本文目录一览:
- 1、求一片关于入侵防御系统(IPS)的论文
- 2、网站服务器被攻击,需要找专业的公司来进行安全维护,要给领导写个报告,那个报告怎么写,有模版最好。
- 3、请问《局域网安全探讨》毕业论文的开题报告怎么写?可以直接发我邮箱,分可以追加很多很多的!感谢!
- 4、关于计算机网络安全的论文!急!!!!!!!
- 5、写一篇3千字左右的异常入侵检测方法的小论文
求一片关于入侵防御系统(IPS)的论文
《科技传播》杂志
国家级科技学术期刊
中英文目录
知网 万方全文收录
随着对网络安全问题的理解日益深入,入侵检测技术得到了迅速的发展,应用防护的概念逐渐被人们所接受,并应用到入侵检测产品中。而在千兆环境中,如何解决应用防护和千兆高速网络环境中数据包线速处理之间的矛盾,成为网络安全技术发展一个新的挑战。
入侵检测技术的演进。
入侵检测系统(IDS, Intrusion Detection System)是近十多年发展起来的新一代安全防范技术,它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。IDS产品被认为是在防火墙之后的第二道安全防线在攻击检测、安全审计和监控等方面都发挥了重要的作用。
但在入侵检测产品的使用过程中,暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出,并且严重影响了产品发挥实际的作用。Gartner在2003年一份研究报告中称入侵检测系统已经“死”了。Gartner认为IDS不能给网络带来附加的安全,反而会增加管理员的困扰,建议用户使用入侵防御系统(IPS, Intrusion Prevention System)来代替IDS。Gartner公司认为只有在线的或基于主机的攻击阻止(实时拦截)才是最有效的入侵防御系统。
从功能上来看,IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限,一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。因此,从实用效果上来看,和IDS相比入侵防御系统IPS向前发展了一步,能够对网络起到较好的实时防护作用。
近年来,网络攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析,目前对网络的攻击有70%以上是集中在应用层,并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果,比如用户帐号丢失和公司机密泄漏等。因此,对具体应用的有效保护就显得越发重要。从检测方法上看,IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等技术。这些检测技术的特点是主要针对已知的攻击类型,进行基于攻击特征串的匹配。但对于应用层的攻击,通常是利用特定的应用程序的漏洞,无论是IDS还是IPS都无法通过现有的检测技术进行防范。
为了解决日益突出的应用层防护问题,继入侵防御系统IPS之后,应用入侵防护系统(AIP,Application Intrusion Prevention)逐渐成为一个新的热点,并且正得到日益广泛的应用。
应用入侵防护
对应用层的防范通常比内网防范难度要更大,因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口,如web的80端口。这样,黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计,所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足,对特定应用进行有效保护。
所谓应用入侵防护系统AIP,是用来保护特定应用服务(如web和数据库等应用)的网络设备,通常部署在应用服务器之前,通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。
在对应用层的攻击中,大部分时通过HTTP协议(80端口)进行。在国外权威机构的一次网络安全评估过程中发现,97%的web站点存在一定应用协议问题。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范,但其应用层的漏洞仍可被利用进而受到入侵和攻击。因此对于web等应用协议,应用入侵防护系统AIP应用比较广泛。通过制订合理的安全策略,AIP能够对以下类型的web攻击进行有效防范:
恶意脚本 Cookie投毒 隐藏域修改 缓存溢出 参数篡改 强制浏览 Sql插入 已知漏洞攻击
应用入侵防护技术近两年刚刚出现,但发展迅速。Yankee Group预测在未来的五年里, AIP将和防火墙,入侵检测和反病毒等安全技术一起,成为网络安全整体解决方案的一个重要组成部分。
千兆解决方案
应用入侵防护产品在保护企业业务流程和相关数据方面发挥着日益重要的作用,同时随着网络带宽的不断增加,只有在适合千兆环境应用的高性能产品才能够满足大型网络的需要。
传统的软件形式的应用入侵防护产品受性能的限制,只能应用在中小型网络中;基于x86架构的硬件产品无法达到千兆流量的要求;近年来,网络处理器(NP)在千兆环境中得到了日益广泛的应用,但NP的优势主要在于网络层以下的包处理上,若进行内容处理则会导致性能的下降。
通过高性能内容处理芯片和网络处理芯片相结合形式,为千兆应用入侵防护产品提供了由于的解决方案。其设计特点是采用不同的处理器实现各自独立的功能,由网络处理芯片实现网络层和传输层以下的协议栈处理,通过高速内容处理芯片进行应用层的协议分析和内容检查。从而实现了千兆流量线速转发和高速内容处理的完美结合,真正能够为用户提供千兆高性能的应用防护解决方案。
在上面系统框架中,包处理引擎收到数据包后,首先由网络处理器进行传输层以下的协议栈处理,并将数据包还原成数据流。接下来由内容处理器对数据流进行应用协议处理,根据控制器设定的安全策略对各种应用攻击进行检测和过滤。只有符合安全策略要求的数据流才会被发送到服务器,攻击包则被丢弃。
在高性能的千兆解决方案中,能够实现网络层到应用层的多层次立体防护体系。对于面向大型web应用,产品通过多种功能的集成实现有效的应用防护:
Web应用入侵防护。通过系统内置的网络内容处理芯片,对web请求和回应流量进行细致的分析。根据内置的规则及启发式的安全策略,有效防范各种针对web应用的攻击行为。
DOS攻击的防护。系统通过网络处理芯片,对Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、Ping Sweep等网络层的拒绝服务攻击进行过滤的防范,有效保护服务器。
