计算机网络入侵检测技术
首先我个人对网络入侵检测的理解可以用通俗易懂的语言来形容入侵检测就是一道高级的把门大将。
以下是我个人的详细分析。
对于现如今社会的进步发展很之大我们随眼可见,也随着信息系统对一个国家的社会生产与国名经济的影响越来越大以及网络的攻击工具与手法越来越多的复杂化,信息战已经慢慢成为国际重视的一个大方面。今年来,入侵检测的发展方向我总结为这几个方面,本论文首先对入侵检测研究现状进行了分析和总结,提出了入侵检测技术面临的问题和研究发展趋势。 本文对网络入侵检测技术的主要技术难点进行了研究和实践。
第一, 在分析广泛攻击的基础上,针对分布式入侵检测系统面临的协作和自身安全问题,提出了一个分布式入侵检测系统的数据共享策略和合作访问控制策略模型。该策略模型对分布式入侵检测系统中组件间的合作和信息共享提供了一个安全保障,各参与主机通过合作集检测广泛入侵,通过风险集机制抵御复杂攻击的潜在入侵,从而降低了关键信息的泄露并且减小复杂攻击对分布式入侵检测系统攻击成功的风险。
第二, 对目前比较常见的一种网络攻击-拒绝访问攻击(DoS)对网络性能所产生的影响进行了试验测试,给出了3种包丢弃攻击模式对网络性能影响的定量分析结果,该结果对进一步判断攻击的行为有一定的指导意义。
第三, 在试验测试的基础上,以NIDES/STAT模型为基础,提...
首先我们来了解什么事入侵检测,
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
在从它的类型上分以下它又可分为基于主机型、基于网络型、基于代理型三类。
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,
一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
我们在从根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。这些方面平常我们在练习时大部分会遇见的。603