这是入侵检测历史上的又一力作,入侵检测领域的研究工作由此开始广泛地展开,关于入侵检测的首次专题研讨会也于同年由SRI公司召开。改进后的IDES模型采用了异常入侵检测技术,至此,入侵检测技术两大阵营都登上了历史的舞台,分别是:误用入侵检测技术和异常入侵检测技术。1996年,美国新墨西哥大学的Forrest小组提出了基于计算机免疫学的入侵检测技术。......
2023-10-18
分布式入侵检测技术实现-《计算机网络与信息安全》
【摘要】:与传统的单机IDS相比,分布式入侵检测系统具有明显的优势。到目前为止,已经提出了多种分布式入侵检测技术的实现方法。Snortnet是基于模式匹配的分布式入侵检测系统的一个具体实现。但由于其检测能力仍然依赖于单机IDS,只是在系统的通信和管理能力上进行了改进,因此并没有体现出分布式入侵检测的真正优势。
与传统的单机IDS相比,分布式入侵检测系统具有明显的优势。然而,在实现分布检测组件的信息共享和协作上却存在很多技术上的难点,如分布式的事件产生和存储问题、知识库的分布式环境下的管理问题、分布式环境下安全审计数据的处理问题等。尽管分布式入侵检测技术存在技术上和其他层面上的困难,但由于其相对单机IDS所具有的优势,目前已经成为入侵检测领域的热点问题。到目前为止,已经提出了多种分布式入侵检测技术的实现方法。
(一)Snortnet
Snortnet是在原理和具体实现上最为简单的一种方式,通过对传统的单机IDS进行大规模的扩展,使系统具备分布式检测的能力。典型代表是由Kyrgyz Russian Slavic大学的Yarochkin Fyodor所提出的Snortnet。Snortnet是基于模式匹配的分布式入侵检测系统的一个具体实现。系统包括3个主要组件:网络传感器、代理守护程序和监视控制台。采用这种方式构建分布式入侵检测系统,其特点是原理简单,系统实现也非常方便,因此作为商业化产品是比较适合的。但由于其检测能力仍然依赖于单机IDS,只是在系统的通信和管理能力上进行了改进,因此并没有体现出分布式入侵检测的真正优势。
(二)Agent-Based分布式入侵检测
基于Agent的IDS由于其良好的灵活性和扩展性,成为分布式入侵检测的一个重要研究方向。国外一些研究机构在这方面已经做了大量工作,其中以Purdue大学的入侵检测自治代理AAFID(Autonomous Agents for Intrusion Detection)和SRI的EMERALD(Event Monitoring Enabling Response to Anomalous Live Disturbances)最具代表性。
AAFID的体系结构是一个基于代理的分层顺序控制和报告结构。一台主机上可驻留任意数量的代理,收发器负责监控运行在主机上的所有代理,向其发送开始、停止和重新配置命令,并对代理收集的信息执行数据精简,然后向一个或多个监视器及上一级分层报告结果。由于AAFID的体系结构允许冗余接收器的汇报,因此个别监视器的失效并不影响入侵检测系统的性能。监视器具有监控整个网络数据的能力,并可以对接收器的结果执行高级聚合,系统提供的用户接口可用于管理员输入控制监视器的命令。
使用分布式代理方法进行入侵检测的另一个系统是SRI研制开发的EMERALD系统,该系统在形式和功能上与AAFID自动代理相似,其中心组件是EMERLD服务监控器,监控器以可编程方式部署在主机上执行不同的功能。由于EMERALD将语义从分析和响应逻辑中分离出来,因此在整个网络上更易集成,具有在不同抽象层次上进行分析的重要能力,这体现了现代入侵检测系统的一个重要特征,即协作性。(www.chuimin.cn)
(三)DIDS
DIDS是由加州大学戴维斯分校的Security Lab完成的,它集成了两种已有的入侵检测系统:Haystack和NSM。前者由Tractor Applied Sciences and Haystack实验室针对多用户主机的检测任务而开发,数据源来自主机的系统日志。NSM则是由加州大学戴维斯分校开发的网络安全监视器,通过对数据包、连接记录和应用层会话的分析,结合入侵特征库和正常网络流或会话记录的模式库,判断当前的网络行为是否包含入侵或异常。DIDS综合了两者的功能,并在系统结构和检测技术上进行了改进。DIDS由主机监视器、局域网监视器和控制器3个组件组成,其中控制器是系统的核心组件,采用基于规则的专家系统作为分析引擎。另外,DIDS系统还提供了一种基于主机的追踪机制,凡是在DIDS监测下的主机都能够记录用户的活动,并且将记录发往中心计算节点进行分析,因此DIDS具有在自己监测网络下的入侵追踪能力。DIDS虽然在结构上引入了分布式的数据采集和部分的数据分析,但其核心分析功能仍然由单一的中心控制器来完成,因此并不是完全意义上的分布式入侵检测。其入侵追踪功能的实现也要求追踪范围在系统的监控网络之内,显然在Internet范围内大规模地部署这样的检测系统是不现实的。
