IDS规则匹配算法的改进与实现
以下是资料介绍,如需要完整的请充值下载.
1.无需注册登录,支付后按照提示操作即可获取该资料.
2.资料以网页介绍的为准,下载后不会有水印.资料仅供学习参考之用.
密 惠 保
1.无需注册登录,支付后按照提示操作即可获取该资料.
2.资料以网页介绍的为准,下载后不会有水印.资料仅供学习参考之用.
密 惠 保
资料介绍:
1.2 入侵检测系统的现状
互联网的开放性为信息共享和交互提供了极大的便利,但随之而来的网络安全问题也日益明显。入侵检测作为一种主动的信心安全保障措施,有效的弥补了传统安全防护技术的缺陷[2]。
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后的新一代安全保护技术。1980年,James. Anderson首次详细阐述了入侵检测的概念和分类方法[6]。之后,一大批的科研机构和科研人员在此基础上进行了深入的研究与开发。入侵检测从最初的实验室里的研究课题到目前的商业IDS(Intrusion Detection System)产品,已经有20多年的发展历史。
根据检测方法的不同,入侵检测系统基本可以分为两大类:误用检测(Misuse Detetion)、异常检测(Anomaly Detetion)[4,5]。误用检测是利用已知的系统缺陷和已知的入侵方法进行入侵活动的检测,类似于病毒检测的原理,因此又称特征检测。异常检测需要建立目标系统正常活动的模型,然后基于这个正常模型对系统和用户的实际活动进行审计,以判断用户的行为是否对系统构成威胁。两种入侵检测方法都有它们各自的优点,但都存在不同的问题,例如,异常检测系统根据使用者的行为或资源使用状况来判断是否入侵,可以发现一些未知的入侵行为,不过只能模糊地报告存在异常行为,而不能准确地报告攻击类型和方式;误用检测系统依赖具体的特征库进行判断,只能检测已知的入侵行为,但准确度非常高;要指出的是,人工智能领域本身发展缓慢,基于异常检测系统的商用化程度并不高。基于误用的模式匹配方法是现在入侵检测产品采用的主流技术[6] 。
1.3 入侵检测系统的分类
目前市场上的IDS产品从技术上看,基本可分为两大类:基于网络的产品和基于主机的产品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外,文件的完整性检查工具也可看做是一类入侵检测产品。
(1) 基于网络的入侵检测产品放置在比较重要的网段内,对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler,以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。
(2) 基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。
(3) 混合式入侵检测系统综合了基于网络和主机的两种结构特点,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。
文件完整性检查工具通过检查文件的数字摘要与其他一些属性,判断文件是否被修改,从而检测出可能的入侵。这个领域的产品有半开放源代码的Tripwire。
绝大多数的入侵检测产品都以纯软件的形式出售,但为了达到性能最佳,往往需要对安装的系统进行优化调整。这样,把产品做成“黑盒子”的形式可以达到目的,如Cisco公司的Secure IDS和金诺网安KIDS。随着入侵检测产品日益在规模庞大的企业中应用,分布式技术也开始融入到入侵检测产品中来。同时,集中管理多个传感器的中央控制台也在不断地完善。目前,绝大多数的入侵检测产品,尤其是企业级产品都具有分布式结构。 入侵检测产品中,有几个重要的性能指标值得重视,比如网络入侵检测系统负载能力,网络入侵检测系统是非常消耗资源的,但很少有厂商公布自己的pps (packet per second)参数。网络入侵检测系统可支持的网络类型也是应该考虑的。目前,国内的入侵检测厂商还只是支持以太网和快速以太网。 网络入侵检测系统运行在什么操作系统平台上,网络入侵检测系统的运行平台一般以Unix为主,也有少数使用专有设备或基于windows平台的入侵检测系统。在网络安全领域,随着黑客应用技术的不断“傻瓜化”,入侵检测系统IDS的地位正在逐渐增加。一个网络中,只有有效实施了IDS,才能敏锐地察觉攻击者的侵犯行为,才能防患于未然! 重要的IDS系统根据监测对象不同,IDS系统分为很多种。
(1) NIDS是network intrusion detection system的缩写,即网络入侵检测系统,主要用于检测hacker或cracker通过网络进行的入侵行为。 NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通讯信息,另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息,比如hub、路由器。
(2) SIV是system integrity verifiers的缩写,即系统完整性检测,主要用于监视系统文件或者Windows 注册表等重要信息是否被修改,以堵上攻击者日后来访的后门。SIV更多的是以工具软件的形式出现,比如“Tripwire”,它可以检测到重要系统组件的变换情况,但并不产生实时的报警信息。
(3) LFM是log file monitors的缩写,即日志文件监测器,主要用于监测网络服务所产生的日志文件。LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为,例如对于HTTP服务器的日志文件,只要搜索“swatch”关键字,就可以判断出是否有“phf”攻击。
(4) Honeypots 蜜罐系统,也就是诱骗系统,它是一个包含漏洞的系统,通过模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。与此同时,最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。蜜罐最初的目的之一是为起诉恶意黑客搜集证据,这看起来有“诱捕”的感觉。