访问控制。通过硬件的ACL匹配算法,系统能够在实现线速转发的同时对数据包进行实时的访问控制。
中科网威在新一代千兆应用入侵防护产品设计中采用了上述解决方案,实现了千兆流量下的线速处理。系统以透明模式接入网络,在增强安全性的同时,网络性能不会受到任何影响,真正实现了应用层内容处理和千兆高性能的完美结合。
网站服务器被攻击,需要找专业的公司来进行安全维护,要给领导写个报告,那个报告怎么写,有模版最好。
估计事还是不大,大就不用写报告了,你就写个 服务器安全维护申请报告, 写上出现的问题,后面在写上需要专业的服务器安全维护公司来进行系统安全设置维护,就完事了。不过被攻击你找安全公司也阻止不了啊,攻击的不是他们啊,一般装个软件防火墙,或者硬件防火墙就行了。要是网站由漏洞那就是找做网站的给网站修补漏洞。
请问《局域网安全探讨》毕业论文的开题报告怎么写?可以直接发我邮箱,分可以追加很多很多的!感谢!
浅谈校园网安全控制策略 [摘要]数字化大学已成为当前各高校信息化建设发展的主要目标。校园网络作为信息化建设的主要载体,校园网络安全已经成为当前各高校网络建设中不可忽视的首要问题。文章基于当前高校网络安全的现状及特点,提出相应的控制策略。 [关键词]网络;安全策略;数据;访问 1引 言 随着我国经济与科技的不断发展,教育信息化、校园网络化作为网络时代的教育方式和环境,已经成为教育发展的方向。随着各高校网络规模的急剧膨胀,网络用户的快速增长,校园网安全问题已经成为当前各高校网络建设中不可忽视的首要问题。 2目前高校校园网络的安全现状 2.1操作系统的安全问题 目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。 2.2病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响高校校园网络安全的主要因素。 2.3黑客 在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。 2.4口令入侵 为管理和计费的方便,一般来说,学校为每个上网的老师和学生分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人,用不正常的手段窃取别人的口令,造成了费用管理的混乱。 2.5非正常途径访问或内部破坏 在高校中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据;一些学生通过非正常的手段获取习题的答案或在考前获得考试内容,使正常的教学练习失去意义。这些安全隐患都严重地破坏了学校的管理秩序。 2.6不良信息的传播 在校园网接入Internet后,师生都可以通过校园网络在自己的电脑上进入Internet。目前Internet上各种信息良莠不齐,有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反了人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非常大。 2.7设备受损 设备破坏主要是指对网络硬件设备的破坏。校园网络涉及的设备分布在整个校园内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成校园网络全部或部分瘫痪的严重后果。 2.8敏感服务器使用的受限 由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与校园网络物理隔离,使得应用软件不能发挥真正的作用。 2.9技术之外的问题 校园网是一个比较特殊的网络环境。随着校园网络规模的扩大,目前,大多数高校基本实现了教学科研办公上网,学生宿舍、教师家庭上网。由于上网地点的扩大,使得网络监管更是难上加难。由于高校部分学生对网络知识很感兴趣,而且具有相当高的专业知识水平,有的研究生甚至研究方向就是网络安全,攻击校园网就成了他们表现才华,实践自己所学知识的首选。其次,许多教师和学生的计算机网络安全意识薄弱、安全知识缺乏。学校的规章制度还不够完善,还不能够有效的规范和约束学生、教工的上网行为。3 校园网络安全策略 安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。 3.1 物理安全策略 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面: 3.1.1 环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。 3.1.2 设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。 3.2 访问控制策略。访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。 3.2.1 入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。 3.2.2 网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源; 可以指定用户对这些文件、目录、设备能够执行哪些操作。 3.2.3目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效, 用户还可进一步指定对目录下的子目录和文件的权限。 3.2.4 属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。 3.2.5网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台, 以防止非法用户修改、删除重要信息或破坏数据; 可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。 3.2.6网络监测和锁定控制。网络管理员应对网络实施监控, 服务器应记录用户对网络资源的访问, 对非法的网络访问, 服务器应以图形或文字或声音等形式报警, 以引起网络管理员的注意。如果不法之徒试图进入网络, 网络服务器应会自动记录企图尝试进入网络的次数, 如果非法访问的次数达到设定数值, 那么该账户将被自动锁定。 3.2.7 网络端口和节点的安全控制。