分享到:

入侵检测需要协同

入侵检测是一种动态的安全防护手段,它能主动寻找入侵信号,给网络系统提供对外部攻击、内部攻击和误操作的安全保护。入侵检测分为数据采集、数据分析和响应三个部分。为了寻找入侵行为和痕迹,数据采集从网络系统的多个点进行,采集内容包括系统日志、网络数据包、重要文件以及用户活动的状态与行为等。数据分析则通过模式匹配、异常检测和完整性检测三种技术手段对采集的数据进行分析。入侵检测系统一旦发现入侵行为,立即会进入响应过程,包括日志、告警和安全控制等。$$  入侵检测系统(IDS)通常采用中心管理控制平台和检测引擎组成的分布式体系结构。中心管理控制平台基于GUI,用于配置和管理检测引擎,检测引擎分布在需要监控的网段中或安装在需要监视的主机上,执行入侵检测。根据采集数据源的不同,IDS可以分为基于网络的和基于主机的两类。从工作原理看,目前的IDS存在三点不足,一是这两类IDS采集、分析的数据不全面;二是入侵检测由各个检测引擎独立完成,中心管理控制平...  (本文共4页) 阅读全文>>

权威出处: 网络世界2001-11-12
南京理工大学
南京理工大学

基于数据挖掘的分布式网络入侵协同检测系统研究及实现

随着网络入侵形式的不断变化与多样性,传统的网络安全技术与设备已不能充分抵御网络攻击。例如,目前推出的商用分布式入侵检测系统基本是采用基于已知入侵行为规则的匹配技术,检测引擎分布在需要监控的网络中或主机上,独立进行入侵检测,入侵检测系统中心管理控制平台仅负责平台配置、检测引擎管理和各检测引擎的检测结果显示,对各检测引擎的检测数据缺乏协同分析。同时网络入侵检测系统与防火墙、防病毒软件等之间也是单兵作战,对复杂的攻击行为难以做出正确的判断。异常入侵检测技术根据使用者的行为或资源使用情况判断是否存在入侵行为,通用性较强,缺陷是误检率太高。误用检测运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测攻击,检测准确度高,但系统依赖性太强,检测范围受已知知识的局限。将数据挖掘技术应用到入侵检测系统是目前入侵检测研究的重要方向,论文讨论了基于数据挖掘的入侵检测主体技术,指出了联合使用几种数据挖掘方法和将数据挖掘与传统的误...  (本文共133页) 本文目录 | 阅读全文>>

西安电子科技大学
西安电子科技大学

IPv6的过渡方案及协同入侵检测研究

IPv6作为Internet协议的下一版本,取代IPv4已成必然。但从IPv4向IPv6的过渡不可能一蹴而就,在很长一段时间内两者会共存。所以有必要考虑如何渐进地从IPv4升级到IPv6。IPv6不是对IPv4的简单升级,由于头部特征和地址配置机制的差异,两者无法实现完全兼容。并且随着IPv6的使用和普及会出现新的不可预见的安全问题。入侵检测技术是一种动态、主动的防御手段,如何让入侵检测系统在新一代的IPv6网络上发挥它应有的防护作用,已成为人们关注的热点。本文分析了IPv6协议,重点研究了其中两项关键技术——IPv6过渡技术和IPv6下入侵检测技术;以高校为例,设计了渐进平滑过渡到IPv6的方案;给出了协同入侵检测系统的思想;并结合这种想法,在传统的入侵检测和防火墙的基础上,设计了协同入侵检测的总体框架;同时利用入侵检测开源程序Snort和防火墙开源程序iptables,设计并实现了一个Snort和iptables相协同的入侵...  (本文共77页) 本文目录 | 阅读全文>>

重庆大学
重庆大学

基于人工免疫的入侵检测模型研究

对网络恶意行为的入侵检测是当前网络安全研究的一个重要内容。现有入侵检测系统存在着检测率不高、灵活性差、不能有效识别未知攻击和规则更新滞后等缺点,借鉴生物免疫系统原理的人工免疫系统具有并行处理、自学习和自适应等特点,具有保护计算机系统不受本地或者远程非法入侵的功能,这与入侵检测系统具有天然的相似性,引起了众多网络安全专家的注意,人工免疫系统和入侵检测系统的结合开创了一个网络安全研究新热点[1-2]。本文研究目的是改善传统免疫模型的缺陷,去解决现有入侵检测系统的不足。本文深入分析研究了现有基于人工免疫原理的入侵检测系统存在的缺陷,在Hofmeyr的分布式人工免疫系统模型人工免疫系统(ARTificial Immune System,ARTIS)基础上,提出了改进的人工免疫入侵检测模型。在改进模型中,使用具有协议分析算法(基于协议分析技术)的协同刺激模块对免疫模块进行协同刺激,以及采用基于权值的分r-连续位匹配规则,使改进模型的检测率...  (本文共66页) 本文目录 | 阅读全文>>

中国人民解放军信息工程大学
中国人民解放军信息工程大学

分布式主动协同入侵检测系统研究与实践

本文的研究目的是保护大型网络免遭分布式多步骤入侵。当前的入侵检测系统通常不能很好地处理这些大型网络中部署的传感器所产生的海量数据。因为专用节点处理能力有限,也容易遭受拒绝服务攻击,所以通常会成为整个系统的性能瓶颈。为此本文设计了一个分布式主动协同入侵检测原型系统DACIDS。检测过程本身是通过协同关联节点实现的,这些节点相互协同,将分布在受害网络中多台主机上的各部分证据综合起来形成正在发生的攻击全貌。本文规范化了DACIDS中协同分析器的输入数据。DACIDS在关联入侵证据时,同等对待传感器的数据和子IDS的告警。这些数据格式多样、内容不一,系统利用分布式多步骤入侵特征语言描述的特征来检测分布式多步骤入侵时,要求协同分析器接收的数据格式一致,只有在格式一致的数据中才能方便地提取出合乎关联条件的内容。本文利用入侵检测工作组制定入侵检测消息交换格式时规范化数据的方法,修改其中的数据模型来满足DACIDS的需求。本文用统一建模语言描述...  (本文共104页) 本文目录 | 阅读全文>>

合肥工业大学
合肥工业大学

基于snort的入侵检测系统的研究与设计

防火墙(Firewall)与入侵检测系统(IDS)作为两种网络安全防护技术应用越来越广泛。防火墙通常被部署在网络的边界用于不同网络间的隔离,通过访问控制策略来允许或是拒绝数据包的通过,为网络提供静态防御功能;而入侵检测系统是通过监视网络数据包、分析用户及系统活动等手段来识别入侵行为和入侵企图,是一种动态防御技术。如何将防火墙与入侵检测系统有效结合起来协同使用,进一步提高网络系统的安全性能和防御级别,这是网络安全领域中的研究热点。本文在分析snort入侵检测系统的基础上,研究入侵检测系统与防火墙的协同使用,论文的主要工作如下:(1)对优秀的开源snort系统进行了深入的分析,讨论其检测入侵行为的实现过程,并以snort为对象进行入侵检测系统与防火墙协同使用的研究。(2)对网络中同时部署防火墙与入侵检测系统进行了讨论,分析两者在网络安全系统中各自作用和特点,并通过脚本程序实现将IDS检测到的入侵报警信息自动生成防火墙的过滤策略,及时...  (本文共57页) 本文目录 | 阅读全文>>