入侵检测技术作业2new

1、计算机入侵检测技术张兴2010210603423.1、简述入侵检测系统体系结构的发展历史，并分析引入移动Agent的效果。1980年JamesP.Anderson在给一个保密客户写的一份题为计算机安全威胁监控与监视的技术报告中指出，审计记录可以用于识别计算机误用，他给威胁进行了分类，第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型-IDES（IntrusionDetectionExpertSystems入侵检测专家系统），是第一个在一个应用中运用了统计和基于规则两

2、种技术的系统，是入侵检测研究中最有影响的一个系统。1989年，加州大学戴维斯分校的ToddHeberlein写了一篇论文ANetworkSecurityMonitor，该监控器用于捕获TCP/IP分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。常见的入侵检测系统具有如下的结构，如图所示。数据提取模块为系统提供数据，数据分析模块对数据进行深入分析，结果处理模块进行告警与相关处理。 引入移动Agent技术可从以下几个方面对传统IDS进行完善(1) 改善了容易受控于单个节点的缺陷。由于移动Agent的随机迁移和自动藏匿功能，使

3、得攻击者很难确定Agent的位置。(2) 加快响应速度。由于移动Agent的移动计算能力，大量的数据分析在叶节点就可以完成，无需回送给中央处理部件。(3) 减少网络负荷。移动Agent尽可能将计算移至数据所在地，而非将数据移至计算所在地，这样就减少了网络的负荷。(4) 自治和异步执行。移动Agent可以存在且独立于创建平台，满足了上述需要。(5) 动态适应。移动Agent系统具有对环境的感知能力并能及时响应变化，这对于入侵检测非常重要。(6) 使得系统更易扩展。无需在新近接入节点的设备上安装信息汇聚模块，只需由命令控制节点将移动Agent发送到被检测设备上即可。4.1、简述拥塞控制的若干方法，

4、及其优缺点。（1）随机早期检测算法RED（Random Early Detection）随机早期检测算法是按一定的概率丢弃进入路由器的数据包。RED的早期设计思路是避免丢弃属于同一连接的连续数据包，从而提高连接的吞吐量。通过分摊包丢失率，RED可以在各连接之间获得较好的公平性，对突发业务的适应性较强。该方法对DDoS攻击的防护作用不大，这是因为其思路是分摊包丢失率，对正常业务和攻击数据“过分公平”，不能做到有所区分，从而导致在攻击发生时大量正常业务无法得到服务。（2）显示拥塞指示算法ECN（Explicit Congestion Notification）前面两种拥塞控制算法都是通过包丢失来告

5、诉端系统，网络已经发生拥塞。而显示拥塞指示算法通过明确的拥塞提示（RFC2481）来实现拥塞控制，对一次性大批量数据传输的效果比较理想，但对时延有一定要求。该方法对防护DDoS攻击效果不大，原因在于无攻击特征识别和区分功能，在攻击发生时智能性较差。（3）公平排队算法FQ（Fair Queuing）在公平排队算法中路由器对每个输出线路都建有一个排队队列。当一条线路空闲时，路由器就来回扫描所有队列，依次将每队的第一个包发出。FQ的带宽分配独立于数据包大小，各种服务在队列中几乎是同时开始的。因此在没有牺牲统计复用的情况下提供了另外的公平性，与端到端的拥塞控制机制可以较好地协同。它的缺点在于实现起来很

6、复杂，需要每个数据流的排队处理、每个流的状态统计、数据包的分类以及包调度的额外开销等。（4）加权公平排队算法WFQ（Weighted Fair Queuing）加权公平排队算法是FQ的改进算法。根据不同数据流的不同带宽要求，对每个排队队列采用加权方法分配缓存资源，从而增加FQ对不同应用的适应性，该算法还有其它一些改进算法。该方法通过改进后可用于防护DDoS攻击，思路是首先对攻击进行检测和分类，然后将入口数据按攻击数据、正常数据、可疑数据三种类型分别排队处理，对攻击数据直接丢弃，而通过对可疑和正常数据赋予相应权值来提供不同质量的服务。（5）加权随机先期检测加权随机先期检测WRED（Weighte

