第8章 入侵檢測系統(tǒng)_第1頁
第8章 入侵檢測系統(tǒng)_第2頁
第8章 入侵檢測系統(tǒng)_第3頁
第8章 入侵檢測系統(tǒng)_第4頁
第8章 入侵檢測系統(tǒng)_第5頁
已閱讀5頁,還剩32頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第8章入侵檢測系統(tǒng)教學(xué)提示:入侵檢測技術(shù)是實現(xiàn)安全監(jiān)視的技術(shù),是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力。完善的入侵檢測系統(tǒng)包含了非常復(fù)雜的技術(shù),本章的教學(xué)不是討論入侵檢測的細節(jié)內(nèi)容,也不深入講解過于深奧的理論,而是強調(diào)學(xué)生概括掌握入侵檢測技術(shù)的基本概念、原理、功能和發(fā)展動態(tài),以使學(xué)生在將來的工作中知道入侵檢測系統(tǒng)在構(gòu)建完整的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)方面的重要意義,以對設(shè)備的選型有充分的理論依據(jù)。教學(xué)目標(biāo):本章的重點是掌握入侵檢測的概念、功能、工作原理、分類方法和主要類型,以及入侵檢測技術(shù)的發(fā)展方向。

8.1入侵檢測系統(tǒng)概述多數(shù)用戶在設(shè)計網(wǎng)絡(luò)安全防護系統(tǒng)時,往往只考慮到已知的安全威脅與有限范圍內(nèi)的未知安全威脅。防護技術(shù)只能做到盡量阻止攻擊企圖的得逞或者延緩這個過程,而不能阻止各種攻擊事件的發(fā)生。同時在安全系統(tǒng)的實現(xiàn)過程中,還有可能留下或多或少的漏洞,這些都需要在運行過程中通過檢測手段的引入來加以彌補。如果與真實世界相比,防火墻等技術(shù)就像是一個大樓的安防系統(tǒng),雖然它可能很先進也很完備,但是仍然需要與監(jiān)視系統(tǒng)結(jié)合起來使用,仍然需要不斷地檢查大樓(包括安防系統(tǒng)本身)。

8.1.1入侵檢測定義入侵檢測系統(tǒng)(IDS,IntrusionDetectionSystem)是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,在發(fā)現(xiàn)入侵后,及時作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。8.1.2入侵檢測系統(tǒng)的主要功能

1.可用性為了保證系統(tǒng)安全策略的實施而引入的入侵檢測系統(tǒng)必須不能妨礙系統(tǒng)的正常運行,保障系統(tǒng)性能。

2.時效性必須及時地發(fā)現(xiàn)各種入侵行為,理想情況是在事前發(fā)現(xiàn)攻擊企圖,比較現(xiàn)實的情況則是在攻擊行為發(fā)生的過程中檢測到。如果是事后才發(fā)現(xiàn)攻擊的結(jié)果,必須保證時效性,因為一個已經(jīng)被攻擊過的系統(tǒng)往往就意味著后門的引入以及后續(xù)的攻擊行為。3.安全性 入侵檢測系統(tǒng)自身必須安全,如果入侵檢測系統(tǒng)自身的安全性得不到保障,首先意味著信息的無效,而更嚴(yán)重的是入侵者控制了入侵檢測系統(tǒng)即獲得了對系統(tǒng)的控制權(quán),因為一般情況下入侵檢測系統(tǒng)都是以特權(quán)狀態(tài)運行的。4.可擴展性 可擴展性有兩方面的意義。首先是機制與數(shù)據(jù)的分離,在現(xiàn)在機制不變的前提下能夠?qū)π碌墓暨M行檢測,例如,使用特征碼表示攻擊特性。第二是體系結(jié)構(gòu)的可擴展性,在有必要的時候可以在不對系統(tǒng)的整體結(jié)構(gòu)進行修改的前提下加強檢測手段,以保證能夠檢測到新的攻擊,如AAFID系統(tǒng)的代理機制。8.2入侵檢測系統(tǒng)的組成為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性,美國國防高級研究計劃署(DARPA)和互聯(lián)網(wǎng)工程任務(wù)組(IETF)的入侵檢測工作組(IDWG)發(fā)起制定了一系列建議草案,從體系結(jié)構(gòu)、API、通信機制、語言格式等方面規(guī)范IDS的標(biāo)準(zhǔn)。DARPA提出的建議是公共入侵檢測框架(CIDF),最早由加州大學(xué)戴維斯分校安全室主持起草工作。CIDF提出了一個通用模型,將入侵檢測系統(tǒng)分為4個基本組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫,其結(jié)構(gòu)如圖所示。

