IDS入侵系统的分析与设计Word文档格式.docx
- 文档编号:15115808
- 上传时间:2022-10-27
- 格式:DOCX
- 页数:15
- 大小:286.52KB
IDS入侵系统的分析与设计Word文档格式.docx
《IDS入侵系统的分析与设计Word文档格式.docx》由会员分享,可在线阅读,更多相关《IDS入侵系统的分析与设计Word文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
陈茅
学生:
刘荣荣(指导老师:
陈茅)
(淮南师范学院计算机信息工程系)
摘要:
入侵检测技术的全称为intrusiondetectionsystem,简称“IDS”。
目前,入侵检测系统是一个全面的系统安全体系结构的组成部分,已经被企业或机构广泛采用,然而IDS技术产品化的时间相对来说并不长,多数企业或机构缺乏在这方面有经验的技术人员。
若无法完全防止入侵,那么只能希望如果系统受到了攻击,则能够尽快,最好实时检测出入侵,从而可以采取相应措施来对应入侵,这就是IDS的任务所在。
入侵检测是防火墙之后的第二道阀门,对安全保护措施采取的是一种积极的主动的防御策略,在不影响性能的情况下,能够对网络进行检测,从而提供内部攻击,外部攻击以及误操作的实时保护。
关键词:
网络安全;
入侵检测;
防火墙
AnalysisanddesignofIDSintrusionsystem
Student:
LiuRongrong(FacultyAdviser:
ChenMao)
(HuainanNormalUniversityDepartmentofcomputerandInformationEngineering)
Abstract:
Intrusiondetectiontechnologyiscalledintrusiondetectionsystem,referredtoas"
IDS"
.Atpresent,theintrusiondetectionsystemaspartofanoverallsystemsecurityarchitecture,hasbeenwidelyusedbyenterprisesorinstitutions,buttheIDStechnologyproductsofthetimeisnotlong,themajorityofenterprisesorinstitutionslackoftechnicalpersonnelwithexperienceinthisarea.Ifyouareunabletocompletelypreventintrusion,socanonlyhopethatifthesystemisunderattack,assoonaspossible,thebestrealtimedetectintrusion,andtakecorrespondingmeasurestothecorrespondingintrusion,thisisIDS'
smission.Intrusiondetectionissecondvalvesfirewall,takeonthesafetyprotectionmeasuresisakindofactivedefensestrategy,withoutaffectingperformance,candetectthenetwork,whichprovidesreal-timeprotectioninternalattack,exteriorattackandmisoperation.
Keywords:
Networksecurity;
intrusiondetection;
firewall
前言
计算机和互联网技术正改变着人类社会的面貌,伴随着电子商务,电子政务的全面铺开,信息安全行业将面临的是一场前所未有的机遇和挑战。
由于信息网络的开放性和复杂性,安全保障的各种状态都在一种不稳定的快速变化的过程中。
安全保障的各个环节,如风险评估,事件发现,系统恢复与生存等,都需要有足够的动态适应能力,以便适应各种变化的状况。
然而,如何去达到这个要求也面临着的技术挑战。
作为整体的安全保护机制的重要环节,入侵检测技术本身也在不断地进步和发展。
本论文主要分为三大部分,第一部分介绍了入侵检测系统的发展史,基本概念等基础知识点;
第二部分主要介绍了入侵检测系统的常用信息来源,如何利用防火墙技术进行检测;
第三部分主要是讨论与入侵检测技术相关的其他问题。
第1章入侵检测技术的简介
1.1入侵检测基本模型的建立
1987年DorothyDenning发表了入侵检测领域中的论文《入侵检测模式》,文中对入侵检测问题做出了深入的讨论,对入侵检测系统建立了的基本模式,并且提出几种检测方法。
这篇文献是入侵检测领域的正式的研究工作的起点,也被认定为入侵检测研究领域内的开创性的成果。
在该模型中,事件产生器可以根据应用环境而有所不同,一般通过自审计记录,网络数据以及其他的可视行为,这些事件是构成入侵检测系统的基础。
如果有统计变量的值达到了某种异常程度,那么行为特征表就会产生异常记录,从而采取一定的措施。
规则模块可以分为系统安全策略和入侵模式。
它不仅可以为判断是否入侵提供参考机制,还可以根据事件记录、异常记录以及有效日期等控制进行更新其它模块的状态。
在实现应用上,规则的选择和更新很类似,行为特征模块是执行基于行为的检测,但规则模块执行的是基于知识的检测。
Denning提出的入侵检测的基本模型,它的意义主要是一般化的模型定义,对具体实现技术没有过高的要求。
基本模型的各个部件可以根据系统的实际需求来设计,还可以细化和进一步的扩展。
1.2入侵检测的相关概念
1.2.1什么是入侵检测
在1997年美国国家安全通信委员会其下属的入侵检测小组给出了关于”入侵检测”的概念:
入侵检测是企图对入侵,正在进行的入侵或已经发生入侵进行识别的过程.
入侵检测是通过从计算机网络或计算机系统若干关键点进行信息搜索从而对其进行分析,从中发现是否有遭到袭击的迹象和违反安全策略的行为,并对其做出相应反应的安全技术.