互联网的开放性为信息共享和交互提供了极大的便利,但随之而来的网络安全问题也日益明显。入侵检测作为一种主动的信心安全保障措施,有效的弥补了传统安全防护技术的缺陷[2]。
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后的新一代安全保护技术。1980年,James. Anderson首次详细阐述了入侵检测的概念和分类方法[6]。之后,一大批的科研机构和科研人员在此基础上进行了深入的研究与开发。入侵检测从最初的实验室里的研究课题到目前的商业IDS(Intrusion Detection System)产品,已经有20多年的发展历史。
根据检测方法的不同,入侵检测系统基本可以分为两大类:误用检测(Misuse Detetion)、异常检测(Anomaly Detetion)[4,5]。误用检测是利用已知的系统缺陷和已知的入侵方法进行入侵活动的检测,类似于病毒检测的原理,因此又称特征检测。异常检测需要建立目标系统正常活动的模型,然后基于这个正常模型对系统和用户的实际活动进行审计,以判断用户的行为是否对系统构成威胁。两种入侵检测方法都有它们各自的优点,但都存在不同的问题,例如,异常检测系统根据使用者的行为或资源使用状况来判断是否入侵,可以发现一些未知的入侵行为,不过只能模糊地报告存在异常行为,而不能准确地报告攻击类型和方式;误用检测系统依赖具体的特征库进行判断,只能检测已知的入侵行为,但准确度非常高;要指出的是,人工智能领域本身发展缓慢,基于异常检测系统的商用化程度并不高。基于误用的模式匹配方法是现在入侵检测产品采用的主流技术[6] 。
think58
[资料来源:THINK58.com]
1.3 入侵检测系统的分类
目前市场上的IDS产品从技术上看,基本可分为两大类:基于网络的产品和基于主机的产品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外,文件的完整性检查工具也可看做是一类入侵检测产品。
(1) 基于网络的入侵检测产品放置在比较重要的网段内,对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler,以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。
(2) 基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。
(3) 混合式入侵检测系统综合了基于网络和主机的两种结构特点,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。
文件完整性检查工具通过检查文件的数字摘要与其他一些属性,判断文件是否被修改,从而检测出可能的入侵。这个领域的产品有半开放源代码的Tripwire。
[版权所有:http://think58.com]
绝大多数的入侵检测产品都以纯软件的形式出售,但为了达到性能最佳,往往需要对安装的系统进行优化调整。这样,把产品做成“黑盒子”的形式可以达到目的,如Cisco公司的Secure IDS和金诺网安KIDS。随着入侵检测产品日益在规模庞大的企业中应用,分布式技术也开始融入到入侵检测产品中来。同时,集中管理多个传感器的中央控制台也在不断地完善。目前,绝大多数的入侵检测产品,尤其是企业级产品都具有分布式结构。 入侵检测产品中,有几个重要的性能指标值得重视,比如网络入侵检测系统负载能力,网络入侵检测系统是非常消耗资源的,但很少有厂商公布自己的pps (packet per second)参数。网络入侵检测系统可支持的网络类型也是应该考虑的。目前,国内的入侵检测厂商还只是支持以太网和快速以太网。 网络入侵检测系统运行在什么操作系统平台上,网络入侵检测系统的运行平台一般以Unix为主,也有少数使用专有设备或基于windows平台的入侵检测系统。在网络安全领域,随着黑客应用技术的不断“傻瓜化”,入侵检测系统IDS的地位正在逐渐增加。一个网络中,只有有效实施了IDS,才能敏锐地察觉攻击者的侵犯行为,才能防患于未然! 重要的IDS系统根据监测对象不同,IDS系统分为很多种。
(1) NIDS是network intrusion detection system的缩写,即网络入侵检测系统,主要用于检测hacker或cracker通过网络进行的入侵行为。 NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通讯信息,另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息,比如hub、路由器。
[资料来源:http://think58.com]
(2) SIV是system integrity verifiers的缩写,即系统完整性检测,主要用于监视系统文件或者Windows 注册表等重要信息是否被修改,以堵上攻击者日后来访的后门。SIV更多的是以工具软件的形式出现,比如“Tripwire”,它可以检测到重要系统组件的变换情况,但并不产生实时的报警信息。
(3) LFM是log file monitors的缩写,即日志文件监测器,主要用于监测网络服务所产生的日志文件。LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为,例如对于HTTP服务器的日志文件,只要搜索“swatch”关键字,就可以判断出是否有“phf”攻击。
(4) Honeypots 蜜罐系统,也就是诱骗系统,它是一个包含漏洞的系统,通过模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。与此同时,最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。蜜罐最初的目的之一是为起诉恶意黑客搜集证据,这看起来有“诱捕”的感觉。