圖8.1CIDF的模型8.2.1事件產(chǎn)生器CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件,事件既可以是網(wǎng)絡(luò)中的數(shù)據(jù)包,也可以是從系統(tǒng)日志或其他途徑得到的信息。事件產(chǎn)生器(EventGenerators)的任務(wù)是從入侵檢測系統(tǒng)之外的計算環(huán)境中收集事件,并將這些事件轉(zhuǎn)換成CIDF的(統(tǒng)一入侵檢測對象GIDO)格式傳送給其他組件。例如,事件產(chǎn)生器可以是讀取C2級審計跟蹤并將其轉(zhuǎn)換為GIDO格式的過濾器,也可以是被動地監(jiān)視網(wǎng)絡(luò)并根據(jù)網(wǎng)絡(luò)數(shù)據(jù)流產(chǎn)生事件的另一種過濾器,還可以是SQL數(shù)據(jù)庫中產(chǎn)生描述事務(wù)的事件的應(yīng)用代碼。8.2.2事件分析器事件分析器(EventAnalyzers)分析從其他組件收到的GIDO,并將產(chǎn)生的新GIDO再傳送給其他組件。分析器可以是一個輪廓(profile)描述工具,統(tǒng)計性地檢測現(xiàn)在的事件是否可能與以前某個時間來自同一個時間序列;也可以是一個特征檢測工具,用于在一個事件序列中檢測是否有已知的誤用攻擊特性;此外,事件分析器還可以是一個相關(guān)器,觀察事件之間的關(guān)系,將有聯(lián)系的事件放在一起,以利于以后的進一步分析。8.2.3事件數(shù)據(jù)庫 事件數(shù)據(jù)庫(EventDatabases)用來存儲GIDO,以備系統(tǒng)需要的時候使用。8.2.4事件響應(yīng)單元事件響應(yīng)單元(ResponseUnits)處理收到的GIDO,并據(jù)此采取相應(yīng)的措施,如相關(guān)進程、將連接復(fù)位、修改文件權(quán)限等。在這個模型中,事件產(chǎn)生器、事件分析器和響應(yīng)單元通常以應(yīng)用程序的形式出現(xiàn),而事件數(shù)據(jù)庫則往往是文件或數(shù)據(jù)流的方式,很多IDS廠商都以數(shù)據(jù)收集部分、數(shù)據(jù)分析部分和控制臺部分3個術(shù)語分別代表事件產(chǎn)生器、事件分析器、響應(yīng)單元。以上4個組件只是邏輯實體,一個組件可能是某臺計算機上的一個進程甚至線程,也可能是多臺計算機上的多個進程,它們以GIDO格式進行數(shù)據(jù)轉(zhuǎn)換。GIDO是對事件進行編碼的標(biāo)準(zhǔn)通用格式(由CIDF描述語言CISL定義),GIDO數(shù)據(jù)流在圖中已標(biāo)出,它可以是發(fā)生在系統(tǒng)中的審計事件,也可以是對審計事件的結(jié)果分析。8.3入侵檢測系統(tǒng)的分類對入侵檢測技術(shù)的分類方法很多,根據(jù)著眼點的不同,主要有4種分類方法。(1)按數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)分類,入侵檢測系統(tǒng)分為3類:基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)(混合型)。(2)根據(jù)數(shù)據(jù)分析方法(也就是檢測方法)的不同,可以將入侵檢測系統(tǒng)分為2類:異常檢測和誤用檢測。(3)按數(shù)據(jù)分析發(fā)生的時間不同,入侵檢測系統(tǒng)可以分為2類:離線檢測系統(tǒng)和在線檢測系統(tǒng)。(4)按照系統(tǒng)各個模塊運行的分布方式不同,可以分為2類:集中式檢測系統(tǒng);和分布式檢測系統(tǒng)。

