亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        淺析NIDS及其實(shí)現(xiàn)

        2009-03-02 09:33:14魏國(guó)華廖崇華
        新媒體研究 2009年2期
        關(guān)鍵詞:網(wǎng)絡(luò)安全計(jì)算機(jī)

        魏國(guó)華 廖崇華

        [摘要]簡(jiǎn)要分析和介紹計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的主要類型及其技術(shù),給出一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的技術(shù)實(shí)現(xiàn)機(jī)理。

        [關(guān)鍵詞]計(jì)算機(jī) 網(wǎng)絡(luò) 安全 入侵檢測(cè)

        中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0120073-01

        隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的爆炸式增長(zhǎng)和網(wǎng)絡(luò)應(yīng)用的日益深化,安全問題愈發(fā)突出,傳統(tǒng)的單一安全技術(shù)如防火墻、授權(quán)與身份認(rèn)證系統(tǒng)、信息加密等,都是以靜態(tài)的方式保障信息安全,對(duì)快速發(fā)展的黑客攻擊、內(nèi)部攻擊等則力不從心。作為最近幾年發(fā)展起來的、以對(duì)非法網(wǎng)絡(luò)行為預(yù)警和響應(yīng)為主要目標(biāo)的動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)入侵檢測(cè),正在得到越來越深入的研究和應(yīng)用。

        一、入侵檢測(cè)系統(tǒng)簡(jiǎn)介

        入侵檢測(cè),一般是指通過在計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)采集信息并進(jìn)行分析,從而發(fā)現(xiàn)網(wǎng)絡(luò)中是否有違反安全策略的行為或被攻擊的跡象。入侵檢測(cè)是一種集檢測(cè)、響應(yīng)、記錄于一體的動(dòng)態(tài)安全技術(shù),不僅能檢測(cè)來自外部的入侵行為,同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。

        用于入侵檢測(cè)的軟件或軟硬件組合產(chǎn)品即為入侵檢測(cè)系統(tǒng)(Intrusion Detection System)。IDS一般具有監(jiān)視系統(tǒng)及用戶活動(dòng)、檢查系統(tǒng)配置和漏洞、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識(shí)別和分析攻擊行為或異常行為、對(duì)操作系統(tǒng)日志管理、對(duì)己發(fā)現(xiàn)的攻擊行為作出反應(yīng)或處理等功能。

        按照數(shù)據(jù)分析和檢測(cè)機(jī)制的不同,入侵檢測(cè)分為異常入侵檢測(cè)和誤用入侵檢測(cè)。異常入侵檢測(cè)是建立在統(tǒng)計(jì)學(xué)基礎(chǔ)上的一種檢測(cè)技術(shù),是目前入侵檢測(cè)技術(shù)的主要研究方向,基本原理是先定義一組系統(tǒng)或網(wǎng)絡(luò)“正?!鼻闆r的狀態(tài),這類數(shù)據(jù)可以人為定義,也可以通過統(tǒng)計(jì)得出,然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?!鼻闆r比較,得出是否有被攻擊的跡象。誤用入侵檢測(cè),是預(yù)先定義出入侵行為特征或標(biāo)志,然后監(jiān)視網(wǎng)絡(luò)數(shù)據(jù),從中找出符合入侵特征的行為,類似殺毒軟件原理。IDS的類型,從檢測(cè)節(jié)點(diǎn)和數(shù)據(jù)來源看,主要有基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS,以及兩者集成型IDS。從系統(tǒng)架構(gòu)上看,IDS還可分為集中式IDS和分布式IDS,集成型的分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(D-NIDS)應(yīng)是技術(shù)發(fā)展方向。

        二、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)機(jī)理

        網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是利用網(wǎng)絡(luò)監(jiān)聽技術(shù)采集網(wǎng)絡(luò)分組數(shù)據(jù),并對(duì)這些數(shù)據(jù)進(jìn)行入侵檢測(cè)分析和響應(yīng)。設(shè)計(jì)NIDS,技術(shù)架構(gòu)可以采用三層分布式體系結(jié)構(gòu),包括網(wǎng)絡(luò)入侵探測(cè)器、入侵事件數(shù)據(jù)庫和分析控制臺(tái)。

        對(duì)應(yīng)三層體系結(jié)構(gòu),可將NIDS從功能上劃分為三個(gè)核心子系統(tǒng):數(shù)據(jù)采集與分析子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)、控制臺(tái)子系統(tǒng)。數(shù)據(jù)采集與分析子系統(tǒng)在具體技術(shù)實(shí)現(xiàn)上,可充分利用Snort等優(yōu)秀的開源軟件包進(jìn)行二次開發(fā)構(gòu)建,系統(tǒng)平臺(tái)根據(jù)性能與成本的要求,既可在Linux/Unix平臺(tái)上實(shí)現(xiàn),也可采用RTOS硬件實(shí)現(xiàn),以達(dá)到數(shù)據(jù)信號(hào)處理的高速和穩(wěn)定,同時(shí)降低了開發(fā)復(fù)雜度。數(shù)據(jù)庫管理子系統(tǒng)和控制臺(tái)子系統(tǒng)對(duì)效率的要求不高,可在Windows上實(shí)現(xiàn),提高操作性和界面友好性。

