计算机预防入侵的检测系统搭建探究
期刊目录网计算机网络论文发表2014-08-05 16:30关注(1)
近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标,对电子商务的热切需求,更加激化了这种入侵事件的增长。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。1 入侵检测系统(IDS)概念
1980年,James P.Anderson 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1。即其之后,1986年Dorothy E.Denning提出实时异常检测的概念[2并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor)。自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为摘要:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4摘要:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测的目的摘要:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
2 入侵检测系统模型
美国斯坦福国际探究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2,该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,假如有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。它将一个入侵检测系统分为以下四个组件摘要:
事件产生器(Event Generators)
事件分析器(Event analyzers)
响应单元(Response units)
事件数据库(Event databases)
它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
3 入侵检测系统的分类摘要:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性探究方面的新问题,在这里采用五类标准摘要:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
4 IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5摘要:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身反抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面摘要:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网平安系统公司)公司的RealSecure。目前较为闻名的商用入侵检测产品还有摘要:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在探究新的检测方法,如数据融合技术,主动的自主代理方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为摘要:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的新问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付练习有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决新问题,还降低了处理能力。数据融合技术是解决这一系列新问题的好方法。
(4)和网络平安技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络平安保障。
在目前的计算机平安状态下,基于防火墙、加密技术的平安防护固然重要,但是,要根本改善系统的平安目前状况,必须要发展入侵检测技术,它已经成为计算机平安策略中的核心技术之一。IDS作为一种主动的平安防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术平安性的要求越来越高,入侵检测技术必将受到人们的高度重视。
计算机预防入侵的检测系统搭建探究相关论文:
计算机网络安全技术在电子商务
计算机网络安全中病毒防护技术
计算机网络安全数据加密技术应
网络信息设备资产网络安全管理
计算机网络安全与病毒防护
上一篇:论多媒体教学网络系统在计算机教学中应用情况
下一篇:NGN时代IP承载网的构建
- 测控技术测绘技术论文发表核心期刊
- 系统仿真技术杂志国家级期刊征收论文格式核心期刊
- 电力电子技术电力工程论文核心期刊
- 电气电子教学学报电子科学论文核心期刊
- 广东电力电力工程师职称论文核心期刊
- 工程设计学报机电一体化论文核心期刊
- 光谱学与光谱分析光学论文发表核心期刊
- 电源学报电子技术论文发表核心期刊
- 热力发电杂志最新工程师论文查询核心期刊
- 《计算机研究与发展》核心电子期刊方式核心期刊
- 《计算机研究与发展》核心电子期刊方式
- 《计算机技术与发展》核心电子期刊
- 《计算机时代》电子核心论文期刊
- 计算机周刊杂志是什么级别刊物
- 自动化与信息工程杂志广东省科学院主管刊物
- 中国机电工业杂志论文字体要求
- 信息通信技术杂志是国家级期刊吗
- 今日电子杂志2017年7期论文目录查询
- 当代通信杂志通信工程师期刊
- 电力工程技术江苏电力期刊
- oa开放访问是什么意思
- 亚太生物学期刊是sci吗
- isbn是核心期刊吗
- 英文期刊的卷号和期号怎么看
- 内分泌领域的sci杂志哪些容易中
- 法学英文期刊有哪些
- 3分左右的医学杂志
- 农业SCI期刊有哪些
- 林业SCI期刊有哪些
- 生命科学领域sci期刊有哪些
- sci共第一作者可以评高级职称吗
- 政工师中级职称晋升要求
- 评职称专利和软著哪个更有用
- 评职称的论文有时间限制吗
- 一级播音员职称破格申报什么标准
- 评职称需要几年的继续教育证书
- 河北认证的中级职称北京认可吗
- 评中级需要几个业绩
- 技师转评工程师需要什么材料
- 助理政工师晋升中级认可的刊物有哪些
- 分享英文降低重复率的几个技巧
- 论文清样后还能添加作者吗
- issn是国际标准书号吗
- 英文综述字数包括参考文献吗
- 论文见刊后才有doi吗
- agronomy-basel杂志是哪个国家的,怎么样
- 论文一审会检查哪些内容
- sci论文插图有哪些要求
- sci论文被拒后修改内容还能重投吗
- 中科院分区每年几月份更新
- 英文论文撰写常用的到哪些词汇
- 国际英文论文的格式要求
- 英文论文需要查重吗
- sci的审稿人有人数限制吗
- 哪些学报被ei收录
- 电力系统自动化是SCI期刊吗
- sci论文的索引时间和出版时间一样吗
- 英语论文摘要多少字合适
- 一篇sci四区能读博吗
- sci论文引言部分查重吗
- 出书对学历有要求吗
- 合作出书与自费出书的区别
- 副主编的第一第二第三位置区别讲解
- 副主编署名一般需要注意哪些问题
- 人教统编版和部编版的区别是什么
- 出版诗集有什么要求
- 教材主编与副主编有人数限制吗
- 详解香港书号申请流程
- 申请丛书书号需要多久
- 教材和著作评职称有什么区别
- 发明专利公示期是多久
- 发明专利的转让方式有哪些
- 发明专利的实质审查一般多久
- 发明专利查重吗
- 什么是发明专利号
- 发明专利的授权条件包括哪些
- 哪些专利符合发明专利
- 什么是pct专利
- 专利主要发明人评职可以加几分
- 专利第一发明人可以有几个