网络入侵检测主要技术探讨
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
击 和 误 操 作 等 作 出 响 应 , 系统 提 供 安 全 保 护 。 给
1 2 入侵 检 测 系统 的基 本 模 型 .
而 且 依 赖 于 服 务 器 固有 的 日志 与监 视 能 力 . 不 能 保 证 及 时 采集到审计数据 。
CD ( o o nrs n D t t nFa e ok 模 型 将 13 2 基 于 网 络 的 入 侵 检 测 系 统 f ew r— bsdI S : I F C mm nIt i e ci rm w r) uo e o .. N tok ae D )
第 2 卷第 4 1 期 20 0 8年 1 月 1
濮阳职业技术学院学报
J un l fP y n o a in la d Te h ia ol g o r a u a g V c t a n c nc lC l e o o e
Vo . l N . 12 o 4
NO 2 8 V. 0o
ቤተ መጻሕፍቲ ባይዱ
攻击 则无法 自动调 整策 略以阻断其行 为。而入侵检测是一
个主动 的和重要的 网络安全技术 …,用来识别和响应对计 算机 和网络资 源的恶意使用行为 。入 侵检 测技术 的研究 已
经发 展 了 2 0多年 ,作 为 对 防 火 墙有 益 的 补充 , D ( 侵 检 IS 入
一
臣圈 一臣 \ / \
引 言
事件分析器 (vn n ye ) E e t a zi :分析得 到的事件数据 , Al  ̄ 响应单元 ( epneU i )根据分析结果作 出响应 , R sos nt : s 并
计 算 机 网 络 的 飞 速 发 展 给 人 类 生 活 和 工 作 带 来 了 巨大 并将产生的分析结果传送给其他组件 。 变 化 , 网络 安 全 问 题 也 随 之 产 生 , 客 攻 击 、 息 泄 漏 、 但 黑 信 病 毒 猖 獗 等 问 题 极 大 地 威 胁 着 人 们 ,越 来 越 受 到 人 们 的 重 据此采取相应措施 , 如杀死相关进程 、 复位网络会话连接以 视 。 传统 的安 全技 术 如 防火 墙 是 防 范 外来 攻 击 者 的 有 效 手 及 修 改 文 件 权 限 等 。 段 , 由 于 它采 取 静 态 防御 的策 略 , 求 事 先 设 置 好 规 则 , 但 要 事 件数 据库 ( vn a bss : 储 和 管 理 事 件 数 据 , E e t t ae) 存 D a 所 以很 难 防范 来 自于 网 络 内部 以及 病 毒 的 威 胁 ,对 于 实 时 以备 系统需 要的时候 使用。
网络入侵检测 主要技 术探讨
刘艳锋 , 国锋 常
( . 阳 职业技 术学 院 , 1濮 河南 濮 阳 4 7 0 ;.新 乡学 院 计算 机科 学 系 , 南 新 乡 4 3 0 ) 50 0 2 河 5 0 3
【 摘 要 1 文 主要 介 绍 了 网络 入 侵 检 测 系统 , 述 了入 侵 检 测 系统 的 模 型 及 分 类 , 点 分析 了入 侵 检 测 的 主要 本 阐 重
入 侵 检测 (n ui e co )是 动 态 的跟 踪 和 检 测 方 It s nD t tn r o ei
入 侵 检 测 系 统 从 不 同角 度 可 以分 为不 同 的类 别 ,按 照
法 的 简 称 ,用 来 识 别 和 响 应 对 计 算 机 和 网 络 资 源 的 恶 意 使 数 据 来 源 的 不 同 ~ 般 分 为 基 于 主 机 的 入 侵 检 测 系 统
技 术, 为进 一步研 究提供 了参 考。 [ 关键词 】 计算机 网络 ; 入侵检测 ; 侵检 测 系统 ; 入 入侵检 测技 术
【 图 分类 号 ] P 9 . 8 中 T 33 0 【 献标识码 】 文 A 【 章 编 号 】6 2~ 1 12 0 )4— 0 1 2 文 17 9 6 f0 8 0 0 2 —0
图 1 通 用 的入 侵 检 测 系统 C D I F模 型
测系统 ) 扩展了网络管理员的安全管理能力 , 高了网络信 提
息 安 全 的 防 范 能 力。
1 入 侵 检 测 与 入 侵 检 测 系统 概 述 1 1 入侵 检 测 与入 侵 检 测 系统基 本概 念 .