        數(shù)據(jù)庫子系統(tǒng)和控制臺(tái)子系統(tǒng)相對(duì)比較簡(jiǎn)單,在此不做分析介紹,重點(diǎn)介紹數(shù)據(jù)采集與分析子系統(tǒng)的實(shí)現(xiàn)機(jī)理。

        NIDS的核心部分是數(shù)據(jù)采集與分析子系統(tǒng),一般配置在各個(gè)局域網(wǎng)的關(guān)鍵節(jié)點(diǎn)上,是整個(gè)系統(tǒng)的基礎(chǔ)性模塊,因?yàn)槠洳僮鲗?duì)象是網(wǎng)絡(luò)數(shù)據(jù)包,首先就必須把所有的網(wǎng)絡(luò)數(shù)據(jù)包都捕獲下來,所以此模塊的主要功能就是從網(wǎng)絡(luò)中偵聽捕獲數(shù)據(jù)包并分析數(shù)據(jù)包協(xié)議和內(nèi)容。由于數(shù)據(jù)包采集的性能要求很高,而網(wǎng)絡(luò)中的數(shù)據(jù)包量非常大,如果捕獲不及時(shí),就會(huì)有漏包的情況出現(xiàn),因此要根據(jù)需要適當(dāng)?shù)脑O(shè)置過濾機(jī)制,過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包,減輕數(shù)據(jù)分析壓力,可過濾特定IP、特定MAC地址、特定協(xié)議的數(shù)據(jù)包。數(shù)據(jù)包分析部分完成對(duì)采集到的數(shù)據(jù)包進(jìn)行分析的功能,只有對(duì)每個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)協(xié)議、類型和特征進(jìn)行了詳細(xì)正確的分析,才有可能檢測(cè)出入侵行為。由于網(wǎng)絡(luò)協(xié)議非常多,因此就必須分析很多的協(xié)議,以太網(wǎng)常見協(xié)議有ARP/RARP、ICMP、SNMP、IP、TCP、UDP、HTTP、FTP等。

        數(shù)據(jù)采集與分析子系統(tǒng)包含如下幾個(gè)模塊:

        1.包捕獲與解析模塊:可采用與Snort關(guān)聯(lián)的Libpcap開發(fā)包來實(shí)現(xiàn)數(shù)據(jù)包的捕獲。由于TCP/IP協(xié)議是互聯(lián)網(wǎng)事實(shí)上的標(biāo)準(zhǔn),所以協(xié)議分析應(yīng)基于TCP/IP協(xié)議,必須對(duì)TCP/IP的四層協(xié)議,即包頭信息進(jìn)行詳細(xì)的分析,從而掌握它的具體特征,并對(duì)數(shù)據(jù)內(nèi)容進(jìn)行各種支持網(wǎng)絡(luò)協(xié)議的格式分析。

        2.預(yù)處理模塊:預(yù)處理模塊中主要由HTTP解碼器、端口檢測(cè)器等預(yù)處理程序組成。

        3.檢測(cè)引擎模塊:是整個(gè)檢測(cè)系統(tǒng)的核心,程序的效率直接影響到整個(gè)系統(tǒng)的性能優(yōu)劣,可參考或利用國(guó)際上非常流行的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort的設(shè)計(jì)思想或技術(shù)。Snort是一個(gè)以開放源代碼形式發(fā)行的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),由遍布世界各地的眾多程序員共同維護(hù)和升級(jí),它采用基于規(guī)則的工作方式,對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行規(guī)則匹配來檢測(cè)多種不同的入侵行為和探測(cè)活動(dòng)。許多入侵檢測(cè)產(chǎn)品的內(nèi)核都是基于Snort設(shè)計(jì)開發(fā)的。

        4.日志與報(bào)警模塊:該模塊主要完成檢測(cè)結(jié)果的輸出,當(dāng)發(fā)生入侵時(shí),能及時(shí)報(bào)警入侵行為。

        5.規(guī)則庫模塊:存儲(chǔ)攻擊特征碼。

        三、入侵檢測(cè)系統(tǒng)的配置要點(diǎn)

