面向入侵检测的网络安全监测实现模型.PDFVIP

　第 22 卷 第 2 期 小 型 微 型 计 算 机 系 统 V o l22 N o 2　 　　2001 年 2 月 M IN I- M ICRO SYST EM 　Feb. 2001　　 ( ) 文 章 编 号: 2001 面向入侵检测的网络安全监测实现模型 龚　俭　董　庆　陆　晟 ( 东南大学计算机系　南京 210096) 摘　要: 本文提出了一种面向入侵监测的网络安全监测模型, 它由数据采集、决策分析和分析机三个独立的部分以层 次方式构成, 能够对已知的网络入侵方式进行有效地实时监测. 文章给出了基于安全分析机概念的安全知识表达方法, 并对扫描( scan) , teardrop , land 等常见攻击方式进行了特征刻划. 此外, 论文还对安全监测系统设计中应当考虑的问 题, 如报警问题进行了讨论. 关 键 词: 网络安全; 安全监测; 入侵检测; 扫描; teardrop ; land; 报警机制 分 类 号: T P 393. 1　　　　　文献标识码:A ( ) 1　引　言 采集层, 分析决策层和分析机层 见图 1 . 数据采集层的主要功能是获取分析所需的数据. 因为系 网络安全监测系统是保障网络正常运行的重要工具, 它 统是基于网络的, 所以决定了数据采集的方法是从网络上直 与网络运行管理系统相结合, 可有效地监察网络用户的使用 接抓取数据包. 数据采集部分的另一个任务是把获取的数据 行为. 网络安全监测系统的基本功能包括检测出正在发生的 转换成标准形式, 准备用于下一层分析. 抓取的数据主要是 攻击活动; 发现(track ) 攻击活动的范围和后果; 诊断并发现 协议的报头信息. TCP IP 攻击者的入侵方式和入侵地点, 并给出解决建议; 以及收集并 记录入侵的活动证据. 网络安全监测系统可分为异常检测(anom aly detection) 和入侵检测 ( 或 ) 两类, 前者通过 m isuse detection rule based 采集和统计发现网络或系统中的异常行为, 向管理员提出警 告; 后者通过对采集的信息按已知的知识进行分析, 发现正在 发生和已经发生的入侵行为. 异常检测系统通常具有较强的 检测能力, 可发现新的安全问题. 但是由于异常行为是相对而 言的, 因此这类系统存在误报问题, 而且配置和管理比较复 杂, 需要较高的技术水平. 入侵检测系统依赖所谓的攻击知识 ( 数据库, 因此有较高的处理效率, 管理简单 类似于现有的计 ) 算机病毒检测程序 , 但这类系统要求攻击知识数据库必须及 〔1, 2〕 时更新, 而且不能处理未知的问题或现有问题的变形 . 网络安全监测系统可以根据数据采集方式的不同分为基 〔3, 4 〕 于网络和基于主机两类 , 而它们在处理上又可以分别采用