- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
分布式入侵检测系统
分布式入侵检测系统
一、入侵检测发展历史
伴随着新世纪的钟声,人类步入了信息社会。随着互联网在我国的普及和网络应用的深
入,各级政府部门,教育和科研机构,企事业单位,乃至个人组织都相继推出了计算机网络
服务,从根本上改变了人们的生活和工作方式。人们在提供网络服务、参与网络活动的同时,
往往只看到其便利、有益的一面,而降低了警惕性,忽视了潜在于网络中的安全问题。以往
的教训表明,如果对网络安全问题掉以轻心,互联网络也可能会使服务提供者的形象严重受
损,带来重大经济损失,甚至造成恶劣的社会影响。互联网具有天然的开放性和协议的简便
性,它在展示其无所不能的强大威力的同时,也不可避免地伴随了大量的安全隐患。网络结
构组织各方面的缺陷,系统与应用软件的漏洞,以及网络管理员的水平低下和疏忽大意,都
可能使网络攻击者有机可乘;恶意的入侵者干扰正常业务,销毁或篡改重要数据,甚至使更
多的服务器失去控制,造成一系列严重后果。
人们在得益于信息革命所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严
峻考验。伴随着对网络技术的推进,网络攻防的战斗也越演越烈。网络安全已经引起各国、
各部门、各行各业的高度重视,在网络中引入安全防范机制已经成为人们的公识。防范网络
攻击,最常用的对策是构建防火墙。防火墙是一种应用层网关,按照设定的规则对进入网络
的IP分组进行过滤,同时也能针对各种网络应用提供相应的安全服务。利用防火墙技术,
经过仔细的配置,通常能在内外网之间实施安全的网络保护机制,降低风险。但仅仅使用防
火墙保障网络安全是远远不够的,因为入侵者会想方设法寻找防火墙背后可能敞开的通道。
另一方面,防火墙在阻止内部袭击等方面也收效甚微,对于企业内部心怀不满而又技术高超
的员工来说,防火墙形同虚设。而且,由于性能的限制,防火墙通常不能提供有效的入侵检
测能力。因此,认为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。
能否成功阻止网络黑客的入侵,保障计算机和网络系统的安全和正常运行,已经成为各
机构和单位能否正常运作的关键性问题。入侵检测系统 IDS是近年出现的新型网络安全技
术,是一套软件和硬件的结合体。IDS能弥补防火墙的不足,为受保护网络提供有效的入侵
检测及采取相应的防护手段;入侵检测是一个全新的、迅速发展的领域,并且已成为网络安
全中极为重要的一个课题;入侵检测的方法和产品也在不断的研究和开发之中,并且已经在
网络攻防实例中初步展现出其重要价值。
二、传统入侵检测方法
目前,国际顶尖的入侵检测系统IDS主要以模式发现技术为主。所谓模式发现技术是指
从各种入侵行为及其变种中抽取出各方面的模式或特征,然后用这些模式去匹配、去发现可
能的攻击。IDS一般从实现方式上分为两种:基于主机的 IDS和基于网络的 IDS。一个完备
的入侵检测系统IDS应该是基于主机和基于网络两种方式兼备的分布式系统。另外,能够识
别的入侵手段的数量多少,最新入侵防范的更新是否及时都是评价入侵检测系统的关键指
标。
传统的入侵检测有基于主机、基于网络、基于统计模型等几类,但通常都按照基于主机
的IDS和基于网路的IDS来划分。基于主机的IDS原理上类似于计算机防病毒软件或是网络
管理软件——在所有服务器上安装某种代理,用特定的管理控制系统进行汇报工作。它们使
用一种传感控制结构,而且通常是纯被动的。基于网络的系统可以通过比较线路的流量,以
及内部列出的种种特征标识进行观测。两种方案都可以对识别到的攻击做出反应。
1、基于主机的入侵检测
就目前的情况来看,DNS、Email和web服务器是多数网络攻击的目标,大约占据全部
网络攻击事件的1/3以上。这些服务器必须要与Internet系统交互作用,所以应当在各服
务器上安装基于主机的入侵检测软件,其检测结果也应及时地向管理员报告。基于主机的
IDS没有带宽的限制,它们密切监视系统日志,能识别运行代理的机器上受到的攻击。基于
主机系统提供了基于网络系统不能提供的精细功能,包括二进制完整性检查、系统日志分析
和非法进程关闭等功能。这方面典型的产品有Axent的InTrusion Alert等。
基于主机的IDS最大的好处就在于能根据受保护站点的实际情况进行针对性的定制,使
其工作非常有效果,误警率相当低。典型的如web服务器入侵检测系统,它相当于一套复杂
的过滤设备,使用一个攻击字符串列表来对web服务器(单个或多个)进行监视,可以发现
对web服务器的已知的各种可能的攻击。这样的IDS在工作时,即使有一些误警事件也
您可能关注的文档
- 从文献资料看詈语_王八_的形成过程_兼与杨琳先生商榷.pdf
- 仪表盘上的风险.ppt
- 仪表盘的与市场现状调研及发展前景分析报告(目录).doc
- 付铮_双馈式变流器低压穿越测试.pdf
- 企业供电.pdf
- 企业排污在线监测.pdf
- 企业安全生产管理责任矩阵应用.pdf
- 会场桌子摆放的形式.doc
- 伺服机构的低速爬行.pdf
- 使用说明书(下位机部分).doc
- 行业比较专题:全A违规影响、预测及应用手册-240926-天风证券-11页.pdf
- 北交所专题报告:半导体行业需求复苏-240927-东莞证券-19页.pdf
- 交通运输行业航空机场8月数据点评:旺季客座率提升至较高水平-240919-东兴证券-11页.pdf
- 多地提示债务违约风险,怎么看?-240922-华西证券-15页.pdf
- 煤炭行业报告:国内动力煤下游继续去库存但放缓,火力发电量增-240920-东兴证券-10页.pdf
- 固定收益定期报告:比价匹配度下降-240922-国投证券-10页.pdf
- 中信保诚国企红利量化选股基金投资价值分析:数量化方法助力国企红利主题股票精选-240925-国盛证券-14页.pdf
- 电气设备行业专题研究:锂电行业24H1探底确认,静待回升-240924-东方财富证券-23页.pdf
- 环保行业深度跟踪:SAF试点启动,重申看好固废、水务-240922-广发证券-13页.pdf
- 煤炭行业月度供需数据点评:符合预期,制造业投资延续高增-240920-山西证券-10页.pdf
文档评论(0)