文章编号:1001-2486(2001)05-0098-05分布式网络攻击检测系统(DIDS)!
张权,张森强,高峰(国防科技大学电子科学与工程学院,湖南长沙410073)摘要:介绍了网络攻击检测系统(IDS)的运作机理,分析了IDS的优缺点.
针对传统IDS的问题提出了分布式IDS(DIDS)的概念,比较了DIDS的设计目标与目前一些IDS产品的性能.
最后从功能模块设计、攻击特征的获取和更新、提高攻击行为的检测和反应速度、攻击行为关联性分析和更加主动的反应策略五个方面详细阐述了DIDS的具体设计思路,为进一步完善网络攻击检测系统的性能提供了可行的解决方案.
关键词:IDS!
DIDS;分布式检测分析;集中式管理维护中图分类号:TP393.
06文献标识码:ADistributedlntrusionDetectionSystem(DlDS)Z~ANGGuan,Z~ANGSen-Ciang,GAOFeng(CollegeofElectronicScienceandEngineering,NationalUniv.
ofDefenseTechnology,Changsha410073,China)Abstract:Theprincipleofintrusiondetectionsystem(DIDS)isintroduced,anditsadvantagesanddisadvantagesareana-lyZed.
~ence,WebringouttheconceptofDistributedIDS,comparingthedesigngoalWiththeperformanceofsomeIDSprod-ucts.
Intheend,thedesignationofDIDSisdiscussedindetailinregardtotheaspectsofthefunctionalitymoduledesignation,theretrieveandupdateofattackcharacteristics,theenhancingoftheattackdetectionandreactivity,thecorrelatedattackanal-ysis,andthemoreactivereactionpolicy.
Keywords:IDS!
DIDS;distributeddetectionanalysis;centraliZedmanagementandmaintenance随着互联网络的普及,信息安全问题成为各界关注的焦点问题.
各国政府,各相关行业和部门以及一些科研机构也愈来愈重视网络安全与网络防攻击技术.
计算机网络攻击检测[1,2,3](ComputerNet-WorkIntrusionDetection)是最近几年才兴起的一种网络安全增强技术,它的出现有助于网络安全专家把精力集中到那些新的真正具有较大危险性的网络攻击行为上,很大程度上改变了专家们疲于应付各种攻击行为的被动局面;同时攻击检测提供了自动检测和响应机制,使安全专家彻底摆脱了手工分析和反应的不利局面.
为此,许多专家认为攻击检测是解决网络安全问题最具价值和潜力的技术之一[2].
本文介绍了IDS的运作机理,分析了IDS的优缺点,然后针对传统IDS的问题提出了分布式IDS(DistributedIntrusionDetectionSystem,简称DIDS)的概念,比较了DIDS的设计目标与目前一些现有IDS系统的性能;最后从功能模块设计、攻击特征的获取和更新、提高攻击行为的检测和反应速度、攻击行为关联性分析和更加主动的反应策略等几个方面阐述了DIDS的具体设计问题.
1IDS原理1.
1IDS工作机制攻击检测(IntrusionDetection)是一种自动识别对于计算机和网络资源的恶意行为并采取相应的保护措施以避免系统遭到侵害或进行适当的记录,以便在遭到侵害后快速恢复系统功能的过程.
图1给出了一个通用的攻击检测模型,该模型包括事件产生器、活动记录单元、规则集和检查引擎等几部分.
其中,事件产生器是模型中提供系统活动信息的部分.
事件来源于系统审计记录、网络通信或者防火墙等应用子系统.
规则集的定义来源于专家系统,用来决定是否发生攻击事件的检查引擎.
活动记录是按照系统状态机模型建立的系统运行参数集,实时改变系统的状态参数;它根据从规则集中检查出的行国防科技大学学报第23卷第5期JOURNALOFNATIONALUNIVERSITYOFDEFENSETEC~NOLOGYVol.
23No.
52001!
收稿日期:2001-03-17基金项目:国家863基金资助项目(863-307-7-5)作者简介:张权(1974-),男,博士生.
为创建新的状态记录.
活动记录和规则集的反馈表示系统的学习机制,学习规则可以采用人工智能的方法,使系统实现自学,也可以人工干预进行微调;一般两种方法联合使用.
图1通用攻击检测模型Fig.
1Generalintrusiondetectionmodel从攻击检测的定义不难看出,其功能模型包括四个方面:观测(Observe),定位(Orient),决策(De-cide)和响应(Act),这四个方面构成了一个OODA环[2],环中的前一级输出成为了后一级的输入.
图2为简化的IDS功能模型示意图.
图2IDS功能模型!
OODA环Fig.
2IDSfunctionmodel!
OODAloop!
"#IDS的优点IDS的最大优点就是减轻了网络安全管理人员的压力.
通过集中的、标准化的信息搜集和过滤,实时或定期地生成网络和系统遭受攻击的报告.
管理员们就可以从手工分析海量系统日志中解脱出来.
Sharktech 鲨鱼机房商家我们是不是算比较熟悉的,因为有很多的服务商渠道的高防服务器都是拿他们家的机器然后部署高防VPS主机的,不过这几年Sharktech商家有自己直接销售云服务器产品,比如看到有新增公有云主机有促销活动,一般有人可能买回去自己搭建虚拟主机拆分销售的,有的也是自用的。有看到不少网友在分享到鲨鱼机房商家促销活动期间,有赠送开通公有云主机$50,可以购买最低配置的,$49/月的...
官方网站:点击访问青云互联官网优惠码:五折优惠码:5LHbEhaS (一次性五折,可月付、季付、半年付、年付)活动方案:的套餐分为大带宽限流和小带宽不限流两种套餐,全部为KVM虚拟架构,而且配置都可以弹性设置1、洛杉矶cera机房三网回程cn2gia 洛杉矶cera机房  ...
puaex怎么样?puaex是一家去年成立的国人商家,本站也分享过几次,他家主要销售香港商宽的套餐,给的全部为G口带宽,而且是不限流量的,目前有WTT和HKBN两种线路的方面,虽然商家的价格比较贵,但是每次补一些货,就会被抢空,之前一直都是断货的状态,目前商家进行了补货,有需要这种类型机器的朋友可以入手。点击进入:puaex商家官方网站Puaex香港vds套餐:全部为KVM虚拟架构,G口的带宽,可...