8.3.1按數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)分類

1.基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)的輸入數(shù)據(jù)來源于系統(tǒng)的審計日志,即在每個要保護的主機上運行一個代理程序,一般只能檢測該主機上發(fā)生的入侵?;谥鳈C的入侵檢測系統(tǒng)一般在重要的系統(tǒng)服務(wù)器、工作站或用戶機器上運行,監(jiān)視操作系統(tǒng)或系統(tǒng)事件的可疑活動,尋找潛在的可疑活動(如嘗試登錄失敗)。此類系統(tǒng)需要定義清楚哪些是不合法的活動,然后把這種安全策略轉(zhuǎn)換成入侵檢測規(guī)則。

主機入侵檢測系統(tǒng)的優(yōu)點主機入侵檢測系統(tǒng)對分析“可能的攻擊行為”非常有用。舉例來說,有時候它除了指出入侵者試圖執(zhí)行一些“危險的命令”之外,還能分辨出入侵者干了什么事、他們運行了什么程序、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。主機入侵檢測系統(tǒng)與網(wǎng)絡(luò)入侵檢測系統(tǒng)相比通常能夠提供更詳盡的相關(guān)信息。主機入侵檢測系統(tǒng)通常情況下比網(wǎng)絡(luò)入侵檢測系統(tǒng)誤報率要低,因為檢測在主機上運行的命令序列比檢測網(wǎng)絡(luò)流更簡單,系統(tǒng)的復(fù)雜性也少得多。主機入侵檢測系統(tǒng)可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。主機入侵檢測系統(tǒng)在不使用諸如“停止服務(wù)”、“注銷用戶”等響應(yīng)方法時風(fēng)險較少。2)主機入侵檢測系統(tǒng)的弱點主機入侵檢測系統(tǒng)安裝在我們需要保護的設(shè)備上。舉例來說,當(dāng)一個數(shù)據(jù)庫服務(wù)器要保護時,就要在服務(wù)器本身上安裝入侵檢測系統(tǒng)。這會降低應(yīng)用系統(tǒng)的效率。此外,它也會帶來一些額外的安全問題,安裝了主機入侵檢測系統(tǒng)后,將本不允許安全管理員有權(quán)力訪問的服務(wù)器變成他可以訪問的。主機入侵檢測系統(tǒng)的另一個問題是它依賴于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒有配置日志功能,則必須重新配置,這將會給運行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。全面部署主機入侵檢測系統(tǒng)代價較大,企業(yè)中很難將所有主機用主機入侵檢測系統(tǒng)保護,只能選擇部分主機保護。那些未安裝主機入侵檢測系統(tǒng)的機器將成為保護的盲點,入侵者可利用這些機器達到攻擊目標(biāo)。主機入侵檢測系統(tǒng)除了監(jiān)測自身的主機以外,根本不監(jiān)測網(wǎng)絡(luò)上的情況。對入侵行為的分析工作量將隨著主機數(shù)目增加而增加。2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流,該類系統(tǒng)一般被動地在網(wǎng)絡(luò)上監(jiān)聽整個網(wǎng)絡(luò)上的信息流,通過捕獲網(wǎng)絡(luò)數(shù)據(jù)包,進行分析,檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵,如圖8.2所示。圖8.2基于網(wǎng)絡(luò)的入侵檢測過程網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測那些來自網(wǎng)絡(luò)的攻擊,它能夠檢測到超過授權(quán)的非法訪問。網(wǎng)絡(luò)入侵檢測系統(tǒng)不需要改變服務(wù)器等主機的配置。由于它不會在業(yè)務(wù)系統(tǒng)的主機中安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用,不會影響業(yè)務(wù)系統(tǒng)的性能。由于網(wǎng)絡(luò)入侵檢測系統(tǒng)不像路由器、防火墻等關(guān)鍵設(shè)備那樣工作,因此它不會成為系統(tǒng)中的關(guān)鍵路徑。由于網(wǎng)絡(luò)入侵檢測系統(tǒng)發(fā)生故障不會影響正常業(yè)務(wù)的運行,因此部署一個網(wǎng)絡(luò)入侵檢測系統(tǒng)的風(fēng)險比主機入侵檢測系統(tǒng)的風(fēng)險少得多。網(wǎng)絡(luò)入侵檢測系統(tǒng)近年內(nèi)有向?qū)iT的設(shè)備發(fā)展的趨勢,安裝這樣的一個網(wǎng)絡(luò)入侵檢測系統(tǒng)非常方便,只需將定制的設(shè)備接上電源,做很少一些配置,將其連到網(wǎng)絡(luò)上即可。

