1988年11月莫里斯蠕虫事件发生之后,军方、学术界和企业对网络安全高度重视,这促使了人们投入更多的资金和精力去研发IDS。
现在,入侵检测技术的研究正朝智能化和分布式两个方向前进。对入侵检测的研究,从早期的审计跟踪数据分析,到实时入侵检测系统,到目前应用于大规模网络的分布式入侵检测系统,基本上已发展成具有一定规模和相应理论的研究领域。
本文主要内容
入侵检测至今已发展了20余年,在这过程中出现了数百种基于不同的技术和环境的入侵检测系统,但大多数都具有误报和漏报率高,灵活性有限,可移植性差等缺陷,本文针对这些缺陷,在移动代理(Mobile Agent)技术和多系统互操作性的通用入侵检测模型基础上,提出了具有伸缩性的、重用性的、适应性好的基于移动代理的分布式入侵检测模型,并加以了实现。在一定程度上降低了误报和漏报率,并解决了移植性和灵活性差等问题,使网络检测和效率有所提高。
本文除了该章外,还有以下主要内容。第二章概述入侵检测和移动代理技术,主要包括入侵检测的概念和分类,以及移动代理的定义和功能。第三章在现有的移动代理和入侵检测工具基础上,分析对比各自的优缺点后,提出面向移动代理的分布式入侵检测系统模型。第四章是系统的具体设计与实现,分析了该模型的一些问题,如移动代理和入侵检测的选材和实现等,并加以实现。第五章对本文作了全面的总结。
入侵检测和移动代理技术
入侵检测技术
入侵检测概述
入侵是指任何试图危及计算机资源的完整性、机密性或可用性的行为,而入侵检测是对入侵行为的发觉,它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而判断是否有违反安全策略的行为和遭到攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,它扩展了系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应,从而提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
网络入侵检测系统(IDS)是一项很新的网络安全技术,目前已经受到各界的广泛关注,它的出现是对原有安全系统的一个重要补充。
入侵检测的分类
根据目标系统的类型的不同可以将入侵检测系统分为如下两类:
基于主机的入侵检测系统。通常,基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时,入侵检测系统将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警,以便采取措施。
基于网络的入侵检测系统。基于网络的入侵检测系统使用原始网络包作为数据源。该系统通常利用一个运行在混合模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
根据入侵检测系统分析的数据来源分类。入侵检测系统分析的数据可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以及其他的入侵检测系统的报警信息等。据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。
根据入侵检测分析方法的不同可将入侵检测系统分为如下两类:
异常入侵检测监测系统。异常入侵检测系统利用被监控系统的正常行为的信息作为检测系统中入侵、异常活动的依据。
误用入侵检测系统。误用入侵检测系统根据已知入侵攻击的信息(知识、模式)来检测系统中的入侵和攻击。
根据检测系统对入侵攻击的相应方式的不同可将入侵检测系统分为如下两类:
主动的入侵检测系统。主动的入侵检测系统在检测出入侵后,可自动地对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵检测)退出以及关闭相关服务等对策和相应措施。
被动的入侵检测系统。被动的入侵检测系统在检测出对系统的入侵攻击后产生报警信息通知系统安全管理员,至于之后的处理工作则有系统管理员完成。
根据系统各个模块运行的分布方式的不同,可将入侵检测系统分为如下两类:
集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行,这种方式适用于网络环境比较简单的情况。
分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上,一般来说分布性主要体现在数据收集模块上,如果网络环境复杂、数据量比较大,那么数据分析模块也会分布,一般是按照层次性的原则进行组织。
人侵检测系统的发展趋势
分布式入侵检测
这个概念有两层含义:第一层是针对分布式网络攻击的检测方法;第二层是使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式系统是现代IDS主要发展方向之一,它能够在数据收集、入侵分析和自动响应方面最大限度的发挥系统资源的优势,其设计模型具有很大的灵活性。
智能化入侵检测
使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。异常检测和误用检测的结合,使这两种方法能够紧密结合,互补各自的优、缺点。
全面的安全防御方案
使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测等多方面对网络作全面的评估,然后提出可行的全面解决方案。
基于网络和基于主机的入侵检测系统相互结合
这两种方法都有各自的优势,都能发现对方无法检测到的一些入侵行为。比如基于主机的入侵检测系统使用系统日志作为检测依据,因此它们在确定攻击是否已经取得成功时与基于网络的检测系统相比具有更大的准确性。在这方面,基于主机的入侵检测系统对基于网络的入侵检测系统是一个很好的补充,人们完全可以使用基于网络的入侵检测系统提供早期报警,而使用基于主机的入侵检测系统来验证攻击是否取得成功。在新一代的入侵检测系统中,将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻击签名、检测、报告和事件关联功能。
移动代理技术
移动代理
移动代理是一个自主程序,它能够在异构的网络中从一台主机迁移到另一台主机,在迁移前,暂停自身的执行,封装代码及状态,然后利用传输机制,从一台主机移动到另外一台主机,然后将代码实例化并恢复封存的状态,继续运行。而移动代理系统则是一个允许代理在系统中不同主机前迁移的平台,即一个代理运行环境,代理在其中进行自己的操
首页 上一页 1 2 3 4 5 6 7 下一页 尾页 2/8/8
免费基于Aglet的入侵检测系统的实现(二)由毕业论文网(www.huoyuandh.com)会员上传。
