务器遭受到来自于Serbian黑客的联合暴力攻击,他们使用了邮件炸弹和网管工具,通过消耗网络资源使服务器拒绝服务[4]。1997年,The Langley Cyber Attack的邮件炸弹事件在关键基础设施的保护方面向Marsh Commission证明了当前的IDS不能应对对重要计算机的软硬件严重威胁[5]。导致这方面不足的一个原因是IDS的误警率一直令人头疼。当技术资源不能部署到计算机系统或调查非入侵事件时安全资源被误导,误报警导致了严重的组织损失。实际上总是误警的系统对于用户的信心是毫无用处的。
??
Figure 2: Cyberattack with Multiple Sources Targets
另一个原因是态势估计技术在我们的关键电子基础设施方面还只是刚刚起步。网络中心的指挥员没有可信的工具以辨识、跟踪和估计“i-objects”的多重攻击,例如图2。在计算机空间非对称冲突中的对手占有优势是因为没人统治并且有权利者只有很初级的态势知识;这就导致了今天的计算机空间的空隙或权力真空。
下一代的IDS需要从各种异质的分布的网络传感器融合数据。第3章概述了这些高层的IDS融合需求,这也在我们最近在ACM上发表的论文[3]上有所论述。隐含的课题和挑战绝不仅仅是入侵检测系统;网络管理也是非常耗费的基础构造。通常,这些系统不能给网络工程师提供具体的态势信息,而只是大量的系统信息和底层数据。下一代的网络管理和入侵检测系统将在统一的模型下交互,把数据融合成信息和知识;这样网络操作员就能够对计算机空间中他们自己那一块的系统健康和实时安全做出有根据的决策[3]。
本文为如何使用多传感器的数据融合提高高级计算机空间管理系统的性能和可靠性提供一个功能性的概貌,涉及系统设计,并建议进一步的研究和发展领域。另外,我们认为传统的诸如“网络管理”的概念应该推广到“基于计算机空间态势评估的融合”。
入侵检测系统概述
以前Internet入侵检测系统检查操作系统审计日志和网络通信[6][7]以保护重要信息基础设施的有效性、保密性和完整性。入侵检测系统保护重要信息基础设施以防DoS攻击、未授权的信息公开、数据的篡改或破坏。对这些事件的自动化的监测和及时报告需要对针对网络和主机的信息攻击做出响应。现在的入侵检测手段可概括为已知模式模板、威胁行为模板、通信分析、统计异常检测和基于状态的检测。这些系统还没有成熟到可靠的检测、核对、评估新的以网络为中心的攻击。
八十年代为了完善计算机安全措施引入了计算机入侵检测系统。IDS设计者常引用Denning[6]在1987年构建的入侵检测模型,它是基于主机的主体profile、系统对象、审计日志、异常记录和活动规则。一般的入侵检测结构是指基于规则的模式匹配系统;审计跟踪应对于主体profile以检测基于登陆、程序执行和文件存取的计算机误用行为[3]。
主体异常
您可能关注的文档
最近下载
- 中央空调系统清洗维修保养合同协议书(详细版).doc
- (ppt)苦菜花.ppt
- 免疫接种必须与选修答案-2024年全国疾控系统“大学习”活动.docx VIP
- (统编2024版)历史七年级上册全册知识点.docx
- 2023-2024在线网课《信息检索与科技写作( 理大)》单元测试考核答案.pdf
- 中医院重点专科儿科三年发展规划.docx
- 天津市河西区2023-2024学年七年级上学期期中语文试题(含答案).docx VIP
- 第九讲种质资源的保存ppt课件-教材.ppt VIP
- YDT 3762-2020 大数据 数据挖掘平台技术要求与测试方法.docx
- 2.1 网络改变世界 作业 初中道德与法治 人教部编版 八年级上册 (2021年).docx
文档评论(0)