網(wǎng)絡(luò)入侵檢測系統(tǒng)的弱點網(wǎng)絡(luò)入侵檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通信,不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限,而安裝多臺網(wǎng)絡(luò)入侵檢測系統(tǒng)的傳感器會使部署整個系統(tǒng)的成本大大增加。網(wǎng)絡(luò)入侵檢測系統(tǒng)為了提高性能通常采用特征檢測的方法,它可以檢測出普通的一些攻擊,而很難檢測一些復(fù)雜的需要大量計算與分析時間的攻擊。網(wǎng)絡(luò)入侵檢測系統(tǒng)可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會產(chǎn)生大量的分析數(shù)據(jù)流量。一些系統(tǒng)在實現(xiàn)時采用一定的方法來減少回傳的數(shù)據(jù)量,對入侵判斷的決策由傳感器實現(xiàn),而中央控制臺成為狀態(tài)顯示與通信中心,不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。網(wǎng)絡(luò)入侵檢測系統(tǒng)處理加密的會話過程較困難,目前通過加密通道的攻擊尚不多,但隨著IPv6的普及,這個問題會越來越突出。3.分布式入侵檢測系統(tǒng)(混合型)分布式入侵檢測系統(tǒng)一般由多個部件組成,分布在網(wǎng)絡(luò)的各個部分,完成相應(yīng)的功能,分別進行數(shù)據(jù)采集、數(shù)據(jù)分析等。通過中心的控制部件進行數(shù)據(jù)匯總、分析、產(chǎn)生入侵報警等。在這種結(jié)構(gòu)下,不僅可以檢測到針對單獨主機的入侵,同時也可以檢測到針對整個網(wǎng)絡(luò)上的主機入侵。