1.2.2为什么要引进IDS
由于现阶段入侵越来越容易,有关入侵的教程也随处可见,各种有关入侵的工具唾手可得。
而防火墙却不能保证网络的绝对安全,网络边界的设备自身能够被攻破,其对一些较强的攻击很难保护的完善。
当然并不是所有的威胁都是来自防火墙的外部,可以这么理解,防火墙可以看做是锁,而入侵检测系统就是监控设备。
IDS的主要任务是检测来自内部的各种攻击事件以及越权访问,有85%以上的攻击事件都源于内部攻击,而防火墙只能预防外部攻击,对内部攻击很难防范。
所以IDS对于防火墙系统来说是一个非常有效的补充,能够防火墙所开放的服务入侵进行有效的防范。
1.2.3入侵检测技术的分类
(1)基于主机的IDS
基于主机的IDS入侵检测系统的原理是根据系统日志监视操作系统和主机的审计数据或潜在的入侵。
其一般运行于重要工作站,系统服务器或用户机器上,并要求与服务或操作系统内核紧密相连,来监视各种系统事件。
这种系统主要依赖于审计数据或系统日志的完整性和准确性,并且需要把安全策略转换为入侵检测的规则。
基于主机的入侵检测系统,从它的优缺点分析:
优点:
性价比高;
审计内容比较全面,细腻;
视野集中;
适用于交换环境和加密
缺点:
产生安全问题;
对主机的依赖性强;
主机数过多,代价大;
对网络上的情况难以监控
(2)基于网络的IDS
基于网络的IDS利用工作于混析的数据源,并通过捕捉网络上的数据包,可以检测到网段上所发生的入侵。
通常基于网络的入侵检测系统可以有四种技巧去识别攻击:
1)穿越阀值或频率
2)表达式,模式或字节匹配
3)统计学上非常规现象的检测
4)相关的低级事件
5)分布式IDS
基于网络的入侵检测系统,从它的优缺点分析:
检测的范围比较广泛;
不需要对主机性能和配置改变;
操作系统和独立性没有关联;
安装方便
对不同网段的网络包不能检测;
对复杂的计算量大的攻击难以检测;
协同的工作能力差;
不容易对加密的会话进行处理
1.2.4IDS的构件
1.响应单元(Responseunits)
响应单元是对分析结果能够作出反应的单元,它能够改变文件属性、切断连接等很强的反应,而且能对攻击者发动反击,或只做简单的报警。
2.事件分析器(Eventanalyzers)
事件分析器是将分析后所得到的数据,在对其的产生进行结果的分析。
3.事件产生器(Eventgenerators)
事件产生器主要是从整个计算中获取事件,并且向系统的别的部件提供这个事件。
4.事件数据库(Eventdatabases)
事件数据库主要将存放在各种中间以及最终数据地方的总称,它既可以是复杂的数据库,也能够是简单的文本文件。
第2章入侵与网络安全
2.1网络安全问题的产生
由于互联网络的分散性和开放性的特点似的人类信息资源得以开放共享,并且可以快速灵活的应用,满足人类的需求,并为人类社会的进步有巨大的推动作用。
但是在互联网给人类带来各种方便的同时,也带来了一系列的安全问题;
1)容易造成信息泄露,污染,以及对信息的难以控制。
比如:
XX的资源遭到侵用,信息未授权就被泄露出去等,这些在信息技术方面都是难点之一。
2)网络的应用非常的广泛,造成管理问题的分散。
3)随着社会信息化的高度发展,社会的核心系统也可能面临着恶意的破坏和攻击,从而造成系统瘫痪。
包括政府网站,国防通信和金融系统等。
2.1.1网络攻击的工作流程
目标探测和信息收集
自身隐藏
利用漏洞侵入主机
稳固和扩大战果
清除日志
网络入侵的主要步骤可以从下图反映:
2.1.2网络攻击的分类以及防范措施
黑客对网络有各种各样的攻击,攻击通常一般是利用操作系统、同性协议等安全漏洞来进行的。
目前对网络攻击的方法还没有统一的方法和运行方式。
从广泛的角度看,可以吧网络攻击划分为被动攻击和主动攻击。
主动攻击主要是攻击者对他所需要的行为进行访问。
例如通过伪造没有用的IP地址来连接服务器,使系统接受到无效的IP地址而浪费时间来连接错误地址。
攻击者主要是去做一些对目标系统不利的事情。
因此,若需要去找到他们就会比较容易些。
主动攻击主要攻击方法有信息篡改、服务攻击、欺骗、资源滥用等。
被动攻击主要是进行搜索信息,而不是对数据进行访问,对合法数据的用户通常不会得到察觉。
被动攻击的方法主要包括信息搜索,嗅探等。
对于网络攻击,主要的防范措施主要包括以下几种:
1)嗅探
嗅探是通过偷看因特网上的数据包,从而去获得全部内容以及口令的。
对网络的数据流检测主要是通过安装侦听器,用以获得口令和用户名。
网络嗅探通过利用网络监听的工作模式,在该模式下主机能够接收物理通道所传输的信息,而对接收方和发送方是谁不用管。
2)扫描
扫描主要是在网上进行广泛的搜索,从而找出软件或计算机的弱点。
3)拒绝服务
拒绝服务攻击主要是通过向某个网络的站点进行反复的发送信息请求,黑客能够对该站点的系统进行有效的堵塞,从而使得网络上的服务项目无法完成相应的功能。
4)恶意程序
恶意的小程序又称为微型程序,能够对硬盘上的程序进行修改,窃取口令或是发送虚假的电子邮件。
2.2攻击技术的发展趋势以及攻击的步骤
随着网络技术的不断发展和普及,入侵者的技术能力和相关的网络知识也在不断增强,并且出现了一些网络攻击工具化的趋向,这些都是网络安全问题所面临的巨大挑战。
工具化的攻击让攻击者
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IDS 入侵 系统 分析 设计