電子論文價格淺析入侵檢測系統
所屬分類:電子論文 閱讀次 時間:2015-09-09 13:56 本文摘要:本篇文章是由《 電子設計技術 》發表的電子論文���,(月刊)創刊于1994年,由中國電子報社主辦�����。 本刊辦刊宗旨:成為中國電子設計業主導刊物���,讀者:電子設計業工程師及技術管理人員���。榮獲2001年獲信息產業部1999-2000年度電子科技期刊出版質量獎、2004年獲信息
本篇文章是由《電子設計技術》發表的電子論文���,(月刊)創刊于1994年���,由中國電子報社主辦�����。 本刊辦刊宗旨:成為中國電子設計業主導刊物��,讀者:電子設計業工程師及技術管理人員��。榮獲2001年獲信息產業部1999-2000年度電子科技期刊出版質量獎���、2004年獲信息產業部2003-2004年度電子科技期刊報道選題獎���。
引言
近年來���,隨著信息和網絡技術的高速發展以及政治、經濟或者軍事利益的驅動�����,計算機和網絡基礎設施�����,非凡是各種官方機構的網站,成為黑客攻擊的熱門目標��。近年來對電子商務的熱切需求�����,更加激化了這種入侵事件的增長趨向�����。由于防火墻只防外不防內���,并且很輕易被繞過��,所以僅僅依靠防火墻的計算機系統已經不能對付日益猖獗的入侵行為��,對付入侵行為的第二道防線——入侵檢測系統就被啟用了��。
1 入侵檢測系統(IDS)概念
1980年�����,James P.Anderson 第一次系統闡述了入侵檢測的概念��,并將入侵行為分為外部滲透���、內部滲透和不法行為三種���,還提出了利用審計數據監視入侵活動的思想[1。即其之后,1986年Dorothy E.Denning提出實時異常檢測的概念[2并建立了第一個實時入侵檢測模型���,命名為入侵檢測專家系統(IDES)��,1990年���,L.T.Heberlein等設計出監視網絡數據流的入侵檢測系統,NSM(Network Security Monitor)���。自此之后,入侵檢測系統才真正發展起來�����。
Anderson將入侵嘗試或威脅定義為摘要:潛在的��、有預謀的��、未經授權的訪問信息、操作信息���、致使系統不可靠或無法使用的企圖��。而入侵檢測的定義為[4摘要:發現非授權使用計算機的個體(如“黑客”)或計算機系統的合法用戶濫用其訪問系統的權利以及企圖實施上述行為的個體���。執行入侵檢測任務的程序即是入侵檢測系統。入侵檢測系統也可以定義為摘要:檢測企圖破壞計算機資源的完整性��,真實性和可用性的行為的軟件�����。
入侵檢測系統執行的主要任務包括[3摘要:監視�����、分析用戶及系統活動;審計系統構造和弱點;識別���、反映已知進攻的活動模式���,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反平安策略的行為���。入侵檢測一般分為三個步驟摘要:信息收集�����、數據分析��、響應�����。
入侵檢測的目的摘要:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監視以實施的入侵行為;(4)為對抗入侵提供信息���,阻止入侵的發生和事態的擴大;
2 入侵檢測系統模型
美國斯坦福國際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2,該模型的檢測方法就是建立用戶正常行為的描述模型���,并以此同當前用戶活動的審計記錄進行比較�����,假如有較大偏差,則表示有異�����;顒影l生。這是一種基于統計的檢測方法���。隨著技術的發展�����,后來人們又提出了基于規則的檢測方法���。結合這兩種方法的優點,人們設計出很多入侵檢測的模型���。通用入侵檢測構架(Common Intrusion Detection Framework簡稱CIDF)組織���,試圖將現有的入侵檢測系統標準化,CIDF闡述了一個入侵檢測系統的通用模型(一般稱為CIDF模型)�����。它將一個入侵檢測系統分為以下四個組件摘要:
事件產生器(Event Generators)
事件分析器(Event analyzers)
響應單元(Response units)
事件數據庫(Event databases)
它將需要分析的數據通稱為事件��,事件可以是基于網絡的數據包也可以是基于主機的系統日志中的信息��。事件產生器的目的是從整個計算機環境中獲得事件,并向系統其它部分提供此事件���。事件分析器分析得到的事件并產生分析結果�����。響應單元則是對分析結果做出反應的功能單元��,它可以做出切斷連接��、修改文件屬性等強烈反應��。事件數據庫是存放各種中間和最終數據的地方的通稱��,它可以是復雜的數據庫也可以是簡單的文本文件���。
3 入侵檢測系統的分類摘要:
現有的IDS的分類,大都基于信息源和分析方法��。為了體現對IDS從布局��、采集���、分析��、響應等各個層次及系統性探究方面的新問題���,在這里采用五類標準摘要:控制策略、同步技術���、信息源�����、分析方法���、響應方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的��,以及IDS的輸入和輸出是如何管理的���。按照控制策略IDS可以劃分為�����,集中式IDS���、部分分布式IDS和全部分布式IDS��。在集中式IDS中�����,一個中心節點控制系統中所有的監視�����、檢測和報告���。在部分分布式IDS中,監控和探測是由本地的一個控制點控制�����,層次似的將報告發向一個或多個中心站�����。在全分布式IDS中�����,監控和探測是使用一種叫“代理”的方法��,代理進行分析并做出響應決策。
按照同步技術分類
同步技術是指被監控的事件以及對這些事件的分析在同一時間進行���。按照同步技術劃分���,IDS劃分為間隔批任務處理型IDS和實時連續性IDS��。在間隔批任務處理型IDS中��,信息源是以文件的形式傳給分析器���,一次只處理特定時間段內產生的信息���,并在入侵發生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案���。在實時連續型IDS中���,事件一發生,信息源就傳給分析引擎�����,并且馬上得到處理和反映。實時IDS是基于網絡IDS首選的方案�����。
按照信息源分類
按照信息源分類是目前最通用的劃分方法���,它分為基于主機的IDS�����、基于網絡的IDS和分布式IDS���。基于主機的IDS通過分析來自單個的計算機系統的系統審計蹤跡和系統日志來檢測攻擊������;谥鳈C的IDS是在關鍵的網段或交換部位通過捕捉并分析網絡數據包來檢測攻擊。分布式IDS�����,能夠同時分析來自主機系統日志和網絡數據流,系統由多個部件組成��,采用分布式結構��。
轉載請注明來自發表學術論文網:http://www.cnzjbx.cn/dzlw/4243.html