端口是虚拟的“门户”, 信息通过它进入和驻留于计算机中, 网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户, 静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制, 用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器) 。在对用户的身份进行验证之后,才允许用户进入用户端。然后, 用户端和服务器端再进行相互验证。 3.3 防火墙控制策略 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施, 它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用) , 用来限制外部非法(未经许可) 用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入, 防止偷窃或起破坏作用的恶意攻击。 3.4 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全;端点加密是对源端用户到目的端用户的数据提供保护; 节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实施。多数情况下, 信息加密是保证信息机密性的唯一方法。 3.5网络入侵检测技术 试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(IntrusionDeteetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。 3.6备份和镜像技术 用备份和镜像技术提高完整性。备份技术是最常用的提高数据完整性的措施,它是指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。 3.7有害信息的过滤 对于校园网络,由于使用人群的特定性,必须要对网络的有害信息加以过滤,防止一些色情、暴力和反动信息危害学生的身心健康,必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。 3.8网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持, 在网络安全中, 除采用技术措施之外, 加强网络的安全管理, 制定有关的规章制度, 对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度; 制定网络系统的维护制度和应急措施等。 4结 语 校园网络的安全问题,不仅是设备,技术的问题,更是管理的问题。对于校园网络的管理人员来讲,一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,而且更需要制定一套完整的规章制度来规范上网人员的行为。 【参考文献】 谢希仁.计算机网络[M].辽宁:大连理工大学出版社,2000
关于计算机网络安全的论文!急!!!!!!!
1、论文题目:要求准确、简练、醒目、新颖。
2、目录:目录是论文中主要段落的简表。(短篇论文不必列目录)
3、提要:是文章主要内容的摘录,要求短、精、完整。字数少可几十字,多不超过三百字为宜。
4、关键词或主题词:关键词是从论文的题名、提要和正文中选取出来的,是对表述论文的中心内容有实质意义的词汇。关键词是用作机系统标引论文内容特征的词语,便于信息系统汇集,以供读者检索。
每篇论文一般选取3-8个词汇作为关键词,另起一行,排在“提要”的左下方。
主题词是经过规范化的词,在确定主题词时,要对论文进行主题,依照标引和组配规则转换成主题词表中的规范词语。
5、论文正文:
(1)引言:引言又称前言、序言和导言,用在论文的开头。
引言一般要概括地写出作者意图,说明选题的目的和意义,
并指出论文写作的范围。引言要短小精悍、紧扣主题。
〈2)论文正文:正文是论文的主体,正文应包括论点、论据、
论证过程和结论。主体部分包括以下内容:
a.提出-论点;
b.分析问题-论据和论证;
c.解决问题-论证与步骤;
d.结论。
6、一篇论文的参考文献是将论文在和写作中可参考或引证的主要文献资料,列于论文的末尾。参考文献应另起一页,标注方式按《GB7714-87文后参考文献著录规则》进行。
中文:标题--作者--出版物信息(版地、版者、版期):作者--标题--出版物信息所列参考文献的要求是:
(1)所列参考文献应是正式出版物,以便读者考证。
(2)所列举的参考文献要标明序号、著作或文章的标题、作者、出版物信息。
写一篇3千字左右的异常入侵检测方法的小论文
2: 入侵检测系统(IDS)概念
1980年,James P.Anderson 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部渗透、内部渗透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年Dorothy E.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor)。自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。
入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
3: 入侵检测系统模型
美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件:
事件产生器(Event Generators)
事件分析器(Event analyzers)
响应单元(Response units)
事件数据库(Event databases)
它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
4: 入侵检测系统的分类
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“代理”的方法,代理进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
5: IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
6: IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主代理方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。