与传统的单机IDS相比,分布式入侵检测系统具有明显的优势。到目前为止,已经提出了多种分布式入侵检测技术的实现方法。Snortnet是基于模式匹配的分布式入侵检测系统的一个具体实现。但由于其检测能力仍然依赖于单机IDS,只是在系统的通信和管理能力上进行了改进,因此并没有体现出分布式入侵检测的真正优势。......
2023-10-18
分布式入侵检测由于采用了非集中式的系统结构和处理方式,相对于传统的单机IDS具有一些明显的优势。
(一)检测大范围的攻击行为
传统的基于主机的入侵检测系统只能通过检查系统日志和审计记录来对单个主机的行为或状态进行监测,即使是采用网络数据源的入侵检测系统,也仅在单个网段内有效。对于一些针对多主机、多网段和多管理域的攻击行为,如大范围的脆弱性扫描或拒绝服务攻击,由于不能在检测系统之间实现信息交互,通常无法完成准确和高效的检测任务。
分布式入侵检测通过各个检测组件之间的相互协作,可以有效克服这一缺陷。
(二)提高检测的准确度
不同的入侵检测数据源反映的是系统不同位置、不同角度、不同层次的运行特性,可以是系统日志、审计记录或网络数据包等。传统的入侵检测系统为了简化检测过程和算法复杂度,通常采用单一类型的数据源。这虽然可以提高系统的检测效率,但是也导致了检测系统输入数据的不完备。另外,检测引擎如果采用单一的算法进行数据分析,同样可能导致分析结果不准确。(www.chuimin.cn)
分布式入侵检测系统各个检测组件针对不同数据来源,可以是网络数据包、主机审计记录、系统日志,也可以是特定应用程序的日志,甚至还可以是一些通过人工方式输入的审计数据。各个检测组件所使用的检测算法也不是固定的,有模式匹配、状态分析、统计分析和量化分析等,可以分别应用于不同的检测组件。系统通过对各个组件报告的入侵或异常特征,进行相关分析,可以得出更为准确的判断结果。
(三)提高检测效率
分布式入侵检测实现了针对安全审计数据的分布式存储和分布式计算,相对于单机数据分析的入侵检测系统来说,这将不再依赖系统中唯一的计算资源和存储资源,可以有效地提高系统的检测效率,减少入侵发现时间。
(四)协调响应措施
由于分布式入侵检测系统的各个检测组件分布于受监控网络的各个位置,一旦系统检测到攻击行为,可以根据攻击数据包在网络中经过的物理路径采取相应的措施,如封锁攻击方的网络通路、入侵来源追踪等。即使攻击者使用网络跳转的方式隐藏真实的IP地址,在检测系统的监控范围内通过对事件数据进行相关和聚合,仍然有可能追查到攻击者的真实来源。
有关计算机网络与信息安全的文章
与传统的单机IDS相比,分布式入侵检测系统具有明显的优势。到目前为止,已经提出了多种分布式入侵检测技术的实现方法。Snortnet是基于模式匹配的分布式入侵检测系统的一个具体实现。但由于其检测能力仍然依赖于单机IDS,只是在系统的通信和管理能力上进行了改进,因此并没有体现出分布式入侵检测的真正优势。......
2023-10-18
入侵检测系统在信息安全中有着重要的作用,但在国内的应用还远远没有普及。目前的入侵检测产品大多存在以下问题。和误报相对应的是漏报情况,随着攻击方法的不断更新,入侵检测系统能否检测出网络中存在的所有攻击也是一个重要的难题。(三)被动分析与主动发现的矛盾入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。......
2023-10-18
入侵检测系统是指用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种软硬件系统。另外,全面部署主机入侵检测系统代价较大,任何企业都无法将所有主机用主机入侵检测系统保护,只能选择其中的一部分。此时,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报,甚至切断网络连接。......
2023-10-18
IDS在结构上可划分为数据收集和数据分析两部分。如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。集中式数据收集:检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。就检测入侵行为而言,直接监控要优于间接监控,由于直接监控操作的复杂性,目前的IDS产品中只有不足20%使用了直接监控机制。......
2023-10-18
因而,分布式发电系统与环境的相容性较好,可以减轻能源供应的环保压力。因而,分布式发电系统具有很高的能源利用效率,综合利用率可达70%~90%。通过DG系统对敏感设施单独供电,还可有效增强配电系统对于外部威胁和隐藏的不可预测故障的抵御能力,减少大范围停电发生的概率。......
2023-06-23
这是入侵检测历史上的又一力作,入侵检测领域的研究工作由此开始广泛地展开,关于入侵检测的首次专题研讨会也于同年由SRI公司召开。改进后的IDES模型采用了异常入侵检测技术,至此,入侵检测技术两大阵营都登上了历史的舞台,分别是:误用入侵检测技术和异常入侵检测技术。1996年,美国新墨西哥大学的Forrest小组提出了基于计算机免疫学的入侵检测技术。......
2023-10-18
在超声波检测中,除了常用的纵波直探头、横波斜探头和双晶探头外,还有多种特殊探头供选用。图13-24所示为超声波检测用典型直探头和斜探头。与常规的脉冲回声检测技术相比,TOFD的缺陷检测与缺陷的方向无关。6TOFD检测系统易于搬运。TOFD应用于在役检测,具有其独特优势,比RT检测更加灵活方便,比超声波检测更加准确。TOFD设备相对比较贵,对操作者的要求比较高,超声二级以上人员才能考TOFD检测资质。......
2023-07-02
反过来,更加成熟和完善的区块链系统,则可以帮助人工智能实现分布式智能。分布式智能是人工智能未来的发展趋势。正常状态下,这个分布式智能电力网络系统,可以根据不同区域的用电高峰与低谷,智能化调节电力的输送与储存,大幅提高用电效率,减少浪费。从这个案例中,我们能够总结出分布式智能的两个优势:一是提高资源分配效率,二是抗风险与协同应急能力。......
2023-07-02
相关推荐