        入侵檢測(cè)系統(tǒng)的幾個(gè)部件往往位于不同的主機(jī)上。在安裝IDS的時(shí)候,關(guān)鍵是選擇數(shù)據(jù)采集部分所在的位置,因?yàn)樗鼪Q定了“事件”的可見度。

        對(duì)于主機(jī)型IDS,其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測(cè)的主機(jī)上。對(duì)于網(wǎng)絡(luò)型IDS,其數(shù)據(jù)采集部分則有多種可能,對(duì)網(wǎng)段用總線式的HUB相連,則可將其接在HUB的一個(gè)端口上即可;而對(duì)于交換機(jī),由于交換機(jī)不采用共享方式,問題則會(huì)變得復(fù)雜,可解決的辦法有:

        1.交換機(jī)一般都有一個(gè)調(diào)試端口,任何其他端口的進(jìn)出信息都可從此得到。如果交換機(jī)廠商把此端口開放,用戶則可將IDS系統(tǒng)接到此端口上,缺點(diǎn)是采用此端口會(huì)降低交換機(jī)性能。

        2.把IDS放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口和出口,優(yōu)點(diǎn)是可得到幾乎所有關(guān)鍵數(shù)據(jù),但會(huì)降低網(wǎng)絡(luò)性能。

        3.采用分接器,將其接在所有要監(jiān)測(cè)的線路上,優(yōu)點(diǎn)是不降低網(wǎng)絡(luò)性能的前提下采集所需數(shù)據(jù),但必須使用額外的設(shè)備。

        四、結(jié)束語

        在網(wǎng)絡(luò)安全產(chǎn)品配置中,IDS加防火墻是目前常用的組合。雖然在IDS技術(shù)上發(fā)展起來的IPS(入侵防御系統(tǒng))得到了快速發(fā)展,但I(xiàn)DS的技術(shù)發(fā)展也非常快,今后仍將在網(wǎng)絡(luò)安全事件預(yù)警檢測(cè)中發(fā)揮不可或缺的作用。

        作者簡(jiǎn)介:

        魏國(guó)華,男,漢族,甘肅酒泉,本科學(xué)歷,工程師,信息技術(shù)專業(yè);廖崇華,男,漢族,天津市,本科學(xué)歷,工程師,信息技術(shù)專業(yè)。

        猜你喜歡
        網(wǎng)絡(luò)安全計(jì)算機(jī)
        計(jì)算機(jī)操作系統(tǒng)
        基于計(jì)算機(jī)自然語言處理的機(jī)器翻譯技術(shù)應(yīng)用與簡(jiǎn)介
        科技傳播(2019年22期)2020-01-14 03:06:34
        信息系統(tǒng)審計(jì)中計(jì)算機(jī)審計(jì)的應(yīng)用
        油氣集輸系統(tǒng)信息化發(fā)展形勢(shì)展望
        基于網(wǎng)絡(luò)的信息資源組織與評(píng)價(jià)現(xiàn)狀及發(fā)展趨勢(shì)研究
        基于網(wǎng)絡(luò)的中學(xué)閱讀指導(dǎo)
        考試周刊(2016年79期)2016-10-13 21:50:36
        新形勢(shì)下地市報(bào)如何運(yùn)用新媒體走好群眾路線
        Fresnel衍射的計(jì)算機(jī)模擬演示
        国产精品夜色视频久久| 99国产精品视频无码免费| 亚洲成在人网av天堂| 福利视频黄| 亚洲一区sm无码| 精品国精品自拍自在线| 91九色人妻精品一区二区三区| 免费的日本一区二区三区视频| 日韩视频中文字幕精品偷拍| 国产视频毛片| 国产精品一区二区三区色| 91精品久久久老熟女91精品| 怡红院av一区二区三区| 欧美性猛交xxxx乱大交蜜桃| 亚洲亚洲亚洲亚洲亚洲天堂| 一区二区三区国产色综合| 在线观看成人无码中文av天堂 | 久久福利青草精品免费 | 国产高清不卡二区三区在线观看| 青春草免费在线观看视频| 久久人与动人物a级毛片| 中文字幕久久久久久精| 美女被躁到高潮嗷嗷免费观看| 亚洲成a∨人片在线观看无码| 丁香花在线影院观看在线播放 | 亚洲av永久综合网站美女| 丁香婷婷激情视频在线播放| 樱桃视频影视在线观看免费| 8av国产精品爽爽ⅴa在线观看| 日韩精品一区二区三区av| 欧洲美熟女乱又伦av影片 | 国产一极毛片| 日本免费a一区二区三区| 久久99热国产精品综合| 亚洲伊人成综合网| 色综合久久精品中文字幕| 亚洲国产一区一区毛片a| 国产成人无码精品久久久露脸| 高清偷自拍第1页| 二区久久国产乱子伦免费精品| 日本免费影片一区二区|