(四)GrIDS
GrIDS同样由UC Davis提出并实现,该系统实现了一种在大规模网络中使用图形化表示的方法来描述网络行为的途径,其设计目标主要针对大范围的网络攻击,如扫描、协同攻击和网络蠕虫等。GrIDS的缺陷在于只是给出了网络连接的图形化表示,具体的入侵判断仍然需要人工完成,而且系统的有效性和效率都有待验证和提高。
(五)数据融合
Timm Bass提出将数据融合(Data Fusion)的概念应用到入侵检测中,从而将分布式入侵检测任务理解为在层次化模型下对多个感应器的数据综合问题。在这个层次化的模型中,入侵检测的数据源经历了从数据到信息再到知识3个逻辑抽象层次。入侵检测数据融合的重点在于使用已知的入侵检测模板和模式识别,这与数据挖掘不同,数据挖掘注重于发掘先前未发现的入侵中隐藏的模式,以帮助发现新的检测模板。
有关计算机网络与信息安全的文章
- 详细阅读
-
计算机网络与信息安全:入侵检测系统发展趋势详细阅读
目前入侵检测分析方法主要有统计分析、模式匹配、数据重组、协议分析、行为分析等。但由于目前算法处理和规则制定的难度很大,还不是非常成熟,但却是入侵检测技术发展的趋势。(二)内容恢复和网络审计功能的引入入侵检测的最高境界是行为分析。所以,入侵检测产品集成网管功能,扫描器、嗅探器等功能是以后研究发展的重要方向。......
2023-10-18
-
分布式入侵检测的优势详细阅读
分布式入侵检测系统各个检测组件针对不同数据来源,可以是网络数据包、主机审计记录、系统日志,也可以是特定应用程序的日志,甚至还可以是一些通过人工方式输入的审计数据。(四)协调响应措施由于分布式入侵检测系统的各个检测组件分布于受监控网络的各个位置,一旦系统检测到攻击行为,可以根据攻击数据包在网络中经过的物理路径采取相应的措施,如封锁攻击方的网络通路、入侵来源追踪等。......
2023-10-18
-
计算机网络与信息安全:入侵检测系统模型详细阅读
为了更好地研究入侵检测系统,人们将其各个组成部分抽象出来,形成各种入侵检测模型。模型中,入侵检测系统分为4个基本组件,即事件产生器、事件分析器、响应单元和事件数据库。其中的事件是指入侵检测系统需要分析的数据。如果入侵检测系统也能够像攻击者那样合作,就有可能检测到。......
2023-10-18
-
常用入侵检测系统介绍-《计算机网络与信息安全详细阅读
(一)Snort入侵检测系统Snort系统是一个以开放源代码形式发行的网络入侵检测系统,由Martin Roesch编写,并由遍布世界各地的众多程序员共同维护和升级。Snort不仅是一个网络入侵检测系统,还可以作为网络数据包分析器和记录器来使用。网络入侵检测系统网络入侵检测系统模式是Snort的最主要功能。(二)OSSEC HIDSOSSEC HIDS是一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查,Windows注册表监视、Rootkit检测、实时警告及动态的适时响应。......
2023-10-18
-
计算机入侵检测系统性能指标在《计算机网络与信详细阅读
(一)事件数量考察IDS系统的一个关键性指标是报警事件的多少。一般而言,事件越多,表明IDS系统处理的能力越强。目前的IDS系统都具有2000个以上的事件分析产生能力。对目前的IDS系统,数据加密已经是系统必备的功能。目前,大多数商用IDS系统都提供可定义事件,但很少提供事件的可定义性。积极响应是指IDS系统自动地对该网络行为进行干预,阻止其进一步的行为。IDS系统上报的各种事件,从本质......
2023-10-18
-
计算机网络与信息安全技术详细阅读
链路加密的目的是保护网络节点之间的链路信息安全;端到端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。因此认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。......
2023-10-18
-
当前入侵检测系统问题与解决措施详细阅读
入侵检测系统在信息安全中有着重要的作用,但在国内的应用还远远没有普及。目前的入侵检测产品大多存在以下问题。和误报相对应的是漏报情况,随着攻击方法的不断更新,入侵检测系统能否检测出网络中存在的所有攻击也是一个重要的难题。(三)被动分析与主动发现的矛盾入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。......
2023-10-18
相关推荐