下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、入侵检测与防御1背景随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,巳经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统,IntrusionDetectionSystem)能够帮助网络系统快速发现网络攻击的发生。扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。但是由于IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。因此,人们迫切地需要找到
2、一种主动入侵防护解决方案,以确保企业网络在威胁四起的环境下正常运行。作为一种新的安全理念,IPS(入侵防御系统,IntrusionPreventionSystem)主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断,这样攻击包将无法到达目标,从而可以从根本上避免罴客的攻击。2入侵检测系统IDS原理一个入侵检测系统可以分为四个部分:事件产生器(Eventgenerators)负贲收集网络安全事件;事件分析器(Eventanalyzer)负责对收集来的数据按照既定的安全策略进行分析,得出结论;响应单元(Responseuni
3、ts)按照既定的安全策略,参照分析器得出的事件结论,对网络事件进行处理(通知管理员或操作员);事件数据库(Eventdatabases)负责存储网络事件,便于事后分析,它可以是复杂的数据库,也可以是简单的文本文件。其模型如图所示:原爭件来源图1.CIDF模型图CIDF将入侵检测系统需要分析的数据统称为事件它可以是网络中的数据包也可以是从系统日志等其它途径得到的信息事件产生器是从整个计算环境中获得事件并向系统的其它部分提供事件事件分析器分析所得到的数据并产生分析结果响应单元对分析结果做出反应如切断网络连接改变文件属性简单报警等应急响应事件数据库存放各种中间和最终数据数据存放的形式既可以是复杂的数
4、据库也可以是简单的文本文件。入侵检测技术入侵检测技术传统上分为两大类型:异常入侵检测anomalydetection和误用入侵检测misusedetection。异常入侵检测系指建立系统的正常模式轮廓,若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值就进行入侵报警。异常入侵检测方法的优点是不依赖于攻击特征立足于受检测的目标发现入侵行为,但是如何对检测建立异常指标,如何定义正常模式轮廓降低误报率都是难以解决的课题。误用入侵检测系指根据已知的攻击特征检测入侵可以直接检测出入侵行为,误用检测方法的优点是误报率低,可以发现已知的攻击行为,但是这种方法检测的效果取决于检测知识库的完备性,为此特
5、征库必须及时更新。IDS问题与研究趋势尽管IDS系统的研究从80年代开始,90年代受到重视,到现在已经得到了长足的发展,也涌现了很多方法,有些方法取得了很好的效果,这种动态主动的保护系统也使得IDS正成为计算机网络安全的核心研究问题,但从文章的分析中可以看出,IDS仍然是个年轻的研究领域,随着Internet技术不断发展,IDS的各个方面的从理论研究到实际应用中还存在很多的问题和难题有待研究、探索和发展。具体表现如下:(1)高速网络下,提高网络IDS的实时检测效率和降低误警率问题;(2)IDS对变形和变异已知攻击的检测和对新的攻击的检测问题;(3)IDS体系结构的融合问题,包括基于主机IDS和
6、基于网络IDS之间更好的协作问题,以及异常检测和误用检测的联合使用问题等;(4)未来优化的入侵检测系统应该能够基于事件语义分析,而不是单纯基于事件语法分析的检测;(5)智能入侵检测技术(神经网络、遗传算法、模糊识别、数据挖掘、免疫系统等)从理论研究到实际应用的问题;(6)基于大规模的信息采集和网络攻击预警技术的研究问题等。3入侵防御系统IPS原理入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。绝大多数IDS系统都是被动的,也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而入侵防护系统(IPS)则倾向于提供主动盼护,其设计宗旨是预先对入侵活动和
7、攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。璐是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在ips设备中被清除掉。IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。IPS检测机制当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer2
8、(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的口地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析。以提高
9、过滤准确性。过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不问断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于璐具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。IPS发展趋势入侵防御系统与传统的防火墙和IDS相比,确实具有更大的优势,它能够以更细粒度的方式检查网络流量,主动地对安全事件进行响应,防止各个层面的攻击事件的发生。结合目前安全技术的现状,IPS可能有以下的一些发展趋势:(1)采用专门的硬件加速系统。NIPS必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常分为三类:网络处理器、专用的FPGA可编程芯片、专门的ASIC芯片。(2)综合采用多种检测技术。为了尽可能地减少误报和漏报,IPS综合采用多种检测技术,包括模式匹配、状态匹配、协议异常、流量异常和统计异常等,取长补短,大大增强其检测能力。(3)采用冗余的体系架构。为了避免
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 采摘路径测试题及答案
- 造价员职业发展路径
- AI预测股市新方法
- 凝胶护理操作演示
- 消防安全共建校园征文
- 化工职业发展规划SWOT分析
- 买卖婚姻协议书
- 安置房屋遗嘱协议书
- 老人离婚协议书
- 初中生物八年级下册第八单元第三章了解自己增进健康教学设计
- 小升初综合试题及答案
- GB/T 47720-2026起重机械远程控制系统通用技术规范
- 2026继续教育一级消防工程师试题题(答案附后)
- 盾构渣土处理及再利用技术规程
- 2026年全国一卷高考英语读后续写深度解读及范文
- 学法减分考试常考题目题库(80题)
- 贵州省贵阳市 2024-2025学年七年级下学期期末考试英语试卷(含答案)
- 2025年军校模拟面试试题及答案
- 2025-2026学年重庆市南开中学高二下学期5月期中英语试题
- 2026四川达州市面向高校毕业生招聘园区产业发展服务专员37人笔试参考题库及答案解析
- 2025年国家铁路局直属事业单位考试真题(附答案)
评论
0/150
提交评论