1 3 入 侵 检 测 系统 的 分 类 .
IS D 需要分析的数据统称为事件 ( vn) 它既可以是网络 使用 原始网络数据包作为进行攻击分析 的数据 源,利用 网 E et ,
用行为。它通过对计算机网络或计算机系统 中的若干关键 ( I S 和基于 网络 的入侵检测系统 ( I S , HD ) ND ) 以及混 合入 侵
点收集信 息并对其进行 分析 ,从 中发现网络或系统中是否 监 测 系统 ( yr S 。 H bi I ) dD
有 违 反安 全 策 略 的行 为 和 被 攻 击 的迹 象 f。 2 I 13 1 基 于 主机 的入 侵 检 测 系统 ( ot bsdIS : 常 . . H s ae D )通 -
入侵 检测 的软件和硬件组成 了入侵检测系统 ( S I I :n 从 主机的 审计 记录 和 日志文件 中获得所需 的主要数据源 , D t s nD t t nSs m) D l i e ci yt ,I S是继防火墙之后 的第 二道安 或者从 主机上 的其他信 息 , o u e o e 如文件 系统属性 、 进程状 态等 , 全门, 它在不影响网络性能 的情况下依照 一定 的安 全策略 , 在此基础上完成检测攻 击行 为的任务。它可以精确地判断 对 网络 的运行状况进行监测 ,通过收集并分析 计算机 系统 入侵事件 , 并实 时作 出反应 。但 由于 H D I S安装在需要被保 及网络介质上的各种有用信息 , 从而针对外部攻击 、 内部攻 护的 主机上 , 这样会 占用宝贵 的系统 资源 , 增加 系统负荷 ,
1 2 入侵 检 测 系统 的基 本 模 型 .
而 且 依 赖 于 服 务 器 固有 的 日志 与监 视 能 力 . 不 能 保 证 及 时 采集到审计数据 。
CD ( o o nrs n D t t nFa e ok 模 型 将 13 2 基 于 网 络 的 入 侵 检 测 系 统 f ew r— bsdI S : I F C mm nIt i e ci rm w r) uo e o .. N tok ae D )
第 2 卷第 4 1 期 20 0 8年 1 月 1
濮阳职业技术学院学报
J un l fP y n o a in la d Te h ia ol g o r a u a g V c t a n c nc lC l e o o e
Vo . l N . 12 o 4
NO 2 8 V. 0o
ቤተ መጻሕፍቲ ባይዱ
攻击 则无法 自动调 整策 略以阻断其行 为。而入侵检测是一
个主动 的和重要的 网络安全技术 …,用来识别和响应对计 算机 和网络资 源的恶意使用行为 。入 侵检 测技术 的研究 已
经发 展 了 2 0多年 ,作 为 对 防 火 墙有 益 的 补充 , D ( 侵 检 IS 入
一
臣圈 一臣 \ / \
引 言
事件分析器 (vn n ye ) E e t a zi :分析得 到的事件数据 , Al  ̄ 响应单元 ( epneU i )根据分析结果作 出响应 , R sos nt : s 并
计 算 机 网 络 的 飞 速 发 展 给 人 类 生 活 和 工 作 带 来 了 巨大 并将产生的分析结果传送给其他组件 。 变 化 , 网络 安 全 问 题 也 随 之 产 生 , 客 攻 击 、 息 泄 漏 、 但 黑 信 病 毒 猖 獗 等 问 题 极 大 地 威 胁 着 人 们 ,越 来 越 受 到 人 们 的 重 据此采取相应措施 , 如杀死相关进程 、 复位网络会话连接以 视 。 传统 的安 全技 术 如 防火 墙 是 防 范 外来 攻 击 者 的 有 效 手 及 修 改 文 件 权 限 等 。 段 , 由 于 它采 取 静 态 防御 的策 略 , 求 事 先 设 置 好 规 则 , 但 要 事 件数 据库 ( vn a bss : 储 和 管 理 事 件 数 据 , E e t t ae) 存 D a 所 以很 难 防范 来 自于 网 络 内部 以及 病 毒 的 威 胁 ,对 于 实 时 以备 系统需 要的时候 使用。