7、d Random Early Detection）：是将随机先期检测与优先级排队结合起来，这种结合为高优先级分组提供了优先通信处理能力。当某个接口开始出现拥塞时，它有选择地丢弃较低优先级的通信，而不是简单地随机丢弃分组。该方法通过改进后可用于防护DDoS攻击，思路与WFQ类似，它们都符合评价标准的条件三，改进应从增加条件一和条件二着手。（6）定制排队定制排队是为允许具有不同最低带宽和延迟要求的应用程序共享网络而设计的。定制排队为不同协议分配不同的队列空间，并以循环方式处理队列，为特定的协议分配较大的队列空间可以提高其优先级，定制排队比优先级队列更为公平。定制排队可以保证每一个特定的通信类型得到

8、固定的可用带宽，同时在链路紧张的情况下，避免了数据流企图超出预分配量限制的可能。该方法通过改进后可用于防护DDoS攻击，改进思路与WFQ和WRED类似，都是在资源分配和使用时为不同业务提供优先级加权。5.1、请常见的自相似数据业务模型的分类情况和各自特点。常见的自相似数据业务模型分为单源和聚合源两种。其中单源模型有：Pareto分布、对数正态分布；聚合源模型有：ONOFF模型、分形布朗运动模型、分形高斯噪声模型、分形ARIMA过程模型。（1）单源模型 Pareto分布模型Pareto分布是带有两个系数的幂函数，即形状系数和下端截止系数（如随机变量x的最小值）。Pareto的累计分布函数（cum

9、ulative distribution function）为： 概率密度函数为： 均值为 1时分布具有无限均值12时分布具有有限均值和无限方差2时分布具有无限方差Pareto分布在物理学和社会学等领域有着广泛的应用。 对数正态分布模型如果随机变量Y =logX具有正态分布，那么X就具有对数正态分布。该分布有2个系数，即ln(x)的均值(0)和ln(x)的标准差(0)。当0x，对数正态分布的累计分布函为：对数正态分布应用于大量领域如衰退建模分析中的实验设计、多因子模型中的误差分析等。（2）聚合源模型 ON-OFF模型该方法最早由研究经济的Mandelbrot基于更新补偿过程（Renewal-r

10、ewardsProcesses）提出，后来由W.Willinger，M.Taqqu，R.Sherman和D.Wilson在研究远程传输时做了改进。聚合数据流通过叠加大量各自独立的ON/OFF源(Renewal-reward Processes)获得，这些ON/OFF源各自以特定时间间隔在不同状态间切换。这些ON/OFF源在0和1之间振荡时聚合数据流将会呈现自相似特性，并且这些振荡时间间隔符合重尾分布（Heavy-tailed Distribution），例如12的Pareto分布。或者说，大量ON/OFF源叠加所表现的无限方差现象（诺亚效应）导致了自相似聚合数据流在源数目不断增大时（约瑟夫效应

11、）逼近分形布朗运动。此时Hurst系数H=(3-)/2。流模型提供了以太网自相似性的直观概念，联入以太网的某台主机可以被看作一个ON/OFF源。当它在网络上通讯时为状态1，当未通讯时为状态0。而以太网自相似性就是若干这样的主机叠加的结果。 分形布朗运动模型分形布朗运动模型FBM，最初由Mandelbrot和Van Ness在1968年作为布朗运动BM（Brownian Motion）的一般化引入。布朗过程B(t)是一个具有独立高斯增量的随机函数，增量过程的期望值为0。方差与时间差成比例：FBM模型被广泛的用于分析和模拟具有自相似特性流量的场合，特别是系统级的模拟数据流。 分形高斯噪声模型这一过程由Mandelbrot和Van Ness在1968年引入。FGN是一个高斯分布过程，均值为，标准差为，均值平方增量的方差与时间差成比例。同时，自相关函数为： 当0.5H1时，FGN具有严格自相似。 分形A