分享到:

3.5 网络入侵检测引擎

检测引擎是“魔法发生”之处。基于网络的检测引擎处理一系列具有序列号的TCP/IP分组,以便检测预先确定的序列号及模式(pattern)。这些模式就是标志 (signature)。可以从提高检测速度、可配置性两方面出发,以多种方式来实现引擎。网络标志大多数网络标志 (network signature) 是基于分组内容的,所以被称为分组内容标志(packet content signature)。也可以从分组首部及通信量的流向来检测模式,这样的话,检查分组内容的需求就减少了。... (本文共2629字) 阅读全文>>

相关文献

网络入侵检测系统检测引擎的设计

科技情报开发与经济
科技情报开发与经济

1网络入侵检测系统模型随着计算机网络技术的发展,单独地依靠主机审计信息进行入侵检测难以适应网络安全需求。人们提出了基于网络入侵检测系统的体系结构,这种检测系统根据网络的流量,网络数据包和协议来分析检测入侵,其基本原理见图1。第六步:直到每一个攻击特征都匹配完。这种单纯的模式匹配方法存在以下几个问题:(1)计算量大。对于一个特定网络的每秒需要比较的最大次数估算攻击特征字节数×网络数据包字节数×每秒数据包数量×攻击特征数量如果攻击特征平均长度为10b,网络数据包平均长度为30b,30数据包/s,特征库中有2000条特征,那么,每秒比较的次数大约为:10×30×30000×2000=18000000000(2)检测准确性低。简单的模式匹配只能检测特定类型的攻击,击特征微小的变形都将使得检测失败。例如,对于Web服务器GET/cgi-bin/phfHEAD/cgi-bin/phfGET//cgi-bin/phfGET/cgi-bin/f... (本文共2页) 阅读全文>>

网络入侵检测系统预先决策检测引擎研究

浙江大学学报(工学版)
浙江大学学报(工学版)

网络入侵检测系统(network intrusion detec-tion system,NIDS)的数据源主要是网络中的数据流,通过采集网络中的数据包,提取其特征并与己知知识库中的攻击模式相比较,并进行检测.按照检测方法的不同,可以分为基于特征的NIDS和基于异常的NIDS.基于特征的NIDS根据已知的攻击方法,预先定义入侵模式,通过判断这些模式是否在当前网络数据中出现来侦测入侵.入侵模式的描述是对有害数据包在通信协议、端口号、TCP标志位、载荷中包含的字串模式等方面特征的刻划.NIDS中的虚警是指:NIDS产生的警报中所指的入侵行为,对目标系统不构成任何威胁.例如,当NIDS产生了红色代码攻击(Code Red)警报时,如果攻击目标是运行于Linux上的Apache服务器,则这条报警显然属于虚警,因为红色代码攻击只能对微软的服务器起作用.大量没有价值的虚警存在使得基于特征的NIDS可用性大大下降.针对这一问题,有多种不同的解... (本文共4页) 阅读全文>>