8.3.2按工作原理分類1.異常檢測模型(AbnormalyDetectionModel)這種模型的特點是首先總結(jié)正常操作應(yīng)該具有的特征,建立系統(tǒng)正常行為的軌跡,理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對于異常閾值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵,例如,特定用戶的操作習(xí)慣與某種操作的頻率等;在得出正常操作模型之后,對后續(xù)的操作進行監(jiān)視,一旦發(fā)現(xiàn)偏離正常統(tǒng)計學(xué)意義上的操作模式,即進行報警??梢钥闯?,按照這種模型建立的系統(tǒng)需要具有一定的人工智能,由于人工智能領(lǐng)域本身的發(fā)展緩慢,基于異常檢測模型建立的入侵檢測系統(tǒng)的工作進展也不是很好。異常檢測技術(shù)的局限并非使所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難于計算和更新。2.誤用檢測模型(MisuseDetectionModel)誤用檢測又稱特征檢測,這種模型的特征是收集非正常操作(也就是入侵行為的特征)建立相關(guān)的特征庫;在后續(xù)的檢測過程中,將收集到的數(shù)據(jù)與特征庫中的特征代碼進行比較,得出是否是入侵的結(jié)論??梢钥闯?,這種模型與主流的病毒檢測方法基本一致,當(dāng)前流行的入侵檢測系統(tǒng)基本上采用這種模型。特征檢測的優(yōu)點是誤報少,比較準(zhǔn)確,局限是只能發(fā)現(xiàn)已知的攻擊,對未知的攻擊無能為力。8.4入侵檢測系統(tǒng)的工作原理入侵分析的任務(wù)就是在提取到的龐大數(shù)據(jù)中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測規(guī)則等進行比較,從而發(fā)現(xiàn)入侵行為。一方面入侵檢測系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù),而另一方面由于入侵行為的千變?nèi)f化而導(dǎo)致判定入侵的規(guī)則等越來越復(fù)雜。為了保證入侵檢測的效率和滿足實時性的要求,入侵分析必須在系統(tǒng)的性能和檢測能力之間進行權(quán)衡,合理地設(shè)計分析策略,并且可能要犧牲一部分檢測能力來保證系統(tǒng)可靠、穩(wěn)定地運行,并具有較快的響應(yīng)速度。入侵檢測分析技術(shù)主要分為兩類:異常檢測和誤用檢測。

8.4.1入侵檢測系統(tǒng)的檢測流程入侵檢測系統(tǒng)的檢測流程依次包括3個步驟:數(shù)據(jù)提取、數(shù)據(jù)分析和結(jié)果處理。數(shù)據(jù)提取模塊的作用在于為系統(tǒng)提供數(shù)據(jù),數(shù)據(jù)的來源可以是主機上的日志信息、變動信息,也可以是網(wǎng)絡(luò)上的數(shù)據(jù)信息,甚至是流量變化等,這些都可以作為數(shù)據(jù)源。數(shù)據(jù)提取模塊在獲得數(shù)據(jù)之后,需要對數(shù)據(jù)進行簡單的處理,如簡單的過濾,數(shù)據(jù)格式的標(biāo)準(zhǔn)化等,然后將經(jīng)過處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊的作用在于對數(shù)據(jù)進行深入的分析,發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件,傳遞給結(jié)果處理模塊。數(shù)據(jù)分析的方法很多種,可以簡單到對某種行為的計數(shù),也可以是一個復(fù)雜的專家系統(tǒng),該模塊是入侵檢測系統(tǒng)的核心。結(jié)果處理模塊的作用在于告警與反應(yīng),也就是發(fā)現(xiàn)攻擊企圖或者攻擊之后,需要系統(tǒng)及時地進行反應(yīng),包括報告、記錄、反應(yīng)和恢復(fù)。8.4.2基于異常的入侵檢測方法基于異常的入侵檢測方法主要來源于這樣的思想:任何人的正常行為都有一定的規(guī)律,并且可以通過分析這些行為產(chǎn)生的日志信息(假定日志信息足夠安全)總結(jié)出這些規(guī)律,而入侵和濫用行為則通常和正常的行為存在嚴(yán)重的差異,通過檢查出這些差異就可以檢測出這些入侵。這樣就可以檢測出非法的入侵行為甚至是通過未知方法進行的入侵行為。此外不屬于入侵的異常用戶行為(濫用自己的權(quán)限)也能被檢測到。8.4.3基于誤用的入侵檢測方法基于誤用的入侵檢測技術(shù)的含義是:通過某種方式預(yù)先定義入侵行為,然后監(jiān)視系統(tǒng)的運行,并中找出符合預(yù)先定義規(guī)則的入侵行為?;谡`用的入侵檢測技術(shù)也叫作基于特征的入侵檢測技術(shù)。