网络入侵检测 主要技 术探讨
刘艳锋 , 国锋 常
( . 阳 职业技 术学 院 , 1濮 河南 濮 阳 4 7 0 ;.新 乡学 院 计算 机科 学 系 , 南 新 乡 4 3 0 ) 50 0 2 河 5 0 3
【 摘 要 1 文 主要 介 绍 了 网络 入 侵 检 测 系统 , 述 了入 侵 检 测 系统 的 模 型 及 分 类 , 点 分析 了入 侵 检 测 的 主要 本 阐 重
入 侵 检测 (n ui e co )是 动 态 的跟 踪 和 检 测 方 It s nD t tn r o ei
入 侵 检 测 系 统 从 不 同角 度 可 以分 为不 同 的类 别 ,按 照
法 的 简 称 ,用 来 识 别 和 响 应 对 计 算 机 和 网 络 资 源 的 恶 意 使 数 据 来 源 的 不 同 ~ 般 分 为 基 于 主 机 的 入 侵 检 测 系 统
技 术, 为进 一步研 究提供 了参 考。 [ 关键词 】 计算机 网络 ; 入侵检测 ; 侵检 测 系统 ; 入 入侵检 测技 术
【 图 分类 号 ] P 9 . 8 中 T 33 0 【 献标识码 】 文 A 【 章 编 号 】6 2~ 1 12 0 )4— 0 1 2 文 17 9 6 f0 8 0 0 2 —0
图 1 通 用 的入 侵 检 测 系统 C D I F模 型
测系统 ) 扩展了网络管理员的安全管理能力 , 高了网络信 提
息 安 全 的 防 范 能 力。
1 入 侵 检 测 与 入 侵 检 测 系统 概 述 1 1 入侵 检 测 与入 侵 检 测 系统基 本概 念 .
1 3 入 侵 检 测 系统 的 分 类 .
IS D 需要分析的数据统称为事件 ( vn) 它既可以是网络 使用 原始网络数据包作为进行攻击分析 的数据 源,利用 网 E et ,
用行为。它通过对计算机网络或计算机系统 中的若干关键 ( I S 和基于 网络 的入侵检测系统 ( I S , HD ) ND ) 以及混 合入 侵
点收集信 息并对其进行 分析 ,从 中发现网络或系统中是否 监 测 系统 ( yr S 。 H bi I ) dD
有 违 反安 全 策 略 的行 为 和 被 攻 击 的迹 象 f。 2 I 13 1 基 于 主机 的入 侵 检 测 系统 ( ot bsdIS : 常 . . H s ae D )通 -
入侵 检测 的软件和硬件组成 了入侵检测系统 ( S I I :n 从 主机的 审计 记录 和 日志文件 中获得所需 的主要数据源 , D t s nD t t nSs m) D l i e ci yt ,I S是继防火墙之后 的第 二道安 或者从 主机上 的其他信 息 , o u e o e 如文件 系统属性 、 进程状 态等 , 全门, 它在不影响网络性能 的情况下依照 一定 的安 全策略 , 在此基础上完成检测攻 击行 为的任务。它可以精确地判断 对 网络 的运行状况进行监测 ,通过收集并分析 计算机 系统 入侵事件 , 并实 时作 出反应 。但 由于 H D I S安装在需要被保 及网络介质上的各种有用信息 , 从而针对外部攻击 、 内部攻 护的 主机上 , 这样会 占用宝贵 的系统 资源 , 增加 系统负荷 ,