本文摘要:本篇文章是由《 電子設計技術 》發(fā)表的電子論文,(月刊)創(chuàng)刊于1994年,由中國電子報社主辦。 本刊辦刊宗旨:成為中國電子設計業(yè)主導刊物,讀者:電子設計業(yè)工程師及技術管理人員。榮獲2001年獲信息產(chǎn)業(yè)部1999-2000年度電子科技期刊出版質量獎、2004年獲信息
本篇文章是由《電子設計技術》發(fā)表的電子論文,(月刊)創(chuàng)刊于1994年,由中國電子報社主辦。 本刊辦刊宗旨:成為中國電子設計業(yè)主導刊物,讀者:電子設計業(yè)工程師及技術管理人員。榮獲2001年獲信息產(chǎn)業(yè)部1999-2000年度電子科技期刊出版質量獎、2004年獲信息產(chǎn)業(yè)部2003-2004年度電子科技期刊報道選題獎。
引言
近年來,隨著信息和網(wǎng)絡技術的高速發(fā)展以及政治、經(jīng)濟或者軍事利益的驅動,計算機和網(wǎng)絡基礎設施,非凡是各種官方機構的網(wǎng)站,成為黑客攻擊的熱門目標。近年來對電子商務的熱切需求,更加激化了這種入侵事件的增長趨向。由于防火墻只防外不防內(nèi),并且很輕易被繞過,所以僅僅依靠防火墻的計算機系統(tǒng)已經(jīng)不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。
1 入侵檢測系統(tǒng)(IDS)概念
1980年,James P.Anderson 第一次系統(tǒng)闡述了入侵檢測的概念,并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種,還提出了利用審計數(shù)據(jù)監(jiān)視入侵活動的思想[1。即其之后,1986年Dorothy E.Denning提出實時異常檢測的概念[2并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(tǒng)(IDES),1990年,L.T.Heberlein等設計出監(jiān)視網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng),NSM(Network Security Monitor)。自此之后,入侵檢測系統(tǒng)才真正發(fā)展起來。
Anderson將入侵嘗試或威脅定義為摘要:潛在的、有預謀的、未經(jīng)授權的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為[4摘要:發(fā)現(xiàn)非授權使用計算機的個體(如“黑客”)或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權利以及企圖實施上述行為的個體。執(zhí)行入侵檢測任務的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為摘要:檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件。
入侵檢測系統(tǒng)執(zhí)行的主要任務包括[3摘要:監(jiān)視、分析用戶及系統(tǒng)活動;審計系統(tǒng)構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統(tǒng)計分析異常行為模式;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計、跟蹤管理操作系統(tǒng),識別用戶違反平安策略的行為。入侵檢測一般分為三個步驟摘要:信息收集、數(shù)據(jù)分析、響應。
入侵檢測的目的摘要:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監(jiān)視以實施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴大;
2 入侵檢測系統(tǒng)模型
美國斯坦福國際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2,該模型的檢測方法就是建立用戶正常行為的描述模型,并以此同當前用戶活動的審計記錄進行比較,假如有較大偏差,則表示有異常活動發(fā)生。這是一種基于統(tǒng)計的檢測方法。隨著技術的發(fā)展,后來人們又提出了基于規(guī)則的檢測方法。結合這兩種方法的優(yōu)點,人們設計出很多入侵檢測的模型。通用入侵檢測構架(Common Intrusion Detection Framework簡稱CIDF)組織,試圖將現(xiàn)有的入侵檢測系統(tǒng)標準化,CIDF闡述了一個入侵檢測系統(tǒng)的通用模型(一般稱為CIDF模型)。它將一個入侵檢測系統(tǒng)分為以下四個組件摘要:
事件產(chǎn)生器(Event Generators)
事件分析器(Event analyzers)
響應單元(Response units)
事件數(shù)據(jù)庫(Event databases)
它將需要分析的數(shù)據(jù)通稱為事件,事件可以是基于網(wǎng)絡的數(shù)據(jù)包也可以是基于主機的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個計算機環(huán)境中獲得事件,并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、修改文件屬性等強烈反應。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱,它可以是復雜的數(shù)據(jù)庫也可以是簡單的文本文件。
3 入侵檢測系統(tǒng)的分類摘要:
現(xiàn)有的IDS的分類,大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局、采集、分析、響應等各個層次及系統(tǒng)性探究方面的新問題,在這里采用五類標準摘要:控制策略、同步技術、信息源、分析方法、響應方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個中心節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。在部分分布式IDS中,監(jiān)控和探測是由本地的一個控制點控制,層次似的將報告發(fā)向一個或多個中心站。在全分布式IDS中,監(jiān)控和探測是使用一種叫“代理”的方法,代理進行分析并做出響應決策。
按照同步技術分類
同步技術是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技術劃分,IDS劃分為間隔批任務處理型IDS和實時連續(xù)性IDS。在間隔批任務處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內(nèi)產(chǎn)生的信息,并在入侵發(fā)生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續(xù)型IDS中,事件一發(fā)生,信息源就傳給分析引擎,并且馬上得到處理和反映。實時IDS是基于網(wǎng)絡IDS首選的方案。
按照信息源分類
按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網(wǎng)絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊。基于主機的IDS是在關鍵的網(wǎng)段或交換部位通過捕捉并分析網(wǎng)絡數(shù)據(jù)包來檢測攻擊。分布式IDS,能夠同時分析來自主機系統(tǒng)日志和網(wǎng)絡數(shù)據(jù)流,系統(tǒng)由多個部件組成,采用分布式結構。
轉載請注明來自發(fā)表學術論文網(wǎng):http://www.zpfmc.com/dzlw/4243.html