8.5入侵檢測系統(tǒng)的抗攻擊技術(shù)8.5.1入侵響應(yīng)入侵響應(yīng)(IntrusionResponse)就是當(dāng)檢測到入侵或攻擊時,采取適當(dāng)?shù)拇胧┳柚谷肭趾凸舻倪M行。8.5.2入侵跟蹤技術(shù)要跟蹤入侵者,也就是知道入侵者所在的地址和其他信息。(1)媒體訪問控制地址(MAC):由生產(chǎn)廠家設(shè)定的硬件地址。(2)IP地址:互聯(lián)網(wǎng)地址,如52。(3)域名:IP地址的名字化形式,如。(4)應(yīng)用程序地址:代表特定應(yīng)用服務(wù)程序,如電子郵件、網(wǎng)頁瀏覽。8.5.3蜜罐技術(shù)蜜罐(Honeypot)

是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統(tǒng)的人而設(shè)計的。8.6入侵檢測技術(shù)的發(fā)展方向入侵檢測從最初實驗室里的研究課題到目前的商業(yè)IDS產(chǎn)品,已經(jīng)有20多年的發(fā)展歷史,隨著入侵檢測系統(tǒng)的研究和應(yīng)用的不斷深入,近年對入侵檢測技術(shù)有以下幾個主要的發(fā)展方向。

8.6.1體系結(jié)構(gòu)的新發(fā)展分布式入侵檢測一般由多個部件組成,分布在網(wǎng)絡(luò)的各個部分,完成相應(yīng)的功能,如進行數(shù)據(jù)采集、分析等。通過中心的控制部件進行數(shù)據(jù)匯總、分析、產(chǎn)生入侵報警等。有的系統(tǒng)的中心控制部件可以監(jiān)督和控制其他部件的活動,修改其配制等。

8.6.2應(yīng)用層入侵檢測許多入侵的語義只有在應(yīng)用層才能被理解,而目前的IDS僅能檢測諸如Web之類的通用協(xié)議,而不能處理諸如LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用,需要應(yīng)用層的入侵檢測保護。8.6.3基于智能代理技術(shù)的分布式入侵檢測系統(tǒng)

近些年來,智能代理技術(shù)越來越成熟,目前也提出了不少基于智能代理技術(shù)的分布式入侵檢測系統(tǒng),如基于自治代理(AutonomousAgents)技術(shù)的AAFID(AutonomousAgentsForIntrusionDetesion),還有基于移動代理的分布式入侵檢測系統(tǒng)等。下面主要介紹基于自治代理技術(shù)的AAFID。8.6.4自適應(yīng)入侵檢測系統(tǒng)由于入侵方法和入侵特征的不斷變化,入侵檢測系統(tǒng)必須不斷自學(xué)習(xí),以便更新檢測模型。為了適應(yīng)這種需要,提出了一種具有自適應(yīng)模型生成特性的入侵檢測系統(tǒng)。該系統(tǒng)的體系結(jié)構(gòu)中包含3個組件:代理、探測器(Detector)及自適應(yīng)模型生成器(AdaptiveModelGenerator,AMG)。代理向探測器提供收集到的各種數(shù)據(jù),而探測器則用來分析和響應(yīng)已經(jīng)發(fā)生的入侵。代理同時還向自適應(yīng)模型生成器(AMG)發(fā)送數(shù)據(jù),供其學(xué)習(xí)新的檢測模型。

8.7入侵檢測工具與產(chǎn)品介紹8.7.1SessionWall-3/eTrustIntrusionDetection8.7.2RealSecure

8.7.3SkyBell8.7.4免費的IDS-Snort

8.8本章實訓(xùn)入侵檢測軟件Sessio

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論