電子論文價(jià)格淺析入侵檢測系統(tǒng)

　　本篇文章是由《電子設(shè)計(jì)技術(shù)》發(fā)表的電子論文，(月刊)創(chuàng)刊于1994年，由中國電子報(bào)社主辦。 本刊辦刊宗旨：成為中國電子設(shè)計(jì)業(yè)主導(dǎo)刊物，讀者：電子設(shè)計(jì)業(yè)工程師及技術(shù)管理人員。榮獲2001年獲信息產(chǎn)業(yè)部1999-2000年度電子科技期刊出版質(zhì)量獎(jiǎng)、2004年獲信息產(chǎn)業(yè)部2003-2004年度電子科技期刊報(bào)道選題獎(jiǎng)。

　　引言

　　近年來，隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治、經(jīng)濟(jì)或者軍事利益的驅(qū)動(dòng)，計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，非凡是各種官方機(jī)構(gòu)的網(wǎng)站，成為黑客攻擊的熱門目標(biāo)。近年來對(duì)電子商務(wù)的熱切需求，更加激化了這種入侵事件的增長趨向。由于防火墻只防外不防內(nèi)，并且很輕易被繞過，所以僅僅依靠防火墻的計(jì)算機(jī)系統(tǒng)已經(jīng)不能對(duì)付日益猖獗的入侵行為，對(duì)付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。

　　1 入侵檢測系統(tǒng)(IDS)概念

　　1980年，James P.Anderson 第一次系統(tǒng)闡述了入侵檢測的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1。即其之后,1986年Dorothy E.Denning提出實(shí)時(shí)異常檢測的概念[2并建立了第一個(gè)實(shí)時(shí)入侵檢測模型，命名為入侵檢測專家系統(tǒng)(IDES)，1990年，L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)，NSM(Network Security Monitor)。自此之后，入侵檢測系統(tǒng)才真正發(fā)展起來。

　　Anderson將入侵嘗試或威脅定義為摘要：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為[4摘要：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體(如“黑客”)或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測任務(wù)的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為摘要：檢測企圖破壞計(jì)算機(jī)資源的完整性，真實(shí)性和可用性的行為的軟件。

　　入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括[3摘要：監(jiān)視、分析用戶及系統(tǒng)活動(dòng);審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警;統(tǒng)計(jì)分析異常行為模式;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反平安策略的行為。入侵檢測一般分為三個(gè)步驟摘要：信息收集、數(shù)據(jù)分析、響應(yīng)。

　　入侵檢測的目的摘要：(1)識(shí)別入侵者;(2)識(shí)別入侵行為;(3)檢測和監(jiān)視以實(shí)施的入侵行為;(4)為對(duì)抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大;

　　2 入侵檢測系統(tǒng)模型

　　美國斯坦福國際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2，該模型的檢測方法就是建立用戶正常行為的描述模型，并以此同當(dāng)前用戶活動(dòng)的審計(jì)記錄進(jìn)行比較，假如有較大偏差，則表示有異�；顒�(dòng)發(fā)生。這是一種基于統(tǒng)計(jì)的檢測方法。隨著技術(shù)的發(fā)展，后來人們又提出了基于規(guī)則的檢測方法。結(jié)合這兩種方法的優(yōu)點(diǎn)，人們?cè)O(shè)計(jì)出很多入侵檢測的模型。通用入侵檢測構(gòu)架(Common Intrusion Detection Framework簡稱CIDF)組織，試圖將現(xiàn)有的入侵檢測系統(tǒng)標(biāo)準(zhǔn)化，CIDF闡述了一個(gè)入侵檢測系統(tǒng)的通用模型(一般稱為CIDF模型)。它將一個(gè)入侵檢測系統(tǒng)分為以下四個(gè)組件摘要：

　　事件產(chǎn)生器(Event Generators)

　　事件分析器(Event analyzers)

　　響應(yīng)單元(Response units)

　　事件數(shù)據(jù)庫(Event databases)

　　它將需要分析的數(shù)據(jù)通稱為事件，事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱，它可以是復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件。

　　3 入侵檢測系統(tǒng)的分類摘要：

　　現(xiàn)有的IDS的分類，大都基于信息源和分析方法。為了體現(xiàn)對(duì)IDS從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性探究方面的新問題，在這里采用五類標(biāo)準(zhǔn)摘要：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。

　　按照控制策略分類

　　控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個(gè)中心節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測和報(bào)告。在部分分布式IDS中，監(jiān)控和探測是由本地的一個(gè)控制點(diǎn)控制，層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。在全分布式IDS中，監(jiān)控和探測是使用一種叫“代理”的方法，代理進(jìn)行分析并做出響應(yīng)決策。

　　按照同步技術(shù)分類

　　同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行。按照同步技術(shù)劃分，IDS劃分為間隔批任務(wù)處理型IDS和實(shí)時(shí)連續(xù)性IDS。在間隔批任務(wù)處理型IDS中，信息源是以文件的形式傳給分析器，一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。很多早期的基于主機(jī)的IDS都采用這種方案。在實(shí)時(shí)連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且馬上得到處理和反映。實(shí)時(shí)IDS是基于網(wǎng)絡(luò)IDS首選的方案。

　　按照信息源分類

　　按照信息源分類是目前最通用的劃分方法，它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS�；�于主機(jī)的IDS通過分析來自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來檢測攻擊�；�于主機(jī)的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕捉并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊。分布式IDS，能夠同時(shí)分析來自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個(gè)部件組成，采用分布式結(jié)構(gòu)。

轉(zhuǎn)載請(qǐng)注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///dzlw/4243.html